Ekoparty 2019: quince años

Segundo día de encuentros, disfrute, un aluvión de actividades extra
para todos los gustos
y conferencias
para comerse las uñas.

Buenos Aires, 26 de setiembre de 2019

En la nota de ayer mencioné la facilidad, simpleza y eficiencia con que funcionó el sistema de ingreso de este año.
Semejante derroche de elogios es el resultado de once años de escuchar las quejas, bufidos, gruñidos y otras maravillas que se desprendían de las colas de dos cuadras, algunas veces en llovizna, otras veces al sol, que formaron quienes decidieron entrar a Ekoparty a tiempo para conseguir lugar en la platea. Esta vez no se tardó más de diez minutos, luego de que se habilitó la puerta.c Pero basta de elogios, no sea cosa que se acostumbren.

Luego de dar unas vueltas por el patio, mirando las placas de las reuniones anteriores de Ekoparty, y mientras un experto, al amparo de la gran escalera principal, reparaba infraestructura crítica(*) que se usaría más tarde, me junté con la concurrencia que hacía tiempo tomando solcito.
Saludé a los conocidos, me junté con desconocidos, miré encarnizadas partidas de metegol, escuché muy buena música y repasé la lista de presentaciones y otras actividades de hoy.

(*) una chopera

Habilitaron la sala principal y subimos para escuchar al riguroso Alex Matrosov.

Alex actualmente es Jefe de Investigación Ofensiva (hardware/firmware) en NVIDIA.
Antes trabajó en Intel, en ESET, fue hasta 2012 profesor (luego de recibirse allí con un Master en Seguridad de la Información) en la Universidad Nacional de Investigación Nuclear, Instituto de Ingeniería y Física de Moscú.

Los años de aula se le reconocen en la claridad de la explicación, y aun antes de su paper sobre Stuxnet en 2010 (coautor, para ESET) era ya un analista de malware muy reconocido.

En su regreso a la Eko (estuvo en 2011 y 2014) apareció con The Advanced Threats Evolution: REsearchers Arm Race. Entre las "amenazas avanzadas" le interesan (parece) las modernas técnicas de persistencia, las que contienen amenazas muy difíciles de encontrar, y peor, de eliminar: rootkits, bootkits, implantes en la BIOS.

Todo eso confluye hacia el blanco final: hardware.

Detalló los tipos de persistencias, mostró la tapa de su libro "Rootkits and Bootkits", donde una ilustración de un Kraken, que personaliza a las amenazas en Firmware y Hardware, persigue a un investigador de malware; hizo una línea de tiempo de rootkits y bootkits, usados para spam y DDoS, espionaje y ataques dirigidos; anunció que la Edad de Oro de los implantes de firmware/hardware había llegado y que los incidentes con firmware están aumentando, y alegró a la audiencia indicando que hay mitigaciones y prevenciones para los ataques al kernel de SO o al código de arranque, pero que aunque existen mitigaciones limitadas (como el BIOS/BootGuard), no existe forma de prevenir los ataques al firmware SMM de BIOS/UEFI.

Agregó, además, que hay un punto ciego con el tema de ataques a la BIOS: que se puede atacar la cadena de proveedores.
Un alivio es que Windows 10 verifica el estado de la BIOS pero... hubo una slide titulada "Gigabyte/ASUS/MSI/ASROCK/Samsung no se preocupan por la seguridad!".
Poco después encaró las limitaciones del firmware UEFI, y el problema de que en ciertas actualizaciones mayores de Windows 10 una etapa indica claramente "Running action: Disable Bootguard".
Dos observaciones más: que el firmware durante mucho tiempo no se ha considerado un componente crítico de seguridad, y que el firmware y el harware también se controlas desde la Nube, dado que en la mayoría de los casos los proveedores de servicios en la Nube no controlan el firmware o el hardware.
A lo que se refería es a las fallas o vulnerabilidades del esquema de máquinas virtuales e hipervisores que componen un sevicio de nube.
Pasó a una clasificación de vulnerabilidades UEFI, comentó que el tiempo promedio de publicación de una vulnerabilidad en firmware es de 6-9 meses (!!). Y llevó un poco de agua a su molino personal al afirmar que "por eso es importante tener un equipo interno de investigación ofensiva, para descubrir la realidad real (sic!) y no la que es creada por los diseñadores de mitigaciones".
Revisen el cargo que tiene ahora en NVIDIA...
En cuanto a los proveedores de servicios cloud, opinó que los grandes, como Amazon, Google o Microsoft "no lo hacen tan mal", pero que la cadena de proveedores de hardware y firmware está teniendo problemas crecientes, dado que integran una superficie de ataque muy grande.

Detalló problemas de firmware como la dificultad (o imposibilidad) de inspección en fábrica, más la posibilidad de la colocación de implantes no autorizados o cambios subrepticios por un tercer proveedor en la línea, dado que existen fábricas terminales que no tienen un control completo sobre su cadena de proveedores (¡caramba!) además del problema de un ataque a los servidores de actualización de los equipos vendidos, como le pasó a ASUS en su Live Update.

Fin de la presentación, aplausos de la platea, jump to coffee y fui al salón lateral, donde había mucha actividad, a ver cómo la estaban pasando los asistentes.

A un costado había acampado la gente de Lockpicking, y ya había quien luchaba por abrir una cerradura; más allá estaban los integrantes de Hamping, el equipo que cada año se esfuerza por explicarle a quien se acerque cómo hacer la mejor antena receptora de wifi del mundo, y cantidad de accesorios muy útiles.

Al fondo se había iniciado el Capture The Flag, con desafíos preparados por Null Life, y con el apoyo de Titan Cybersecurity de Colombia. Si te suena conocido el equipo o la empresa, está bien, son los mismos organizadores de los CTF en pasadas Ekopartys
Los jueces de este año eran Gabriel Roballino, de Perú, Marcelo Echeverría (AR) y Andrés Morales, también peruano.
Y aunque no está en la foto, Daniel Correa, de Colombia, que me pasó la estadística de inscriptos de este año: 217, entre remotos y presenciales.
Lo de remotos es porque había (por ejemplo) dos en Afganistán, dos australianos, tres de Taiwan, cinco de Indonesia, tres israelíes, cuatro de Mongolia y 6 de China.
Además de 7 japoneses, 8 vietnamitas, 4 rusos y 2 australianos.
¿Los países con más representantes? Argentina, con 27 (que estaban en la sala), India con 18 y Corea con 16.
¿América? Cinco brasileños, siete estadounidenses, y había peruanos, colombianos, chilenos. De Europa cinco alemanes, tres italianos, y también británicos, franceses, checos, italianos, noruegos y suecos.
Y (me avisó Daniel) 74 inscriptos que no informaron país, así que en la lista fueron como "internacional".

Las reglas indicaban que la oportunidad de ganar era pareja para todos, remotos o presenciales, ya que cada aclaración o consulta era pública, y las respuestas también.
Pregunté por el cierre, era en el último día de la Eko, a las 15, pasé por el stand de las Escuelas Técnicas Raggio (donde experimentaban con celulares y wifi) y volví a la sala principal.

Justo a tiempo, porque estaba comenzando Introduction to reverse engineering of radio signals, a cargo de Gonzalo José Carracedo Carballal.
Detrás del título tan formal de esta presentación se escondía el trabajo de una persona cordial y amable, y muy, pero muy paciente, que explicó con lujo de detalle cómo identificó la señal de un satélite meteorológico ruso en órbita alrededor de la Tierra, la recibió, la descodificó y obtuvo las imágenes.
Para lo cual comenzó por hacerse una antena a mano. Bueno, a mano y herramientas, y conocimientos, porque se trata de un ingeniero matemático e informático con entrenamiento en física de plasma y astrofísica, que programa en ASM, Java o Python, y además radioaficionado.

Luego de la antena, se dedicó al receptor, levantó la señal radiofónica, la pasó a su computadora, la estudió con programas diseñados o adaptados por él, la descodificó y la reordenó para disponer de las fotografías.
Lo que es fácil de describir aquí, pero penoso de escuchar allá. Porque Gonzalo describió cada paso, cada esfuerzo, cada fracaso (que hubo varios) o cada desengaño. Como que la antena estaba armada al revés/apenas tomaba señal, o que el horario de paso del satélite sobre España (porque Gonzalo es español) era al anochecer/las fotos eran irremediablemente oscuras. Y la sala se iba poniendo en silencio, expectante, y creo que más de uno respiró aliviado cuando mostró una fotografía más o menos discernible.

Entre sus herramientas informáticas que empleó para la tarea, explicó el uso de Suscan, que permite hacer análisis de canales de señales a ciegas el empleo de un codificador convolucional, y cómo se utiliza Cccrack, una herramienta de software que transforma los símbolos descodificados en grupos de bits.
Todo este esfuerzo tenía un norte: hacer todo el análisis y procesamiento de la señal de radio sin conocer sus parámetros, deduciéndolos a medida que se los obtuviese: frecuencia, tipo y parámetros de modulación, codificación de datos, corrección de errores y enmascaramiento.
Completó la tarea, por supuesto lo aplaudieron a rabiar, y llegó la hora del almuerzo.

Otra vez a la sala, porque César Cerrudo, Esteban Martinez Fayo y Matías Sequeira presentaban Hacking and auditing LoRaWAN networks.
El protocolo LoRaWan se emplea en comunicaciones de red en áreas amplias (Wide Area Networks) y LoRa tiene tres acepciones: es un esquema de modulación de ondas de radio, también se refiere a los sistemas que generan o conducen la modulación, incliyendo los chips y los gateways, y además da nombre a la red LoRa para aplicacions IoT. Es un sistema que puede trabajar a grandes distancias, con un uso de potencia relativamente bajo, y a bajas velocidades de transmisión de datos.

En la presentación, además de definir esquemas de diagramación de este tipo de redes, se hizo notar que ya se han descubierto vulnerabilidades que amenazan la operación de este tipo de redes.
Durante la charla se indicó que hay un amplio uso de equipos que implementan este protocolo: más de 100 operadores de redes, que son empresas telefónicas o proveedores de servicios, que proyectan instalar este año, por ejemplo, dos millones de dispositivos en Brasil.
Y en Francia se proyecta reemplazar los medidores de energía eléctrica domiciliaria por su equivalente provisto de este sistema de comunicación con la casa matriz, a fin de no emplear más personal en la lectura de medidores ("smart meters").
Se espera que los países donde se instales redes con este protocolo lleguen a 100. Aunque el protocolo LoRaWan es seguro y emplea cifrado, tiene problemas de implementación y debilidades que afectan la seguridad de muchas instalaciones.
Como un medio de solucionar esto, en la presentación se describió el LAF (LoRaWAN Auditing Framework), un conjunto de herramientas que permite construir, revisar, enviar, analizar e interceptar conjuntos de paquetes LoRaWan para auditar o hacer un pentest en una infraestructura LoRaWan.

Nueva pausa para café, retorno y esta vez Andrés Blanco y Lautaro Fain trajeron una Receta práctica y económica de un implante de hardware.

Según explicaron Andrés y Lautaro, la idea inicial era implantar un microcontrolador dentro de un dispositivo, para modificar la operación del equipo.
Como elemento de intrusión decidieron usar un ARM del tipo STM32F030F4.
Luego de las primeras pruebas, armaron una placa apropiada para conectarla dentro de un router hogareño con wifi, usando un demo board comercial.
En una siguiente etapa de la experiencia, constataron que podían aprovechar la función de actualización prevista en el firmware original del router y controlar el equipo.
Luego decidieron prescindir de la placa comercial y probaron (exitosamente) soldar el microcontrolador en la placa del router y cubrirlo con una gota grande de resina, lo cual hacía muy difícil descubrir el implante de hardware.
Aplausos y felicitaciones para los conferencistas...

...y sin pausa llegó la siguiente presentación, Synthetically Breaking macOS, a cargo de Patrick Wardle, ex empleado de la NASA, ex integrante de la No Such Agency, y actualmente investigador principal de la empresa Jamf.

Lo de "romper sintéticamente" se refería al tema de los "clic sintéticos", una forma de aceptar acciones digitando en el teclado. Básicamente, si aparece un cartel de advertencia que indica que un proceso intenta hacer algo, en el borde inferior del cartel suele verse un botón "rechazar" en un extremo y "aceptar" en el otro.

Wardle ya había informado a Apple en 2018 que había varias maneras de interceptar el clic verdadero del usuario sobre "rechazar" y que la orden recibida por el sistema operativo fuese "aceptar", de forma totalmente invisible para el usuario. El atacante logra el éxito al automatizar el funcionamiento del mouse y el teclado.

¿Los objetivos del atacante? Seguridad, privacidad, accesibilidad. La capacidad de detectar y obtener la ubicación física del usuario (latitud/longitud); anular los carteles de alerta de herramientas legítimas de protección instaladas (un firewall).

La presentación siguió con la queja de Wardle sobre la demora de Apple en solucionar completamente estas fallas de seguridad. Y su insistencia en que las últimas actualizaciones del MacOS no habían sido suficientes, y que aún había posibilidades de usar el "synthetic click" en un ataque.

Como yo no uso Mac desde hace unos años, me quedo con el dato, y veremos cómo sigue la novela.


Salí de la sala y dejé Ekoparty por este día. En las salas laterales, en la planta baja y en el patio, los grupos seguían conversando, mirando el futbol robot, desesperándose por un desafío del CTF o escuchando música. Un rato más tarde habría juntada (get together decía el programa) y era hasta las diez de la noche.


En la próxima nota, más charlas, paneles y presentaciones, y el acostumbrado resumen. Stay tuned!

IR AL TERCER DÍA DE ESTA EKO