Navaja Negra: hackeando con Honeypots y Machine Learning


Seguridad ofensiva y hacking, estos son los dos ejes principales sobre los que se ha desarrollado la conferencia de seguridad informática Navaja Negra. El paraninfo de la Universidad de Castilla la Mancha ha sido el escenario de un evento que se ha celebrado durante la primera semana de octubre en Albacete. Talleres y charlas se han simultaneado en esta importante cita.

En lo que a los talleres se refiere, destacamos el de introducción a honeypots, servicios expuestos para atraer a atacantes y, mientras tanto, monitorizarlos. De esta forma, es posible estudiar cómo operan estos atacantes. Estos sistemas rara vez son reales, y la mayor parte del tiempo son emulados por software. Se trata de imaginar un código de Python o Java que abra un puerto y donde los atacantes pueden conectarse; cuando estos introduzcan comandos, el software simplemente contesta la salida que este servicio responde habitualmente. De esta forma, puedes emular una gran cantidad de servicios, por ejemplo ssh. Durante el taller, pudimos conocer una distribución de Linux llamada honeydrive, la cual tiene preinstalados muchos honeypots diferentes. También resultó muy interesante el software HoneyMonkey, que básicamente emula a un usuario que recorre una página web para detectar malware hospedado en la página destino.

En el capítulo de charlas, destacamos Honeypooter: the saga. En ella, Francisco Sucunza habló de un proyecto personal que estaba realizando en su casa. Estudió el malware Mirai, que atacaba a algunos dispositivos IoT y los añadía a su botnet. Este malware utilizaba passwords por defecto para entrar en los dispositivos, y después los usaba para causar denegaciones de servicio. Sabiendo esto, desplegó una honeypet para que escuchara en el puerto donde Mirai ataca habitualmente, recopilando la lista de passwords que se estaban utilizando; también localizó el panel de control desde donde se controlaba a toda una botnet. Posteriormente, accedió a la página web y consiguió hacer login en ella por medio de un fallo de seguridad tomando el control, y pudiendo gestionar varios cientos de máquinas que estaban infectadas.

Tras esta, asistimos a la charla Atacando una red corporativa. En ella, Israel D. Aguilar describió el proceso de una auditoría para conocer qué podría llegar a hacer un trabajador de la empresa auditada. Describió cómo abrió un cable de red que estaba expuesto en el edificio que auditaba y se conectó a él mientras su equipo estaba esperando a que le diesen un puesto de trabajo estándar. También nos contó cómo fue recopilando nombres de usuario de los metadatos de algunos documentos que tenía disponibles. Además, habló de varios programas que utilizó para recoger más información vía los sistemas samba (el sistema para compartir ficheros en red) dentro de su red. Otro de los temas fue cómo evadir autenticación de doble factor utilizando la herramienta Mimikatz, una herramienta usada por atacantes para robar información de la memoria.

Le tocó el turno, después, a Industroyer: cuando los virus aprenden de sistemas industriales, una presentación acerca del estado actual de las infrastructuras críticas. Básicamente estamos viviendo en un mundo en el que las infraestructuras críticas hasta ahora han estado gestionadas por ingenieros industriales (no especializados en seguridad informática) en entornos aislados pero que ahora están empezando a conectarse a internet. Esto significa que todos estos sistemas están sufriendo muchas vulnerabilidades sencillas de encontrar pero que son muy peligrosas y que el resto de ordenadores sufrieron hace mucho tiempo. Manuel Bermudez también nos mostró un software que ha desarrollado y que apaga sistemáticamente todos los dispositivos scada que tiene al alcance. El ponente también introdujo muchos de los conceptos que utilizó en la charla comparándolos con el malware Industroyer, el malware que consiguió apagar todo el sistema eléctrico de Kiev, Ucrania durante unas horas.

Procesos de pago con TPV

Te puedo pagar con DNI: Hacking TPV, fue una charla que explicó el proceso de pago con una TPV, y nos mostró algunas vulnerabilidades que habían encontrado cuando auditaban algunas implementaciones de este sistema. Por ejemplo, muchos de estos dispositivos, almacenaban en texto claro datos de tarjetas de crédito por si el dispositivo perdía la conectividad con el banco y tenía que reenviarlo.

Jorge Reyes Castro y Pedro Guillém hablaron también de honeypots utilizados para estudiar la botnet Mirai en su charla Full malware jackets. Describieron cómo usaron un sistema más sofisticado que el honeypot y un método alternativo para acabar tomando el control de otro panel de control de esta botnet. Durante esta charla también nos hablaron de Brickerbot, otro malware similar a Mirai y del software Modern Honey Network, para poder desplegar múltiples agentes que monitoricen los sistemas y tener información centralizada acerca de cómo operan los atacantes.

Entre las citas más interesantes, destacamos la charla El footprinting ha muerto: ¡Larga vida al footprinting!, en la que Franciso J. Gomez y Rafa Sánchez nos mostraron como muchos comandos de sistemas Linux abren servicios no solamente en IPv4, sino también en IPv6 (una versión más actualizada del direccionamiento de internet que cada vez está más presente en la red). Sin embargo, algunos programas defensivos, como el firewall iptables, solamente filtran en IPV4. Si quieres filtrar IPv6, hay que usar otros programas explícitamente. Esto hace que muchos sistemas actuales tengan IPv4 protegido, pero no así IPv6. Con todo este conocimiento, y usando su portal web mrloqueer, se puede comparar las diferencias de IPv4 e IPv6 y ver si hay alguna diferencia. Si la hay, esto significa que puede que haya algún fallo de seguridad.

Destacamos también las charlas dedicadas a Machine y Deep Learning. La relacionada con Machine Learning fue una introducción a este campo. Los ponentes estudiaron si era posible utilizar esta disciplina para poder diferenciar tráfico legítimo de un ataque. Las conclusiones fueron un poco anticlimáticas, ya que de todos los parámetros estudiados, el más significativo para detectar un ataque fue el TTL (time to live, o por cuantos nodos puede pasar un paquete de datos antes de ser descartado por la red). Esto tiene sentido, ya que muchos servidores tiene tráfico lícito de clientes que están cerca, y cualquier tráfico que llegue desde muy lejos es anómalo, y en muchas ocasiones, ataques. La charla de Deep Learning la ofreció Alberto Ruiz Rodas, un ingeniero de preventa de Sophos. Durante su exposición nos contó que muchas empresas de seguridad están investigando cómo utilizar Deep Learning aplicado a seguridad y las mayores diferencias con Machine Learning.

Mastodon como red social descentralizada

open source, descentralizada y que no pertenece a ninguna empresa; estas son las características principales de Mastodon; una red social muy parecida a twitter, en la que puedes crear tu propia subred y administrarla tú mismo. Espiando redes de microblogging el caso de Mastodon fue una charla que describió esta red social y lo poco segura que es, ya que resulta muy fácil crear denegaciones de servicio, hacerse pasar por otras personas… En nuestra opinión, la idea original de Mastodon es muy interesante, pero tiene demasiados agujeros de seguridad para poder usarse… al menos de momento.

No fueron las únicas charlas, hubo muchas otras interesantes, que esperamos que publiquen y que se puedan disfrutar también.

Mientras tanto: think evil!