“Follow the White Rabbit”: hackers en la RootedCon 2018


¿Sabías que el malware de Linux se puede ejecutar en Windows 10 sin ser detectado? ¿Cómo debería ser la relación entre hackers y periodistas? ¿Sabes que podrías atacar TLS utilizando side channel attacks? Como en años anteriores, hemos estado en RootedCon para descubrir lo último en hackers y ciberseguridad, y os contamos lo más destacado de esta edición.Por si no lo sabéis, RootedCon es un congreso que se celebra en Madrid durante el primer fin de semana de marzo y que se centra en la seguridad de la información y más específicamente, en el hacking.

El congreso tuvo lugar en tres salas de cine con los siguientes nombres:

  • Seguridad: esta sala se centraba en la seguridad tradicional
  • DevSecOps: esta sala se dedicó a charlas sobre la integración de la seguridad en DevOps y la seguridad automatizada
  • FWIBBIT: aquí los principiantes o personas que quisieran podían comenzar a aprender sobre un nuevo tema o área de seguridad

 

La sala FWIBBIT (Follow the White Rabbit) fue la novedad de este año. Aunque la seguridad puede parecer un área muy especializada de TI, hay muchas subáreas dentro de ella que son completamente diferentes entre sí. Por lo tanto, es imposible para un profesional de la seguridad conocer todas sus áreas (al menos para la gran mayoría). Esto nos lleva a una reflexión que queríamos compartir: en nuestra opinión, FWHIBBIT fue una gran forma de tener un excelente curso de introducción a un área de seguridad específica. La sala estaba casi siempre llena, lo que nos hizo pensar que probablemente el año que viene vuelva a estar en RootedCon.

Durante el primer día de conferencias, asistimos a tres charlas que nos impresionaron mucho. La primera, Decompiler internals: Microcode, trataba sobre cómo funciona internamente un decompilador muy conocido. En el caso de que no sepas qué es un decompilador, es un programa que convierte ejecutables o programas en un código que un desarrollador puede leer. Esto no siempre es fácil de hacer, y se debe estar capacitado para usar decompiladores para según qué ejecutables. La charla se centró en cómo los Hex-Rays (un conocido decompilador) utilizan un “lenguaje” llamado microcódigo para transformar archivos ejecutables en lenguajes de programación que los desarrolladores pueden entender. La charla la dio Ilfak Guilfanov, el creador de la herramienta, que es como una estrella de rock para los que les gusta decompilar. La segunda charla, Programming and playing a MITM attack, nos mostró cómo Ángel Palomo Cisneros había desarrollado un programa que conseguía incluir automáticamente certificados digitales en un ordenador sin que ningún usuario se diese cuenta. O al menos, haciéndolo muy difícil de detectar (se muestra una ventana de advertencia, pero el programa la acepta automáticamente. No se requieren derechos especiales). Si un usuario hace clic en el programa, el certificado se instalará muy rápido. Esto significa que los virus o atacantes podrían usar esto para espiar sus comunicaciones. La tercera charla fue Técnicas de Ingeniería Inversa I y II, un tutorial para principiantes que enseña cómo funciona la ingeniería inversa (el proceso para recuperar el código de un ejecutable). Esta charla se hizó en el FWHIBBIT y fue un gran éxito.

El segundo día hubo muchas charlas interesantes, como un tutorial básico sobre cómo utilizar Wireshark desde principiantes a avanzados (conferencia de Guillermo Román) o Javier Rodríguez y David Sánchez contando que la gente a menudo asume que la mayoría de los ataques provienen de Rusia, pero la realidad es que ahora también vienen muchos ataques de otros lugares, como EE.UU., que ha creado una de las áreas más avanzadas y centradas en la ciberguerra para atacar infraestructuras críticas. Tuvimos otras dos charlas muy interesantes y no técnicas de las que queremos hablar: Ciberseguridad: ¿límites a la libertad de prensa? y Periodistas y hackers: ¿podemos ser amigos? Estas charlas se centraron en las noticias y los reporteros y en cómo son responsables de brindar información precisa pero entretenida al público. La primera charla fue una mesa redonda con personas que representaban a varios periódicos y se debatió cómo deberían escribirse las noticias de seguridad en el futuro. La segunda charla, dada por Carlos Otto, intentó convencer a la sala de colaborar con la prensa. Explicó que con su ayuda (y sin quebrantar la ley), el periodista tendría la capacidad de exponer a muchos criminales, como pederastas, o compañías que realizan actividades ilegales o explotan a sus trabajadores. La última conferencia del segundo día sobre la que queríamos hablar se llamaba Beware of the Bashware: A new method for any malware to bypass security solutions, que seguramente es la que más nos impactó. Como muchos sabréis, Windows 10 ahora ofrece una forma de ejecutar comandos y programas de Linux. El único inconveniente es que Windows no permite que los antivirus interfirieran con los procesos en ejecución, lo que significa que ahora todo el malware de Linux no solo es compatible con Windows, sino que también es indetectable. No existe mucho malware Linux, pero estamos seguros de que a partir de ahora los desarrolladores de software malicioso estarán más interesados ​​en crear malware para Linux. Después de que Gal Elbaz y Eran Vaknin informasen sobre este problema a Microsoft, la compañía de software decidió crear una API para permitir que los antivirus interactúen con estos procesos en ejecución. Sin embargo, las compañías de antivirus todavía necesitan adaptar sus productos.

El tercer día, José Selvi nos enseñó sus investigaciones que aprovechan side channel attacks en TLS. Nos mostró cómo algunas páginas web tienen funciones de búsqueda que pueden aprovecharse para extraer información privada, incluso si está cifrada, utilizando entre otras cosas, los tamaños de las respuestas del servidor. Selvi ha creado una herramienta que se puede configurar para usar un ataque de fuerza bruta y, por ejemplo, obtener la información de los contactos de la víctima usando el tamaño de respuesta. Carlos García, en su charla, explicó una metodología, con un ejemplo paso a paso y una lista de herramientas, de cómo hacer un pentest en un directorio activo. Fue una conferencia muy detallada e interesante en la que disfrutamos mucho y aún tenemos que aprender mucho sobre las herramientas que utilizó. La última charla sobre la que queremos hablar fue la de Raul Siles, IoT: Internet of T…, donde exploró las diferentes vulnerabilidades que enfrenta el Internet de las cosas (IoT). Tienen vulnerabilidades conocidas desde hace mucho por ordenadores y sistemas tradicionales, lo que es una especie de viaje al pasado para hackers. Nos enseñó un par de videos sobre algunos de sus pentests en hogares domóticos y demostraciones de él mismo usando señales de radio para hackear dispositivos IoT.

En resumen, los aspectos más destacados de las conferencias que queremos compartir son:

  • Nuevo circuito para principiantes: FWHIBBIT
  • El malware de Linux se puede ejecutar en Windows 10 sin ser detectado
  • ¡Cuidado con los side channel attacks!

¿Tienes alguna pregunta? Por favor, coméntalo.

And remember: think evil!