|
Buenos Aires, 27 de setiembre de 2013
Ecos de la Ekoparty 2013: ejercitar las neuronas, divertirse, sorprenderse
Tres días intensos, con workshops, presentaciones, lockpicking, CTF, desafíos, wardriving, mucho human networking y un terrible fanatismo. Sí, eso, fanatismo. No me puedo explicar de otra manera que las personas de una fila de dos cuadras iniciada a las ocho y media esperen con toda calma casi dos horas para entrar a una conferencia, donde la última presentación se hace con tres horas de retraso y termina, a las diez de la noche, con aplausos para el disertante.
Para los detallistas, eso ocurrió el segundo día de la Eko, el jueves. Pero lo más importante no está en el tiempo perdido, sino en el conocimiento ganado. Porque de eso se trata: de distribuir conocimiento. Y eso no tiene precio, no podemos compararlo con el valor del ticket de admisión.
Ahí van ejemplos, para los que se la perdieron.
Lo del lockpicking, que es para los simplistas un juego de abrir candados y cerraduras, derivó en un recorrido a través de una caja más o menos laberíntica que contenía
intrincados desafíos de apertura. Pero la cosa no terminaba ahí, porque también existía la oportunidad de verificar cómo se pueden fabricar unas excelentes huellas dactilares copiando las de un humano, a fin de engañar al detector de huellas de una laptop...
o de una puerta. Saludos a los fanáticos de la mal llamada "seguridad biométrica".
El wardriving, bautizado desde hace años "el trencito de la alegría" permitió identificar a algunas empresas no-PyME donde los distraidísimos administradores de sistemas dejaron sus access points confiados a la in-seguridad de la WEP; y este año una buena cantidad de investigadores/as centraron sus esfuerzos en los teléfonos celulares inteligentes, las apps y el ubicuo Android. Se pudo saber cómo auditar la seguridad de las aplicaciones, cómo entrar, leer y salir de un teléfono, y cómo hacerlo más seguro (no faltaba más). Sobre "investigador-as" SI! por fin, investigadoras jóvenes (y bonitas) presentando su trabajo en la Eko. Joanna Rutkovska, ya no estás sola.
Y no todo fue adquisición de conocimientos: un esforzado equipo, después de más de dos días de teclear y exprimirse los sesos, se llevó el premio de Diez Mil Pesos destinado al ganador del Capture the Flag, despiadadamente diseñado con 18 desafíos, que incluyeron ataques de red, análisis forense o explotación de vulnerabilidades. Para los menos ambiciosos, ESET armó una competencia donde se debían analizar problemas de malware e ingeniería social, y Onapsis también propuso un desafío. En ambos casos había buenos premios. Headhunting? Bueno, un papel que vi por ahí preguntaba por programadores Phython, por ejemplo.
Todos los años hay en la Eko conferencias que se diferencian por contenido, originalidad del tema o precisión académica. De las de este año marqué seis entre las más de veinte presentaciones agendadas:
* el detalle del trabajo realizado para fabricar, poner en órbita y analizar la telemetría del satélite Capitán Beto (dos kilos apenas) que todavía sigue dando vueltas allá arriba, relatado por Gerardo Richarte;
* el implacable análisis de las máquinas para voto electrónico, expuesto por Harri Hursti, que entre otras cosas pidió a la audiencia que reflexione sobre cómo una nación puede confiar en tecnología de otros países para administrar nada menos que sus votos, esto es, la elección de sus gobernantes o legisladores... Un rengloncito apenas de la presentación indicó que en ocho años de investigación por grupos de universitarios independientes de cuatro países, se ha comprobado que las máquinas de voto electrónico son fácilmente hackeables, sin excepciones hasta el presente;
* se pueden analizar fotografías y/o videos para marcarlos (o no) como pornográficos, con una razonable aproximación (un 70% de acierto, más o menos). La investigación de Matías Ré Medina y Patricio Palladino tuvo como premisa inicial invertir un máximo de algunas horas de Google y dos días de pruebas más un poquitín de coding en conseguir las herramientas informáticas (de uso libre, claro) que les permitieron plantear un algoritmo de análisis que funcionase, y diseñar la metodología de uso. Lo lograron, y lo demostraron en público, aunque tal vez la audiencia esperaba que las imágenes de muestra no estuviesen tan púdicamente censuradas en los lugares imaginables;
* eso que usted vio en alguna película del Norte, donde al guardia nocturno le muestran una imagen falsa, que no proviene de una cámara de seguridad que fue atacada, sino de la compu del atacante, no es cosa de cine. Las cámaras IP son un desastre de inseguridad, y lo mostraron Francisco Falcon y Nahuel Riva, de Core Security;
* la contraseña de un webmail que use https puede obtenerse fácilmente. Claro que sí. En veinte segundos, si la víctima usa Wi-Fi y está en la habitación de al lado. Todo gracias a IPV6... Es lo que demostró el Chema Alonso, en vivo, quien es el que se llevó los aplausos a las diez de la noche del larguísimo día jueves. Saludos al padre de la Evil Foca, que viene de causar sensación en Defcon 21...
* Y la frutilla del postre, que mereció unos sorbos de booze: Lucas Apa y Carlos Penagos, de IOActive, mostraron las groseras fallas de seguridad que permitirían a un malvado atacante (no a ellos) controlar los sistemas de una planta generadora de energía eléctrica, o una refinería de petróleo. Pudorosamente no dijeron las marcas de los tan vulnerables equipos, pero sí indicaron que eran de tres de los más grandes proveedores mundiales del rubro.
Un rinconcito de una slide me permitió ver, no obstante, que uno de los problemas descubiertos por ellos fue informado al Industrial Control Systems CERT del gobierno estadounidense. En efecto, en la nota de seguridad ICSA 13-248-01 que menciona a Lucas y Carlos, el ICS-CERT habla de la falla de diseño del sistema de generación de contraseñas del producto RadioLinx de la empresa ProSoft Technologies, e indica que ese software está en equipos que se usan para comunicar controladoras instaladas por las compañías Rockwell Automation o Schneider Electric.
Seamos breves: acerías, plantas de refinación y destilación, usinas de producción de electricidad de grandes ciudades, más de una planta de generación por energía nuclear, todo muy simpático e inocente. Y sobre todo, es Infraestuctura Crítica, creo.
¿Cómo encontraron la pista? Con conocimientos, e ingenio. En cierto caso, además de transpirar mucho, Lucas y Carlos revisaron todos los manuales de uso de los equipos sospechados. En uno de ellos estaba una foto de pantalla del software, con una fecha. Un poco más de análisis los llevó a determinar que la base de la contraseña estaba derivada de una fecha dentro del producto, y que con diez minutos de ataque por computadora, buscando ese dato, se podía sacar el password de comunicación de determinado equipo. En cuanto lo contaron, brotaron los aplausos de la concurrencia, claro.
Esto es solo un corto resumen de lo que se pudo ver y escuchar en esos días. Hubo quienes se divirtieron, otros aprendieron mucho, saludaron y fueron saludados, y volví a mi cueva confiando en que el fanatismo de los asistentes estaba justificado. El año próximo veremos si se revolea un ejecutable al público o se postea en github, nomás. Todo es posible; sólo hace falta ejercitar las neuronas y eso la muchachada lo hace todo el tiempo.
por Rubén Borlenghi, a.k.a. el Microsaurio
Buenos Aires, 24 de setiembre de 2013
ekoparty trainings, donde el valor agregado es la neurona
Otra vez a visitar los talleres de lunes y martes. Para descubrir por qué casi el 40% de los inscriptos de este año vienen de Latinoamérica (hondureño incluido). O por qué en esas sillas hay sentados especialistas en seguridad de varios bancos locales (filiales de multinacionales, la mayoría) y a un miembro de una Fuerza del Orden le interesó anotarse en el taller de análisis de botnets, o por qué en el aula de Breaking Windows(tm) están todos tan serios.
Café por medio, de la conversación con Jerónimo Basaldúa y Leonardo Pigñer extraje varias observaciones:
* por muchos dólares menos se puede obtener entrenamiento de la misma calidad que en Otras Reuniones Similares (saludos, Black Hat);
* el contenido de estos talleres es inédito, novedades fresquitas que no se han publicado;
* los expertos locales y extranjeros son de primera línea;
* la infraestructura física es única y el entrenamiento es específicamente práctico.
Como esto es apenas un avance de mis comentarios sobre la Eko 2013, vamos a resumir: lo de contenido inédito, San Google mediante, parece real; el tema de precios suena plausible, y no en vano los avispados visitantes vienen George Washington en mano y con previo conocimiento de dónde cambiarlo, de acuerdo a las regulaciones vigentes, por supuesto; sobre la calidad de los instructores, a los que conozco personalmente les apuesto todas las fichas y otra vez la gugleada apunta la calidad de los que no vi antes; y lo de la infraestructura física es fácilmente comprobable. Cada asistente se encuentra con una PC no portátil, S.O. actualizado, las aplicaciones específicas precargadas y la red andando. Nada de cargar cosas en tu notebook.
De otra manera, algo como Killing Zombies no hubiese funcionado, con el Sebas Bortnik bajando técnicas o haciendo preguntas filosas, y Pablo Ramos, como el malvado BotnetMaster, entreteniéndose en esconderse de los estudiantes-investigadores y espantar al incauto que quisiera cortar su línea de Command and Control. Todo en tiempo real, nada de demo, y hasta el lujo de manejar la botnet con comunicaciones cifradas (no, encriptadas no se dice) cuyo descubrimiento e intercepción quedaba como parte del trabajo del alumno. Si eso no es práctica de taller...
Por eso la frase de ahí arriba. No es que te regalen una neurona. Pero te las masajean vigorosamente.
Ya te contaré cómo anduvo la Eko-pública y si hubo o no algo como BEAST, que puso a esta conferencia en la prensa especializada de los países del Norte Adinerado (porque les tocaron el bolsillo...)
por Rubén Borlenghi, a.k.a. el Microsaurio
la excelente imagen del Microsaurio (estoy muy parecido...) fue creada por el brillante artista gráfico Víctor Carbajal.
|
