RootedCon 2020: Industry, devSECops and hacking


A principios de marzo, GFT asistió a la RootedCon, la conferencia de seguridad más importante de España, con especial atención al hacking. Este año, se celebró en Kinepolis Ciudad de la Imagen, Madrid. Como cada año, nos gustaría escribir una pequeña entrada de blog con un resumen de nuestras impresiones.

La primera charla fue muy diferente a todo lo que se había presentado hasta ahora. Tan diferente, que no ni siquiera era de seguridad. Trataba sobre livecoding, una forma de crear música electrónica mediante programación. Jesús Jara López de medialab nos explicó cómo funciona, nos mostró algunos ejemplos de software para hacerlo, y finalmente hizo una demostración creando música en directo para nosotros.

El siguiente turno fue para Manel Molina de la Iglesia, que nos mostró sus investigaciones para usar la VPNs como método para facilitar un ataque. Usó phishing (engañar al usuario), enviando un fichero .reg (un fichero para modificar el registro de Windows) y consiguiendo que la víctima ejecutase código cada vez que reiniciase el equipo. Escogió este tipo de fichero porque a menudo los antivirus u servidores de correo no lo analizan. El código en sí, lo que hacía era iniciar el cliente VPN de Windows, haciendo que la víctima se conectase a una VPN controlada por el atacante. De esta manera un atacante puede lanzar un ataque MITM (man in the middle) y ser capaz de capturar el tráfico de su red para ver la información enviad o modificarla a su antojo.

Chema Alonso, el famoso hacker que ha aparecido en muchos programas de televisión, nos presentó “El Club de los Poetas Muertos”donde él y su equipo investigaron en 2010 que en Android Market(ahora Google Play) se realizaban múltiples verificaciones de seguridad cuando los desarrolladores subían la primera versión de una aplicación móvil, pero no se realizaban tantas cuando los desarrolladores las actualizaban, por lo que podrían introducir malware. Nos mostró algunos ejemplos en los que usaba su herramienta Tacyt basada en técnicas de Big Data para realizar búsquedas masivas en Android Market y encontrar aplicaciones que habían cambiado radicalmente su comportamiento desde sus versiones iniciales. Adicionalmente, su equipo descubrió que muchos criminales estaban comprando aplicaciones famosas y legales (por ejemplo, una app que tuviera muchas descargas) y después las modificaban para cambiar su comportamiento. Lo que es más preocupante aún es que también descubrieron que muchos servidores de email tienen distintos tiempos de caducidad que las cuentas de Android Market. Esto significa que muchas veces las cuentas de correo caducaban antes que las cuentas de Android Market. Así los atacantes podían registrar la misma dirección de email e iniciar el proceso de recuperación de contraseña para obtener las credenciales de la cuenta de desarrollador original en Android Market. A partir de ahí ya podían directamente actualizar las aplicaciones con código malicioso.

“(Ctrl+c)+(Ctrl+v) = Car H@acking”fue el nombre de la charla de Yago Jesús y Jose Antonio Esteban. Nos contaron que al principio, para robar coches, se usaban técnicas físicas como por ejemplo introduciendo palos o cadenas por las ventanas de los choches para abrir las puertas. Ahora, han pasado a usar técnicas más actuales y sofisticadas. Estos ataques se dirigían a las llaves de proximidad, que son aquellas en las que no hace falta que el usuario las introduzca en la cerradura o el contacto del coche, basta con que estén cerca. Los hackers podrían capturar la señal inalámbrica para luego utilizarla, haciendo referencia al título de la charla. Estas técnicas no son nuevas, pero nos las demostraron en directo ¡trayendo su propio coche a la sala!

La última charla del día fue a cargo de Gonzalo José Carracedo Carballal. Se titulaba “The joy of bugging smart meters”.Por ley, los contadores de electricidaden España deben ser cambiados por contadores inteligentes. Estos dispositivos calculan la electricidad consumida en nuestros hogares y las envían a la compañía eléctrica. Funcionan transmitiendo sus señales a través de los cables eléctricos usando el protocolo PLC. Estas comunicaciones no son muy eficientes, tienen muchas interferencias y colisiones por lo que son muy lentas. Gonzalo nos enseñó que el protocolo de comunicaciones más usado en contadores inteligentes no es de mucha ayuda porque está mal definido y la implementación es muy insegura. Nos mostró cómo podía apagar el contador inteligente de cualquier vecino del edificio solamente contactándose a la red eléctrica de su propia casa.

“Fortificando Contenedores en Kubernetes like a boss”fue una charla que me gustó mucho. Francisco José Ramírez Vicente y Francisco José Ramírez Vicente nos enseñaron una aplicación vulnerable que habían desarrollado y la hackearon para mostrarnos como obtener toda su información sensible. Nos explicaron que mejorar la seguridad de Kubernetes no debe reemplazar la corrección de vulnerabilidades, aunque estas acciones defensivas pueden mitigar las vulnerabilidades y reducir el daño que pueda producirse. Repasaron los ficheros de configuración de los contenedores de Docker y Kubernetes y aplicaron una serie de buenas prácticas y mecanismos de defensa para evitar que los atacantes exploten las vulnerabilidades encontradas en el código de las aplicaciones. Alguna de las defensas explicadas fueron:

  • Utilizar imágenes “distroless” (imágenes muy pequeñas en las que un atacante no podría hacer casi nada en vez de imágenes reducidas como Alpine) que provengan de fuentes oficiales.
  • Crear usuarios y grupos para ejecutar aplicaciones en lugar de ejecutarlas como administrador.
  • Desactivar el modo privilegiado (si está activado en algún sitio por error).

En resumen, creemos que esta charla fue muy útil y seguro que nos ayudará a mejorar nuestras formaciones y recursos de seguridad internos.

El cracking de passwordses un tema que le pica la curiosidad a mucha gente y es una de las primeras cosas en las que pensamos cuando nos hablan de hackers. ¿No es así? Pablo Caro Martín nos mostró los principios básicos de crackear passwords. Esto es especialmente interesante para la gente que se está iniciando en el campo del pentesting, pero también nos recomendó una serie de herramientas utilizadas en la actualidad (en contraste con las más famosas, que ya empiezan a estar anticuadas).

Algunos ejemplos de estas herramientas:

  • Hashcat: herramienta para recuperar constraseñas desde hashes.
  • Fcrackzip: para crackear ficheros zip con password.
  • Truecrack: para crackear volumenes truecrypt (truecrypt ya está desfasado)

“Camino de hacktiago: tras los pasos de 14 increíbles cibersanturarios”fue una charla en la que José Manuel Vera Ortiz y David Marugan nos hablaron de varios sitios de peregrinaje muy especiales para el mundo de la tecnología. Desde el museo de la Informática de Valencia hasta la red de radares llamados Duga cerca de Chernobyl que se usaba para detectar posibles ataques de misiles de USA. También hubo un par de figuras históricas españolas que nos explicaron en la charla: Leonardo Torres Quevedo, inventor del control remoto o Angela Robles, quien inventó el precursor del libro electrónico o tableta.

Daniel García y César Gallego Rodríguez dieron una charla llamada “Del cielo al infierno pasando por entornos CI/CD” (from heaven to hell through CI/CD)en la que repasaron una serie de amenazas de las que podrían ser víctimas la infraestructura de Integración Continua y Entrega Continua. Desde los propios IDEs que filtran información a los repositorios, hasta obtener el control de equipos remotos a través de orquestadores de tareas como Jenkins. Esta charla fue muy interesante ya que CI/CD y DevOps son filosofías de trabajo y tecnologías muy utilizadas y pueden significar riesgos muy importantes para las empresas que las utilizan. Daniel y César comentaron que que más adelante recopilarán todas sus investigaciones y publicarán un libro online aquí.

Ernesto Sánchez Pano nos presentó “Hackeando sistemas de movilidad urbana compartidos”, una charla en la que nos explicó cómo funcionan los patinetes eléctricos y cómo hackearlos. Siguió explicando cómo modificarlos físicamente para robarlos y sus señales de GPS,GSM/4G y Bluetooth. También encontró una manera de desbloquearlos usando antiguas aplicaciones basadas en Bluetooth y también poder bloquear patinetes que estaban siendo utilizados por otras personas.

Como siempre hubo muchas otras charlas interesantes que vale la pena mencionar como:

  • Hackeo de redes de comunicación en aviones.
  • Ingeniería inversa de firmware de domótica.
  • Charlas de temas legales y DAOs (Organizaciones autónomas descentralizadas).
  • ¡Y muchas más!

Y recordad: think evil!