Ekoparty 14: más que una conferencia, una juntada

Final del resumen de las conferencias, donde uno (o una) puede enterarse de lo que pasa donde confluye buena gente, mucha conversación, bastante programación y un poquito de cerveza (en fin…)

Primeras horas (laborables) del viernes. El get together del anochecer anterior había dejado algunas víctimas por el camino. Pasada la acreditación, que anduvo como un violín sacando una que otra chispita, el patio se fue llenando de jugadores/as de metegol, escuchadores/as de música y conversadores/as. Hora de subir al auditorio. O de quedarse charlando en la barra de abajo.

La primera presentación era For the Love of Money: Finding and Exploiting Vulnerabilities in Mobile Point of Sales Systems, dedicada a las terminales de punto de venta móviles, los mPOS. La didáctica Leigh-Anne Galloway, de Positive Technologies, secundada por Timur Yunusov, dio cantidad de datos sobre esas terminales, incluyendo las que se acoplan a un celular; entre ambos detallaron las in-seguridades que no han sabido eliminar los proveedores más conocidos, como PayPal, iZettle y Square, que también distribuyen equipos en Sudamérica; demostraron que por muy poco dinero se puede obtener hardware que puede pasarle órdenes a un aparato de esos (transacciones falsas), y exhibieron varios intentos exitosos de ingreso de falsas transacciones.

Por si a alguien le ha picado la curiosidad, aquí la prolija Leigh-Anne ha posteado algunos hallazgos de sus investigaciones. Moraleja breve: parece que en Ciertos Casos esas transacciones son casi tan seguras como cuando le das tu tarjeta al empleado del restaurante…

For the love of money

Mientras todavía sonaban los aplausos salí para seguir mi ronda por otros espacios de la Eko. Por eso no presencié lo que explicó Enrique Nissim, de IOActive Labs, que en Don’t Trust the NIC: Attacking Windows NDIS Drivers señaló (me dijeron) fallas en los drivers de los adaptadores de red y otros segmentos de software que se instalan en Windows, por ejemplo, al trabajar con algunas VPN. Observación lateral para quienes se perdieron anteriores notas sobre pasadas Eko: el Chief Technology Officer de IOActive es César Cerrudo. Y uno de los miembros del advisory board de la empresa es Steve Wozniak. El otro fundador de Apple, che.

Quienes siguieron en el escenario fueron Alex Bazhaniuk y Jesse Michael, de Eclypsium (Oregon USA). El título: Bricking or Implanting Servers: Not as Hard as You Think! y el tema (evidente): cómo atacar servidores, buscando —ellos también— hardware con fallas en el área de control o administración de equipos en un datacenter. Para no alarmar demasiado a los sysadmin, prometieron explicar “opciones de detección y mitigación”. Sabia decisión.

Pausa para comer algo.

Llegué a la sala principal justo a tiempo para escuchar a Maria José Erquiaga y Sebastián García, que acapararon la atención de la concurrencia (hoy estoy muy siglo pasado) con To Execute or Not to Execute. How to Build a Malware Execution Lab. Y explicaron exactamente eso: cómo se diseña, implementa, administra y comunica… un laboratorio donde se le da “aceptar” a todo lo que NO había que ejecutar. Y hablaron de mantener repositorios con decenas de miles de ejemplares.

Malware execution lab

Luego de explicar cómo y dónde se consiguen las muestras de ejecutables dañinos (el malware, caramba), cómo se lo ejecuta en entornos restringidos, y que es necesario mantener informadas a autoridades y proveedores para no sufrir cortes de comunicaciones o suspensión de la actividad. Mostraron la estructura de un laboratorio tipo, de acuerdo con la experiencia de ambos en el Stratosphere Lab de la Universidad Técnica Checa en Praga, donde ambos se desempeñan (Sebastián es el fundador del lab). Este proyecto impulsa la producción de software de IDS apoyado en machine learning, gratuito y en versiones Windows y Linux, y recomiendo darse una vuelta por la web donde está la documentación. Y sí, al final arrojaron unos pendrives con muestras de malware a la entusiasmada platea.

Otra vez me fui a deambular por los pasillos, mientras Diego Provinciani presentaba ROP Chain Execution Detection Using Intel PT. Las herramientas para detectar ataques siempre serán bien recibidas, y en este caso Diego desea usar una tecnología de Intel incorporada en los procesadores Core iX, que permite monitorear procesos en ejecución. Paseando por el GitHUb encontré este trabajo de Diego. Neófitos abstenerse; avanzados, revisar.

A continuación, estaba anotado en la lista de oradores (sigo anacrónico…) Salvador Mendoza con NFC Payments: The Art of Relay and Replay Attacks. Según parece, los sistemas de comunicación con la cuenta corriente que no son una compu sobre una mesa y conectada a Internet por un cable, van avanzando. Y claro, como al fin de cuenta las otras formas de comunicarse con una tarjeta bancaria son por radio (eso es NFC), son más fáciles de interferir.

Aprovechando los aplausos que despidieron a Salvador, me acomodé a escuchar a Daniel Gutson, que en Sleeping with the /*Enemy*/ Compiler: Software Vulnerabilities Caused by Optimizations se ganó la complicidad de muchos desarrolladores de la platea, quejándose con entusiasmo sobre las podas que un compilador realiza mientras el usuario cree que “optimizar” es una palabra muy real. Y siendo un miembro del comité de estandarización del lenguaje C++, no es como para discutirle.

Sleeping with the enemy compiler

Además de dar muchos ejemplos, mostró algunas de las variadas ocasiones en que los especialistas han encontrado una falla en una optimización, la han comunicado y esperaron (por ejemplo) seis años a que esa falla se reparara… o no.

Dejó Daniel el escenario y subió Ben Schmidt, para presentar Smart Contract Honeypots for Profit (and probably fun). El tema de las criptomonedas le interesa a la platea, así que escucharon con atención. Schmidt explicó que los Smart Contracts de Ethereum son, básicamente, segmentos de código que significan un compromiso (contrato) entre partes. Contienen instrucciones, que significan más o menos “si se encuentra este dato, ocurrirá esto otro”, y entre ellas está la cantidad de Ethereum, fecha, datos del usuario; y una vez ejecutadas, dan una salida que se graba en una cadena teóricamente inmutable. Pero… existen estafadores que generan un contrato que parece haber sido escrito por alguien desprolijo o principiante, donde se ha dejado abierto parte del código, lo que permitiría modificar el contrato con ventaja para un tercero. Y ese tercero, encantado, se dedica a modificar el código para esquilmar al incauto. Y como sucede algunas veces, el estafador-cazador resulta cazado.

Cerca del final, Ben Schmidt mostró un listado de valiosas herramientas y repositorios de datos.

Smart contract

Se terminaba la lista de charlas, y llegó más público porque todos esperaban la presentación de James Barclay de Duo Security, con MDM Me Maybe. La charla ya había sido comentada en la prensa internacional (The Register, Apple Insider, ZDNet, los adinerados de Forbes) agregando que se iba a revelar en estas pampas del sur un conjunto de fallas de seguridad que podría afectar a los clientes corporativos de Apple. Justamente esos que son capaces de comprar 200 celulares, o 400 laptop, y claro, aprovechan la sugerencia de Apple de que el inventario de esa tropa de costoso hardware se controle con software de la manzanita. “Y bueno, si los fabricaron, no está nada mal que ese software los administre”, habrá sido la frase de algún CIO al firmar el contrato.

Pues no. Un paciente trabajo de recolección de información le permitió a James ubicar, por ejemplo, la metodología usada por Apple para “construir” el código de serie de cada aparato.

MDM: número de serie

Dentro de la cadena de números y letras está el lugar donde se fabricó, la fecha en que se cerró el equipo (a nivel de semana, así que son 52 posibilidades) y el tipo y clase de aparato.

El control de los equipos, que se puede hacer con uno solo (si el fanboy se banca) es un producto con dos patas: el DEP (device enrollment program), el concepto de tener un soft que arma el inventario, y el MDM (mobile device management), la idea de tener un server desde el cual se gerencia a los dispositivos.

¿Y dónde está el problema? En que el dato de la autenticación es… el número de serie. Que como vemos, no es muy difícil de deducir. Se puede declarar una máquina extraña en el servidor de MDM de una empresa. ¿Y eso para qué sirve?

MDM ataques

Según Barclay, para configurar una VPN, adjudicarse contraseñas wifi, ingresar certificados… todo lo que esté autorizado a hacer (u obtener) un usuario legítimo.

Aplausos nutridos de la platea, sobre todo después de que apareció el disclosure timeline que informó que estas vulnerabilidades se publicaron por primera vez en esta Eko.

Llegó la hora del cierre, y se anunciaron varios premios:

  • El Premio a la Trayectoria, para César Cerrudo (actual CTO de IOActive USA), de quien los memoriosos recordamos su Argeniss, la empresa que tenía como lema “nosotros rompemos Oracle”, según puntualmente publicamos hace más de una década.
  • Premio a la mejor presentación, votado por las/os asistentes, “por su rigor científico, calidad del presentador e importancia de la investigación” conferido por la manada a Nahuel Grisolía, por su “Knocking down the big door” del miércoles a la mañana.
  • Premio EKOPARTY 2018 GOLD BADGE para Sebastián Muñiz, que afirmó que alguien le dijo que se lo dieron “por haber sido una P.I.T.A. por muchos años”.

Y a punto de dar el saludo final, Fede Kirschbaum confirmó al público lo que había anticipado en la semana: Es un orgullo anunciar que en el 2019 vamos a tener dos ediciones de @ekoparty; ¡¡¡USA y Argentina!!!

Gritos y aplausos a rabiar.

La próxima, lo que pasó afuera y durante las conferencias. Stay tuned!

Rubén Borlenghi, el Microsaurio

Docente y periodista. Investiga ataques informáticos desde que un virus le comió una nota hace 25 años. Los verdaderos hackers le cuentan cosas.

Ver todas las entradas de Rubén Borlenghi, el Microsaurio →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.