Andsec Security Conference 2017: dos días en la colmena sintonizada

Fotografía de Guido Katz para ANDSEC

Sí, parecía eso; una colmena de cerebros que vibraban en las mismas notas. Dos días intensos, el 3 y 4 de junio (sábado y domingo, más de ocho horitas cada vez). Lo que sigue es un resumen a frases cortas de esas que ahora están de moda para los lectores de 140 caracteres, donde apiño mis impresiones.

Andsec: una conferencia de seguridad informática en un fin de semana, propuesta curiosa donde la posibilidad de no dedicarse al descanso o al ocio reparadores parecía encantar a una platea llena. A propósito de la platea, miniestadística a ojo de mal cubero: proporción celeste:rosa, 90:10; edad promedio 25 a 35 con algunos en cochecitos (sí, señor) más algunos que plateaban canas, incluyendo un pelilargo estilo Chacal pero con una cinta de Blackhat USA al cuello. Agreguemos entre la platea a bastantes programadores, incluyendo la joven de impecable inglés británico que se animó a hacer difíciles preguntas en directo a alguna celebridad presentadora; y alguno de los que estaban en jeans, en otros lugares podría usar ropajes de las no such agencies. Durante las presentaciones donde se mostraba código de programación, las preguntas del público no eran de principiantes. No, esta platea NO era de principiantes.

Los conferencistas, tampoco. La lista la podés consultar acá y según los recuentos que me alcanzó el amable personal a cargo de atender a la prensa (aprendan algunas otras Conferencias de Seguridad…) fueron veinticinco personas de ocho países al servicio de las orejas de mil cien asistentes. Observación aparte: el inglés de algunos conferencistas era mediano. Idea brillante que pronto será imitada: emitir por FM de baja potencia la traducción simultánea, ahorrándose al estimado público el engorro de retirar previamente los auriculares; cada niño/a con sus earbugs al propio celu y a otra cosa. Persona brillante: la encargada de traducir ese inglés mediano.

El esfuerzo de pilotear la conferencia estuvo a cargo de Matías Katz, Cristian Amicelli y nutrido equipo . Muy eficientes todos, incluso en el caso de un conferencista missed in action que fue solucionado al toque (el domingo). No es que se perdió para siempre. Sólo fue un caso de fuerte retraso por razones probablemente orgánicas.

Te llevo bajo mi piel

Lo que más impresionó al público, de lejos, fue el tema de la implantación subcutánea de microchips, encapsulados como los que se ven en esta página web, tarea que fue parte de un taller de la estadounidense Janine Medina, quien además presentó varios casos de robo de información médica residente en servidores, seguida de intentos de extorsión a clínicas/médicos/pacientes, o puestos en venta en la dark web.

Arranqué el sábado. Me quedé a presenciar cómo Nina Medina implantaba uno de esos chips, por lo que llegué tarde a la presentación de Gustavo Sorondo sobre cómo aprovechar determinadas fallas de aplicaciones para celular y me perdí a Luciano Martins y al uruguayo Mateo Martínez; sí escuché al brasileño Rodrigo Rubira Branco mientras  explicaba cómo puede sobrevivir un rootkit si no se piensa en examinar más que el kernel; Maximiliano Soler se metió en el Docker (es un decir) para mostrar cómo implementarlo con mayor seguridad, el terrible Babak Javadi (otro estadounidense) mostró que no hay cerradura con teclado que no pueda abrirse sin permiso (so far so good) y después el inefable s4ur0n español, aka Pedro Candel, se metió con el también inefable Edge para explotarlo mientras corría Windows 10. Y si de vulnerabilidades en Windows se trata, también estuvo el ruso Alex Matrosov (estrellas internacionales había unas cuantas…) para mostrar cómo se puede meter ransomware en el firmware de una motherboard usando… un archivo de Word debidamente modificado. Todo eso en el primer día, mientras por el lado de los talleres, además de implantar chips anunciaban que se mostraría cómo anonimizar un ataque (ese era el español Adrián Ramírez) o cómo es la estructura de un ataque eficiente mediante Distributed Denial of Service a cargo del israelí Ben Herzberg. Me fui cuando empezaba a probar sonido la Power Up Band. Sonaban realmente muy bien, pero yo tenía temas pendientes en casa.

Mediodía sin tallarines

Según parece, lo de la Power Up Band tuvo como continuación musical un ruidoso local nocturno hasta altas horas del día siguiente (que anticuado estoy con la redacción…) lo cual justificaría el horario oficial de inicio, la una de la tarde, y la modificación de horarios que comenté antes. La música de aguante prevista hasta que se llenara la platea estaba a todo trapo. Tal vez además del pop, disco y rock, un poco de No Carrier hubiera ilustrado a las masas…

Puntualmente inició Melanie Segado, llegada del Canadá y que está haciendo el doctorado en neurociencias. Prometedor el título: Your thoughts are safe (for now) Ese “por ahora” no dejó tranquilo a nadie. Habló de electroencefalógrafos, resonancias magnéticas, electrocorticografías y espectroscopía en infrarrojo cercano. Métodos variados para observar la actividad cerebral, midiendo cogniciones, sensaciones, emociones, lenguaje. Algo de lo que uno no debería preocuparse: que se puedan “leer” los pensamientos. Algo que sí es para preocuparse: que la información obtenida por los instrumentos será interpretada por un operador. Y que la información no puede anonimizarse, es posible identificar sujetos. Consejitos que ojalá no haga falta usar: en caso necesario, haga movimientos con músculos de la cabeza (apretar las mandíbulas, por ejemplo); mueva un dedo del pie; cuente mentalmente desde 200 a 1 número por número. Al terminar invitó al publico a su taller de estimulación cerebral, donde (dijo) explicaría cómo construir un equipo para hacer… eso. Estimular el cerebro.

Siguió Adrián Ramírez (ya lo presentamos arriba) que recordó a los presentes que hay un periférico terriblemente vulnerable al que no se le hace mucho caso: se llama impresora. En efecto, hace más de diez años que se sabe cómo se entra en las redes buscándolas y se amarga la vida de los admin. Agregar a eso que muchas impresoras preparadas para trabajo corporativo tienen disco duro. Y que esos discos en general se van de la empresa junto con la máquina, sea por renovación o por fin de un alquiler. Y se van con un tesoro de información en la barriga.

RTFM no es “read the fucking manual”

Llegó el momento de presentar a… pero no estaba. Matías lo comentó claramente, y luego de alguna mirada al costado de la primera fila donde estaban los presentadores (incluido Babak, muy bien acompañado) le agradeció a Martín Pettinatti la decisión de tapar el bache. Martín explicó muy eficientemente cómo se modifica la opinión pública mediante la manipulación del lenguaje y los significantes vacíos. Lo hizo tomando ejemplos de videos de la campaña de Trump en EE UU. Una presentación breve, específica y contundente.

Subió luego al escenario el brasileño Thiago Bordini, que mostró variadas formas de delitos relacionados con el ataque a las máquinas PoS de los comercios, usando malware o skimmers. Y un caso muy interesante: cómo unos delincuentes capturaban los datos de las tarjetas de crédito de los compradores, dentro de una empresa grande, a distancia y sin dejar rastros. Para abreviar (la presentación fue detallada y… larga) luego de analizar el tráfico de red, se revisó palmo a palmo el local comercial. Detrás de un lector de precios que estaba desconectado apareció algo similar a un switch ethernet chico. Lo desconectaron. Cesó el ataque. La empresa de Thiago armó un entorno similar al del local comercial, conectaron allí el elemento sospechoso y estudiaron el tráfico de la red. Luego desarmaron el switch, y dentro encontraron (además de los componentes originales de un switch) un dongle 3G USB que se comunicaba con el Command and Control del atacante, una mini PC y una memoria microSD de 8GB. Fin de la historia, todos los delincuentes detenidos y el final de un robo millonario. Aplausos para Thiago, y escuchamos a Pablo Lázaro y Ariel Maiorano, de la Policía de Seguridad Aeroportuaria, que presentaron un sistema de reconocimiento automático de imágenes basado en software libre, que analiza la salida de los scanners de rayos x empleados en el control de equipajes para identificar armas o explosivos. Buena recepción por parte de la concurrencia.

Tomó la posta Ben Herzberg, el mismo que dio el taller sobre DDoS. Esta vez explicó el trabajo de su empresa analizando botnets, tomando como ejemplo el trabajo que hicieron para identificar y ayudar a neutralizar los botnets de equipos IoT capturados por el malware Mirai a fines de 2016. Terminó la presentación y el equipo RTFM, encargado de la competencia de Capture The Flag anunció los resultados, donde estuvieron muy bien ubicados los equipos locales. Ah, RTFM no es en este caso “read the fucking manual” sino Red Team Freakin’ Maniacs. Según comentarios de la platea, estos brasileños son muy buenos organizadores de competencias.

Cerró la lista de presentaciones el español Rafael Revert, con una muy interesante y detallada explicación de cómo se trabaja en la in-seguridad de los cajeros automáticos. Además de las explicaciones genéricas, mostró cómo identificaron al desarrollador de un malware empleado para generar extracciones de dinero fraudulentas mediante un software que se cargaba en los cajeros empleando un cómplice local. El avispado programador de ese eficiente malware… era el traicionero programador original contratado tiempo atrás por la empresa de los cajeros para trabajar en el software original que se proveía con las máquinas. Explicó cómo se usa ese software “vaciador de cajeros”, dio las marcas de los cajeros (vi que se usan en Argentina también) y mostró varios videos tomados de las cámaras de seguridad bancarias, donde se observa cómo accionan los delincuentes al atacar las máquinas. El ejemplo que arrancó risas de la platea fue el que mostró cómo solucionaron en Brasil el problema de robar varios cajeros al mismo tiempo, sin disponer de software de ataque: simplemente se envió al banco una banda de unos treinta ladrones, más varias camionetas, y a mazazos voltearon diez cajeros y los cargaron en los vehículos.

Terminó la parte académica, hubo una entrega de premios y regalos, Matías Katz llamó al escenario a sus numerosos colaboradores y la bandada de la platea se preparó para dispersarse.

Fotografía de Guido Katz para ANDSEC
La controvertida Janine Medina implantando un chip subcutáneo en la mano de un asistente.

(Fotografías gentileza de Guido Katz para ANDSEC)

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.