09 marzo 2015

Mi experiencia en RootedCON 2015 #rooted2015


Un año más he tenido la ocasión de asistir a la rooted CON, en la que coincidí por los pasillos con uno de los editores de este blog, Lorenzo Martínez, quien me propuso que escribiera un resumen de la misma para sus lectores; ofrecimiento que he aceptado. Aprovecho para agradecer desde aquí el voto de confianza y la oportunidad de escribir en este blog que leo desde que empecé a documentarme en el mundillo de la seguridad.

Por circunstancias, no pude asistir a todas las ponencias, así es que pido disculpas de antemano si no comento alguna. De todos modos, sobre alguna ya ha escrito Lorenzo y hay otras que son repetición de las mostradas en las VIII Jornadas STIC, que pudisteis leer en mi blog.

Una de las ponencias más esperadas de jueves fue, sin duda, la del fiscal Jorge Bermúdez, que ya supo ganarse en la pasada Rooted a todo el auditorio. En esta ocasión vino a hablarnos de la evolución de la Ley de Enjuiciamiento Criminal, una ley que fue concebida en tiempos analógicos y de la cual el nuevo anteproyecto de ley es una especie de “service pack” legislativo, pensado para subsanar las deficiencias de aquella. Una de las cosas que salieron a la palestra fue la controvertida figura del agente infiltrado, con la autorización para enviar y recibir archivos ilícitos. Aunque la idea es usarlo para delitos como la pederastia, que es cuando concurre la llamada “situación de necesidad”, algunos preguntaron si no podrá ser utilizado también para perseguir a los descargadores de “series yonkis”, por ejemplo.

Antes los discos duros eran considerados “cajones y archivadores”. Ahora se pueden intervenir hasta las nubes y cabe preguntase si no harán falta bolsas de Faraday para intervenir teléfonos móviles y asegurarse de que las pruebas no se "escapan" por el camino. En cuanto a los famosos “troyanos policiales” también surgieron preguntas como: si la grabación solo se permite en exteriores ¿cómo saber cuándo desactivar el malware? ¿Qué pasa si la defensa, al examinar las pruebas pide ver el código? Dado que la ley permite que algunas pruebas no le sean presentadas, quizá bastaría con que un organismo, como el CCN-CERT, certifique que el troyano no pone pruebas falsas, lo que permitiría seguir utilizándolo en posteriores investigaciones. En el Panel “¿Quién puede dar el carnet de hacker?” con el que cerró el día, se siguieron temas relacionados.

Pero antes, pudimos ver una excelente exposición de Andrzej Dereszowski sobre el funcionamiento y evolución del troyano Turla en sus diferentes familias (Agent.btz, Pfinet y Snake). Y también Yaiza Rubio y Félix Brezo nos hablaron de los distintos tipos de monederos bitcoin y cómo atacarlos para llevarse la pasta. Me quedó claro que, de todas las carteras, las más seguras son las multifirma.

La jornada del viernes arrancó con la presentación de Alfonso Muñoz y Antonio Guzmán de su herramienta para localizar malware escondido (stegomalware) en las imágenes de Google Play. Aunque el malware en las imágenes es muy difícil de detectar y más aún de extraer y descifrar, lo cierto es que se lo curraron un montón y fue curioso ver cómo algunas app se conectan a enlaces de imágenes que en verdad llamaban a archivos SQLite ¡de recetas de cocina con hachis!

Después, fue una alegría ver salir a la segunda chica de la Rooted2015: Carmen Torrano presentó la investigación que está haciendo en el CSIC de los WAF basados en anomalías (estadísticos, markovianos y maching learning). Como no es fácil evaluar el funcionamiento de un WAF, por no disponer de suficientes datos para ello, Carmen tuvo, además, el detalle de hacer público el conjuntos de datos utilizado en sus investigaciones.

Julián Vilas explicó la explotación de la vulnerabilidad CVE-2014-0094 para Struts 2 y de la CVE-2014-0114 para Struts 1. La primera tiene parche y la segunda no, porque Struts 1 ya no tiene soporte.

De la investigación de Sebastián Guerrero sobre Apple Pay, quedó claro que el TouchId se puede desbloquear, no solo con el dedo, sino con la nariz o hasta con un salchichón, si quieres. También, que hay información sobre la tarjeta que se guarda en el dispositivo y se puede acceder a ella, siempre que tenga hecho el jailbreak. Así es que, si sois de los que le hacen jailbreak al iPhone y vais a usar Apple Pay, ojito con perderlo.

Después, charla interactiva de Alex, sobre el equipo rojo (ataque) y el azul (defensa): mientras él iba explicando, nos pidió que rellenáramos una encuesta online y luego comentamos los resultados. Si queréis verlo todo, el enlace está en las referencias.

El sábado, la Rooted amaneció con la sorpresa de que si te bajas un código fuente de procedencia dudosa, te pueden estar colando un bicho con solo compilarlo, aunque no lo ejecutes. Con el agravante de que los desarrolladores, normalmente, tienen altos privilegios en sus sistemas. Una muy buena exposición de Tarasco sobre las maneras de colar malware en distintos entornos de desarrollo, que concluyó con los siguientes consejos: compilad lo que no conozcáis en máquinas virtuales, revisad el código y poned un control del tipo de ficheros que se pueden subir a los repositorios, por si hubiera un rogue developper dentro de la propia empresa.

Después, Pablo Casais, explicó algunos problemas de (in)seguridad presentes en la configuración de los File Servers utilizados en la banca de inversión, que podrían facilitar que algún empleado curiosón llegara a donde no debe, montara transacciones fraudulentas y se llevara la pasta. Problemas solo explotables desde dentro, eso sí.

¿Os sentiríais seguros si vierais aparcada una moto sin conductor, cerca de vuestra empresa? La respuesta no puede ser la misma después de haber visto la presentación de David Pérez y José Picó de su arsenal de ataque Wi-Fi. Quién diría que dentro de la maleta de la moto se encuentra una sonda Wi-Fi robotizada, controlable remotamente, para captar mejor la señal del AP que se quiere suplantar. Mientras, totalmente fuera de nuestra vista, se encuentra el atacante, conectado a ella por 3G, y analizando con su software quién, cómo y cuándo se conecta a ese AP. No os fiéis tampoco si pasa por vuestro lado alguien con cascos y sin mirar ningún aparato electrónico, ya que es otra manera que han montado de localizar Wi-Fi: el móvil va escondido y avisa de las Wi-Fi por sonido.

Y por si Hugo Teso se alargaba demasiado explicando cómo hackear un simulador de vuelo, el Staff se presentó en la sala con una cajas de pizzas... vacías. Así es que hubo que irse de todos modos a comer.

Ya después de la comida, una de las ponencias más divertidas fue la de Arriols, sobre pentesting físico en empresas, evadiendo los controles de seguridad: buscar información en Google Street, consultar los vídeos que la propia empresa pone en internet, interceptar los walkies de los guardas, clonar tarjetas NFC, usar dronnes de reconocimiento, saltarse los controles magnéticos con imanes, los de movimiento con mantas térmicas o los fotoeléctricos con punteros láser, fueron algunas de las cosas que vimos en directo o con vídeos.

También tuvimos a los habituales Chema Alonso y Raúl Siles, hablándonos, el primero de las investigaciones de su equipo sobre las aplicaciones maliciosas en los markets de Android (usando Path5 y Sinfonier) y el segundo de los problemas de actualizaciones de dispositivos móviles. Aunque esta vez Siles cambió el iOS por el Android, el problema sigue siendo el mismo: se puede dejar un terminal congelado (Frozen) en una actualización para aprovecharse de alguna vulnerabilidad. La buena noticia, sin embargo, es que la fragmentación de los dispositivos Android, no impide que Google aplique algunas actualizaciones de seguridad (aparte de las que van con los postres): lo hace mediante el Google Play Services o el Google Service Frameware. No todo iba a ser malo. ¿Se anima alguien a investigar lo mismo para Windows Phone o Blackberry? preguntó Siles. Esperaremos a la Rooted 2016 para ver si alguien recoge el guante. De momento, en ésta edición, ya hemos tenido bastantes cosas para asimilar.

Y, aunque tanto Siles como José Selvi (éste con su ataque al HSTS) jugaron con el tiempo, la siguiente foto demuestra quién de verdad controla el tiempo en la Rooted Con:



Referencias: 


Artículo cortesía de María García (@mgarciacase).

10 comments :

Jandro dijo...

Esta edición ha estado genial.


Por cierto, ¿Cuándo va a colgar Alejandro Ramos su charla de equipo azul/rojo?


Saludos.

María García dijo...

Está en las referencias: http://www.slideshare.net/aramosf/rooted-con-2015
Lo que pasa es que algunos enlaces no funcionan bien al hacer click. Ya lo he arreglado y he avisado para que lo cambien.

Jandro dijo...

Gracias :)

Alejandro Ramos dijo...

Me alegro que las pidas! eso es que te gustó :-)

Un abrazo!

vmotos dijo...

estuvo bien Alex, además con lo de la encuesta y algunas respuestas y el del calvocab*on.. XDDD estuvo muy divertida!

unico dijo...

EL IE es vulnerable teniendo el sistema actualizado, si lo parcheas con la lista de certificados que indica Microsoft en el Security Advisory https://technet.microsoft.com/en-us/library/security/3046015.aspx se soluciona a nivel de exploradores Web, pero si luego intentas buscar actualizaciones te encuentras con AKAMAI reseteando la conexión SSL....¿es esto un ejemplo de un MITM desde AKAMAI? en 157.55.240.220 que los DNS resolven como sls.update.microsoft.akadns.net.

unico dijo...

Un detalle que se me olvido comentar, en el link de microsoft, el Security Advisory 3046015, han borrado de la pagina la forma correcta de introducir la lista de certificados, en una sola linea sin espacios y separados por una coma todos los certificados...lo que han borrado de la página es lo que se referencia en el punto 5 donde dicen "How to modify this settings"

unico dijo...

¿Mi comentario anterior ha sido moderado? IE es vulnerable a FREAK y a POODLE, parcheandolo con el Microsoft Security Advisory 3046015, AKAMAI resetea las conexiones SSL a Windows Update.

Djorrin dijo...

También está disponible la presentación del pentest físico:
http://www.slideshare.net/Hykeos/physical-penetration-testing-rootedcon-2015



Y también me encantó la charla de Alejnadro fue estupenda. Tiene mucho más contenido del que parece y además los azules ya no nos sentimos tan solos :-D

María García dijo...

Gracias por la referencia, Djorrin.
Os dejo otras que me he ido encontrando por la red:
- Anteproyecto de la nueva Ley de Enjuiciamiento Criminal:
http://www.mjusticia.gob.es/cs/Satellite/Portal/1292427272301?blobheader=application%2Fpdf&blobheadername1=Content-Disposition&blobheadername2=Medios&blobheadervalue1=attachment%3B+filename%3DPresentacion_Ley_de_Enjuiciamiento_Criminal.pdf&blobheadervalue2=1288789667026

- Las diapos de stegomalware:
http://es.slideshare.net/elevenpaths/buscando-stegomalware-en-un-oceano-de-apps#

- Las diapos de Carmen sobre los WAF:
http://www.slideshare.net/ctorranog/rooted2015-ctg-v6

- Las de la ponencia sobre WebEx:
http://www.slideshare.net/skuater/desmantelando-webex-public-release