Ekoparty 2013: ejercitar las neuronas, divertirse, sorprenderse

(por Rubén Borlenghi, a.k.a. el Microsaurio *) Tres días intensos, con workshops, presentaciones, lockpicking, CTF, desafíos, wardriving, mucho human networking y un terrible fanatismo. Sí, eso, fanatismo. No me puedo explicar de otra manera que las personas de una fila de dos cuadras iniciada a las ocho y media esperen con toda calma casi dos horas para entrar a una conferencia, donde la última presentación se hace con tres horas de retraso y termina, a las diez de la noche, con aplausos para el disertante.

Para los detallistas, eso ocurrió el segundo día de la Ekoparty 2013, el jueves. Pero lo más importante no está en el tiempo perdido, sino en el conocimiento ganado. Porque de eso se trata: de distribuir conocimiento. Y eso no tiene precio, no podemos compararlo con el valor del ticket de admisión.

Ahí van ejemplos, para los que se la perdieron.

Lo del lockpicking, que es para los simplistas un juego de abrir candados y cerraduras, derivó en un recorrido a través de una caja más o menos laberíntica que contenía intrincados desafíos de apertura. Pero la cosa no terminaba ahí, porque también existía la oportunidad de verificar cómo se pueden fabricar unas excelentes huellas dactilares copiando las de un humano, a fin de engañar al detector de huellas de una laptop… o de una puerta. Saludos a los fanáticos de la mal llamada «seguridad biométrica».

El wardriving, bautizado desde hace años «el trencito de la alegría» permitió identificar a algunas empresas no-PyME donde los distraidísimos administradores de sistemas dejaron sus access points confiados a la in-seguridad de la WEP; y este año una buena cantidad de investigadores/as centraron sus esfuerzos en los teléfonos celulares inteligentes, las apps y el ubicuo Android. Se pudo saber cómo auditar la seguridad de las aplicaciones, cómo entrar, leer y salir de un teléfono, y cómo hacerlo más seguro (no faltaba más). Sobre «investigador-as» SI! por fin, investigadoras jóvenes (y bonitas) presentando su trabajo en la Eko. Joanna Rutkovska, ya no estás sola.

Y no todo fue adquisición de conocimientos: un esforzado equipo, después de más de dos días de teclear y exprimirse los sesos, se llevó el premio de Diez Mil Pesos destinado al ganador del Capture the Flag, despiadadamente diseñado con 18 desafíos, que incluyeron ataques de red, análisis forense o explotación de vulnerabilidades. Para los menos ambiciosos, ESET armó una competencia donde se debían analizar problemas de malware e ingeniería social, y Onapsis también propuso un desafío. En ambos casos había buenos premios. Headhunting? Bueno, un papel que vi por ahí preguntaba por programadores Phython, por ejemplo.

Todos los años hay en la Eko conferencias que se diferencian por contenido, originalidad del tema o precisión académica. De las de este año marqué seis entre las más de veinte presentaciones agendadas:

• * el detalle del trabajo realizado para fabricar, poner en órbita y analizar la telemetría del satélite Capitán Beto (dos kilos apenas) que todavía sigue dando vueltas allá arriba, relatado por Gerardo Richarte;
• * el implacable análisis de las máquinas para voto electrónico, expuesto por Harri Hursti, que entre otras cosas pidió a la audiencia que reflexione sobre cómo una nación puede confiar en tecnología de otros países para administrar nada menos que sus votos, esto es, la elección de sus gobernantes o legisladores… Un rengloncito apenas de la presentación indicó que en ocho años de investigación por grupos de universitarios independientes de cuatro países, se ha comprobado que las máquinas de voto electrónico son fácilmente hackeables, sin excepciones hasta el presente;
• * se pueden analizar fotografías y/o videos para marcarlos (o no) como pornográficos, con una razonable aproximación (un 70% de acierto, más o menos). La investigación de Matías Ré Medina y Patricio Palladino tuvo como premisa inicial invertir un máximo de algunas horas de Google y dos días de pruebas más un poquitín de coding en conseguir las herramientas informáticas (de uso libre, claro) que les permitieron plantear un algoritmo de análisis que funcionase, y diseñar la metodología de uso. Lo lograron, y lo demostraron en público, aunque tal vez la audiencia esperaba que las imágenes de muestra no estuviesen tan púdicamente censuradas en los lugares imaginables;
• * eso que usted vio en alguna película del Norte, donde al guardia nocturno le muestran una imagen falsa, que no proviene de una cámara de seguridad que fue atacada, sino de la compu del atacante, no es cosa de cine. Las cámaras IP son un desastre de inseguridad, y lo mostraron Francisco Falcon y Nahuel Riva, de Core Security;
• * la contraseña de un webmail que use https puede obtenerse fácilmente. Claro que sí. En veinte segundos, si la víctima usa Wi-Fi y está en la habitación de al lado. Todo gracias a IPV6… Es lo que demostró el Chema Alonso, en vivo, quien es el que se llevó los aplausos a las diez de la noche del larguísimo día jueves. Saludos al padre de la Evil Foca, que viene de causar sensación en Defcon 21…
• * Y la frutilla del postre, que mereció unos sorbos de booze: Lucas Apa y Carlos Penagos, de IOActive, mostraron las groseras fallas de seguridad que permitirían a un malvado atacante (no a ellos) controlar los sistemas de una planta generadora de energía eléctrica, o una refinería de petróleo. Pudorosamente no dijeron las marcas de los tan vulnerables equipos, pero sí indicaron que eran de tres de los más grandes proveedores mundiales del rubro. Un rinconcito de una slide me permitió ver, no obstante, que uno de los problemas descubiertos por ellos fue informado al Industrial Control Systems CERT del gobierno estadounidense. En efecto, en la nota de seguridad ICSA 13-248-01 que menciona a Lucas y Carlos, el ICS-CERT habla de la falla de diseño del sistema de generación de contraseñas del producto RadioLinx de la empresa ProSoft Technologies, e indica que ese software está en equipos que se usan para comunicar controladoras instaladas por las compañías Rockwell Automation o Schneider Electric. Seamos breves: acerías, plantas de refinación y destilación, usinas de producción de electricidad de grandes ciudades, más de una planta de generación por energía nuclear, todo muy simpático e inocente. Y sobre todo, es Infraestuctura Crítica, creo. ¿Cómo encontraron la pista? Con conocimientos, e ingenio. En cierto caso, además de transpirar mucho, Lucas y Carlos revisaron todos los manuales de uso de los equipos sospechados. En uno de ellos estaba una foto de pantalla del software, con una fecha. Un poco más de análisis los llevó a determinar que la base de la contraseña estaba derivada de una fecha dentro del producto, y que con diez minutos de ataque por computadora, buscando ese dato, se podía sacar el password de comunicación de determinado equipo. En cuanto lo contaron, brotaron los aplausos de la concurrencia, claro.

Esto es solo un corto resumen de lo que se pudo ver y escuchar en esos días. Hubo quienes se divirtieron, otros aprendieron mucho, saludaron y fueron saludados, y volví a mi cueva confiando en que el fanatismo de los asistentes estaba justificado. El año próximo veremos si se revolea un ejecutable al público o se postea en github, nomás. Todo es posible; sólo hace falta ejercitar las neuronas y eso la muchachada lo hace todo el tiempo.

(Nota de RDG) Geronimo Basaldúa, uno de los organizadores de la Ekoparty, en un aparte con los periodistas, listó unos 2200 registrados en la web, que resultaron en unos 1500 asistentes. Recibieron más de 200 papers de todo el mundo, quedaron 24 charlas, mucha gente de Latinoamérica, más de un 20%,

El tema de punta son los ataques SCADA (la charla de cierre), además hay mucha preocupación por los dispositivos móviles, solo el 3% de los Android tiene la última versión, y se detectaron 700.000 Apps maliciosas en el último año.

Cerró afirmando, acerca de BYOD: «está muy de moda el tema de crear políticas para los dispositivos que quieren usar los empleados, pero no son muchas las empresas que gasten en estas tecnologías».

* Publicado el 27 de setiembre de 2013 en tek-data.

(Nota de RDG) Geronimo Basaldúa, uno de los organizadores de la Ekoparty, en un aparte con los periodistas, listó unos 2200 registrados en la web, que resultaron en unos 1500 asistentes. Recibieron más de 200 papers de todo el mundo, quedaron 24 charlas, mucha gente de Latinoamérica, más de un 20%,

El tema de punta son los ataques SCADA (la charla de cierre), además hay mucha preocupación por los dispositivos móviles, solo el 3% de los Android tiene la última versión, y se detectaron 700.000 Apps maliciosas en el último año.

Cerró afirmando, acerca de BYOD: «está muy de moda el tema de crear políticas para los dispositivos que quieren usar los empleados, pero no son muchas las empresas que gasten en estas tecnologías».