Especial Ekoparty 2017: ¡No es una conferencia, es una impresora!

Otro año para juntarse a recargar neuronas. Varios ataques a celulares, a fundamentos de Java y a la electrónica del auto, wardriving y… el voto electrónico. Una conferencia de seguridad electrónica extensa, cargada de información y muy apta para el networking. Hoy te cuento lo que vi el primer día, como para que vayas tomándole el gustito.

 

Luego de la más rápida y prolijita acreditación que vi en diez años, llegamos a la acostumbrada espera en la sala llena de gente y por fin la presencia de Fede Kirschbaum. Saludos varios, aplausos y comenzó la Eko 13. Ah, la frase sobre la impresora ahí arriba es el lema oficial de esta Eko, parafraseando una enigmática hipérbole de un vendedor de máquinas, hablando de sus procesadoras de electroboletas, también mal-llamadas máquinas de votar, que él dijo que no eran computadoras sino impresoras…

 

Pero vamos por partes, como diría Jack.

 

La mañana

La primera presentación la hizo Alejo Popovici, de Immunity, que eligió el sonoro título de The Java soothsayer: A practical application for insecure randomness vulnerabilities para machacar concienzudamente la (pobre) calidad del randomizer de Java. Hizo una honesta introducción, enumerando los polisílabos que pueblan los informes preparados para los clientes en una empresa dedicada al pentesting, justo cuando no se encuentra nada mostrable. Su frase más académica, una verdadera confesión, fue que en cuanto a esas frases ampulosas, “everything in between is chamuyo”, lo cual a fuer de cierto me llevó casi hasta las lágrimas. Pero se ganó los aplausos al mostrar que la falla era verdadera, y se podía predecir el azar, lo que no es poco.

Lo siguió Marcelo Romero, especialista en informática forense del Ministerio Público Fiscal de la Ciudad de Buenos Aires, que con su Bypass Android Hack sorprendió a la platea, al mostrar cómo se podían leer chips de celulares, y “levantar” el contenido. Sacándolos del celular, claro. Recordó arteramente que en el famoso caso del iPhone de USA, el FBI pagó un palo verde para que le entregaran algo parecido. Él acá en BAires se las arregló con un pedazo de madera y unos diez trozos de alambre de cobre. Los alambres de cobre, soldados a los pines del chip, y pasados a unos conectores. ¿Y la madera? Aguantando los alambres clavados a ella, porque para eso es aislante (cuando está seca). Lo crucé rato después en un pasillo, y me confirmó que lo del pedazo de madera era para demostrar que se puede hacer; pero en realidad él trabaja con herramientas e instrumental adecuado, y que el presupuesto oficial alcanza para un ingeniero electrónico como ladero. Lo cual logró que me bajara la presión; como viejo fierrero ya me estaba espantando de que lo hicieran trabajar “a pedal”… Lo aplaudieron a rabiar, y se lo había ganado.

Pausa, y a seguir. Dejando el tema de penetrar celulares, pasamos a las monedas electrónicas. Más exactamente, al blockchain que anda detrás. Automatic bugfinding for the blockchain fue el título elegido por Felipe Manzano y Josselin Feist de Trail Of Bits para ponerse a mostrar vulnerabilidades en el lenguaje Solidity que está detrás de los contratos inteligentes de la plataforma Ethereum Blockchain. Y presentaron, además, a Manticore, un motor de ejecución simbólico dinámico que (dijeron) permite la detección automática de vulnerabilidades. La platea estuvo de acuerdo, y yo aprendí algo más.

La siguiente presentación, Blue Pill for your phone, era sobre procesadores ARM. Y sobre celulares. Alex Bazhaniuk, un ex-Intel Security (y además ex-organizador de CTF en Ucrania…) se dedicó a aporrear smartphones Nexus y Pixel, metiéndose en el kernel y recordando algunas fechorías de la brillante Johanna Rutskovska.

Jugando con esas ideas analizó problemas de hipervisores y TrustZone, para instalar un rootkit de virtualización en el hipervisor. También se ganó el aplauso de la platea.

 

La tarde

Llegó el almuerzo y vuelta a subir al auditorio. Esta vez, para ver a Sheila Berta y Claudio Caracciolo, de Eleven Paths, mostrando The Bicho: An Advanced Car Backdoor Maker. Se trata de un muy interesante desarrollo basado en sus investigaciones mostradas el año pasado en la anterior Eko. Este Bicho fue presentado en Black Hat USA (Las Vegas) en julio de 2017. Realmente son dos conceptos: una pequeña placa de circuitos, un hardware-backdoor para el bus CAN de un automotor, llamado The Bicho, que contiene integrados y conectores. Y un software de control, Car Backdoor Maker, con una interfaz gráfica muy cómoda. Sheila se preocupó de aclarar un par de veces que ese desarrollo NO es un Arduino modificado, y para demostrarlo puso en pantalla un prolijo dibujo de circuito y explicó la parte electrónica de las fuentes de alimentación y el camino de las señales. Este diseño de placa no es el mismo que el de la Eko anterior, y el nuevo software permite diseñar varios tipos de ataques. Por ejemplo, se pueden cargar las coordenadas GPS de un lugar real por el cual pasará el vehículo y cuando llegue allí, se ejecutará una trama a elección; otro ataque podría ser que se detecte una trama (una maniobra, una temperatura…) en el coche y se ejecute *cierto ataque* predeterminado. Escalofriante…

Llegó el momento de una demo en vivo. En el patio del Konex había una camioneta que, al enviarse un SMS desde un celular, haría señales de luces. Una cámara nos traía la imagen al salón. Claudio tomó el celular y envió el mensaje. Todos miramos la imagen de TV de abajo. Nada. Claudio probó otra vez. Nada. En fin. Lo aplaudieron igual. Según la Ley de Mu..hy, las demos funcionan en casa pero no en público. Y yo no escribo completo el nombre de ese porque quiero terminar de escribir sin que el teclado se pudra.

Y llegamos a la presentación del profe Diego Aranha, del brasileño Instituto de Computadoras en la Universidad de Campinas. SU tema era (In)security of e-voting in Brazil y de eso se trataba: las fallas de seguridad del sistema de votación brasileño. Como para calibrar quién es Diego Aranha, te cuento que Google Inc. le otorgó el premio Google Latin American Research, y el Massachusetts Institute of Technology le dio el premio a innovadores menores de 35 por su trabajo en voto electrónico.

En el escenario de la Eko mostró los defectos encontrados durante una muy restringida serie de pruebas, que los académicos brasileños pudieron realizar en 2012 sobre máquinas de votar empleadas en su país. (Al menos allá el gobierno se atrevió a darlas a probar, pensé entristecido). Eso sí, Diego detalló los estrictos límites puestos a los investigadores: tenían el código a la vista, pero no se podía llevar papel, lápices ni menos fotografiar ese código. El tiempo de examen era acotado a pocas horas una sola vez (nade de dejártela un par de días) Aun así, encontraron y demostraron fallas de seguridad como el defectuoso generador de randomización, la posibilidad de perder el secreto del voto o la integridad de la boleta electoral, e hicieron sugerencias para solucionarlas. Además, dos años después Aranha preparó una app para celular que permitió verificar la transmisión de los resultados en una votación real.

 

Café o cerveza

Después de la presentación de Diego Aranha hubo un descanso para tomar algo (que podía ser café o una excelente cerveza artesanal) y presenciar las dos presentaciones que cerraban esta tarde. Una era The “Bird” That Killed Arbitrary Code Guard, por Alex Ionescu, jefe de arquitectura en CrowdStrike. Dado que el Arbitrary Code Guard es un componente de Windows 10 que tuvo fallas de seguridad a principios de este año, el tema pintaba fuerte. Y la otra presentación era Abusing GDI for ring0 exploit primitives: Evolution, por Nicolás Economou. El título contiene una “evolution” porque después de la aparición de técnicas para abusar de objetos GDI en Windows 10, Nicolás presentó en la Eko de 2015 “Abusing GDI for ring0 exploit primitives”. Hubo más fallas, y en la Eko 2016 Economou volvió con “Abusing GDI for ring0 exploit primitives: Reloaded” Así que ahora, la evolution esa también se las trae…

Pero justo a esa hora había llegado el momento del Panel de Voto Electrónico, que fueron tres paneles, y allá me fui, pero eso te lo cuento la próxima.

Sheila Berta y Claudio Caracciolo haciendo la demostración de The Bicho, un hard-soft que permite tomar control remoto de un auto.

Rubén Borlenghi, el Microsaurio

Docente y periodista. Investiga ataques informáticos desde que un virus le comió una nota hace 25 años. Los verdaderos hackers le cuentan cosas.

Ver todas las entradas de Rubén Borlenghi, el Microsaurio →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.