viernes, 11 de octubre de 2013

Navaja Negra Conference (2 de 2)

Este es la segunda parte del resumen de las conferencias "Navaja Negra" realizadas en Albacete entre los días 3 y 5 de octubre de 2013.

[Continuo el resumen donde lo dejé, en la primera sesión de la tarde del segundo día.]

========== Día 2 ==========

"Economías criptográficas" (Sergi Álvarez "Pancake")

Sergi Álvarez (@trufae) trató el tema de los Bitcoins, la moneda digital creada en 2009 por Satoshi Nakamoto. Tras una interesante introducción sobre los orígenes de Bitcoin (BTC) y el enigmático personaje (o grupo) que se esconde tras "Satoshi Nakamoto" (algunas teorías aseguran que es la NSA quien está detras ese seudónimo), la charla abarcó los cuatro aspectos imprescindibles para entender el funcionamiento de Bitcoin: Economía, Criptografía, Redes P2P y Hacking. Detalló el funcionamiento de las transacciones con Bitcoin, destacando la importancia del "blockchain" (la cadena de bloques donde se guardan todas las transacciones).

Pancake también se refirió a otras criptomonedas como FreiCoin, LiteCoin, PPcoin, etc. En www.coinchoose.com puede verse una extensa lista y su relación con BTC. También existen sitios como www.bitstamp.net que permiten "tradear" con Bitcoin (comprar, vender o intercambiar BTC con moneda corriente (USD, EUR, ...)). A día de hoy, el cambio de BTC está a unos 120$.

"Trash Robotic Router Platform (TRRP)" (David Meléndez)

David Meléndez (@taiksonTexas) nos presentó su nuevo Cuadricóptero ATROPOS (algunos ya lo habíamos visto en la Rooted 2013, pero a Albacete vino con un algoritmo mejorado). Se trata de un drone de 4 hélices construido a partir de material reciclado. Para ello ha aprovechado una Fonera reconfigurando el servidor web para el control de vuelo del aparato via WiFi, o el giroscopio y el acelerómetro de los mandos de la Wii para estabilizar el cuadricóptero. Más información en la web del proyceto: http://taiksonprojects.blogspot.com.es/

Aunque asegura que no sabe manejar el drone (las pruebas las realiza un amigo suyo aficionado a los vehículos de radiocontrol) en esta ocasión, y con algunos nervios, se atrevió a realizar un vuelo del aparato en directo sobre el escenario, que fue todo un éxito.


"How I met your botnet" (Manu Quintans & Frank Ruiz)

Manu Quintans (@groove) y Frank Ruiz (@francruar) dieron un repaso a la situación actual del cibercrimen poniendo de manifiesto que, dado que los foros underground donde se reunen los cibercriminales son muy cerrados, la información sobre las amenazas es muy especulativa. Ambos realizaron un buen análisis comparativo sobre las diferencias entre los troyanos que operan en diversas partes del mundo: Asia, Latinoamérica, Rusia, o Estados Unidos y Europa. Por otro lado comentaron como funcionan los "Affiliatte Programs" para la distribución de malware.

Tras citar distintos tipos de malware como RAT, Ransomware, distintos troyanos bancarios (SpyEye, Citadel, Kasper) concluyeron con una demo del funcionamiento de una botnet.

"LIOS: A tool for IOS Forensics" (Lorenzo Martínez)

Lorenzo Martínez (@lawwait) presentó su herramienta LIOS#FF para el análisis forense de dispositivos iOS (Lorenzo aclaró que se refiere al sistema operativo de los iPhone , no al IOS de Cisco!). La herramienta permite extraer la información de los datos de usuario y apps (agenda, contactos , llamadas, fotos, notas, historial de navegación, etc.) y, lo que es más interesante, permite clasificarlo todo en una especie de timeline o linea temporal para analizar la actividad completa del usuario en el intervalo de tiempo que se desea investigar.

========== Día 3 ==========

"El lado oscuro de TOR: La Deep Web" (José Luis Verdeguer)

TOR fue creado en 2002 a partir del proyecto "Onion Routing" del Laboratorio de Investigación Naval de los Estados Unidos (NRL en sus siglas en inglés) y actualmente esta siendo mantenido por "Tor project" (www.torproject.org). José Luis Verdeguer (@pepeluxx) aclaró que TOR no es la Deep Web sino una forma de acceder a ella. En su presentación destacó que "se puede utilizar TOR de dos formas: para acceder anónimamente a la red, o para acceder a la red formada por dominios .onion que ofrecen acceso a servicios ocultos."

"Anteproyecto del código procesal penal: Análisis Técnico" (GDT)

César Lorenzana, del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil se refirió al anteproyecto de reforma de la Ley de Enjuiciamiento Criminal (LECrim). Señaló que esta Ley es del año 1882 y aunque, en su momento, regulaba perfectamente el control de las comunicaciones postales, con la aparación de nuevos medios (telégrafo, teléfono, móviles, Internet, comunicaciones cifradas) se ha intentado asimilar su aplicación aunque en algunos caso se ve claramente ineficiente.

Por su parte, Javier Rodríguez (@javiover) explicó algunos de los métodos de protección que han implantado en su "Herramienta de Inspección Remota" (él lo definió como "buenware").

"Divulgación del trabajo de la Brigada de Investigación Tecnológica" (BIT)

David Pérez, de la BIT (que ahora pasará a llamarse UIT - Unidad de Investigación Tecnológica) de la Policía Nacional nos puso al corriente del nuevo plan estratégico llamado "Policía 3.0" al mismo tiempo que describía la estructura y el funcionamiento de la unidad (fueron los encargados de realizar la investigación sobre Ransomware que finalizó con 11 detenidos por el caso del llamado "virus de la policía"). Para finalizar lanzó a la sala una solicitud de colaboración, por parte de los asistentes, en la lucha contra el cibercrimen.

Mesa redonda: "CFSE, Troyaos, hackers y demás fauna"

Los tres días de jornadas concluyeron con un interesante debate moderado por Daniel García "cr0hn" que contó con la presencia de todos los ponentes de la mañana a los que se sumó el abogado experto en Derecho Tecnológico Pablo Fdez. Burgueño (@pablofb). El público participó activamente con un gran número de preguntas que abordaron temas como PRISM, SITEL, el caso Snowden, la responsabilidad penal en determinadas acciones, o donde está el límite legal para un investigador o auditor de seguridad. También se debatió a fondo sobre la necesidad de unificar las normativas internaciones o que herramientas de colaboración están a disposición de las policías de distintos países, en este sentido, César Lorenzana concluyó que "estamos haciendo frente a un fenomeno global con normativa local".

Al finalizar el evento, disfrutamos de una estupenda comida en la que pudimos intercambiar impresiones con la práctica totalidad de los ponentes de esta edición de "Navaja Negra" y en la que todos coincidimos en agradecer a los organizadores, colaboradores y voluntarios su dedicación para sacar adelante estas jornadas y la excelente acogida que nos brindaron.

jueves, 10 de octubre de 2013

Privacy and Body Scanners at EU Airports

¿Escáneres que nos muestran desnudos?

El año pasado, en el número 217 (mayo-junio) de la revista Novática se publicó un artículo mío titulado "Privacidad en los escáneres corporales en los aeropuertos de la U.E." [consulta el artículo].

Ahora, se acaba de publicar un número especial de Novática en inglés que lleva por título "Privacy and New Technologies" que incluye mi artículo (revisado y  actualizado).  Esta edición, realizada en colaboración con Privacy International, es de acceso es libre y gratuito.



En el artículo repaso aspectos como:
  • análisis de las diferentes tecnologías de escaneo existentes,
  • marco normativo europeo,
  • nivel de adopción de estos dispositivos en los distintos países de la UE, 
  • impacto de estas medidas de seguridad sobre la privacidad de los usuarios.
Puesto que había transcurriso casi un año desde la publicación del artículo original (y un año y medio desde la investigación que dió lugar al artículo) mientras realizaba la traducción aproveché para actualizar el contenido del mismo ya que en este periodo ha habido algunos cambios en relación a la implantación de los escáneres corporales en los aeropuertos europeos.

A continuación copio el abstract del artículo y los enlaces al contenido completo del mismo en la web de ATI (Asociación de Técnicos de Informática).

 
Acceso al número especial de Novática: http://www.ati.es/novatica/2013/ASA/nvS2013sum.html
Acceso al artículo (PDF, 6pág., 280 KB, Inglés): http://www.ati.es/novatica/2013/ASA/NvS2013-49.pdf 
Acceso al artículo original, en español: http://blog.joanfi.net/2012/09/privacidad-en-los-escaneres-corporales.html 
  
At the beginning of 2010, with the aim of improving aviation security controls, some airports started to use full-body security scanners, also known as body scanners or  security scanners. Body scanners make a full body screening of passengers, producing detailed images of the screened person’s body in order to detect both metallic and non metallic  objects that might be concealed under the clothes.   
  
Deployment of such scanners may entail an invasion of people’s privacy since they produce a detailed display of the passenger’s  body with no clothing, revealing anatomical details and private parts, including medical prostheses.   
 
This article will analyse the currently existing screening technologies (millimetre wave systems -active or passive- and X-ray backscatter systems) as well as their level of deployment at EU airports, focusing on the impact they may have on passengers’ privacy. In order to  harmonize the various national regulations, the European Commission has passed a proposal on the use of body scanners at European airports, scanners which shall only be used under  specific conditions.

martes, 8 de octubre de 2013

Navaja Negra Conference (1 de 2)

[Nota: Debido a su extensión, he divido el post en 2 entradas.  En breve publicaré la 2ª parte]
 
[>>>>>>>>>> Actualizado: 11/10/2013: Enlace a la 2ª parte <<<<<<<<<<]



La semana pasada tuve ocasión de asistir a las conferencias "Navaja Negra" que tuvieron lugar en Albacete. En tres días (del 3 al 5 de octubre) pudimos disfrutar de hasta 21 charlas sobre seguridad informática, a cual más interesante (ver programa).

Esta 3ª edición congregó a casi 200 profesionales, expertos, estudiantes, interesados, amantes etc. de la seguridad informática en un espacio donde compartir conocimiento y experiencias, siempre fieles a los 3 principios con los que se creó Navaja Negra según declaran sus organizadores "Humildad, Compartir y Aprender".

Trasladarse de Barcelona a Albacete, desde un punto de vista logístico, no es tarea fácil (motivo por el cual no asistí al evento del año pasado), así que para este año me propuse realizar el trayecto en coche. Nunca podré agradecer lo suficiente al que tuvo la feliz idea de incluir en la web del congreso el enlace "comparte coche", gracias al cual encontré a otros 3 compañeros de viaje que también iban al Navaja Negra. La buena experiencia del congreso, para mí, empezó ya a unos 550 kilómetros de Albacete cuando los cuatro nos montamos en el coche dispuestos a aprovechar al máximo estas jornadas.


 A continuación os dejo un breve resumen de las diferentes ponencias (a causa del viaje nos perdimos las sesiones de la mañana del primer día) pero sé que la organización grabó todas las charlas en vídeo y próximamente las publicará, así como las presentaciones que realizaron los ponentes.

========== Día 1 ==========

Las charlas que me perdí fueron las 4 primeras: "Telepathy: Harness the code" (Juan Carlos Montes @jcmontes_tec), "De pacharanes por Racoon City: Cómo sobrevivir al día a día real de un pentester" (J. Daniel Martínez @dan1t0), "Fuzzing browsers by generating malformed HTML/HTML5" (Florencio Cano @florenciocano) y "SDR: Lowcost receiving in radio communications" (Alfonso Moratalla @alfonso_ng & Ricardo Monsalve @cenobita8bits).

"¿Nadie piensa en las DLL?" (Adrián Pulido)

 Adrián Pulido (@winsock) presentó una interesante ponencia sobre los peligros de las librerías (DLL) como puntos de entrada de código malicioso. Con ejemplos, demostró como la capacidad de las DLL para ejecutar código puede ser utilizada para atacar un equipo y como pueden ocultarse para no ser detectadas por los antivirus o no despertar sospechas en los usuarios.

"Automated and unified opensource web application testing" (Daniel García "cr0hn")

Daniel García (@ggdaniel, uno de los organizadores de las jornadas) nos presentó la herramienta "GoLismero" que ha creado junto a otros 2 compañeros. Se trata de una interesante herramienta para auditores de seguridad: un framework que permite unificar herramientas open source de pruebas de seguridad web. Según su autor, "El punto fuerte de esta herramienta es que los resultados son capaces de realimentarse entre todos".

Más información y descarga de GoLismero en: www.golismero-project.com



"1100101001001110" (Jaime Peñalba)

Jaime Peñalba (@nighterman) realizó una exposición detallada sobre lo que se necesita saber para realizar exploiting: entender como funciona un procesador, cuales son los registros principales, como funciona la memoria o como ésta pasa los registros a la pila (stack). Lástima que calculara mal el tiempo de su presentación y no pudiera entrar en profundidad en las técnicas de exploiting y las contramedidas que pueden aplicarse.

Jaime utilizó IDA para la parte práctica (mostrando en directo el comportamiento de la pila y del direccionamiento de memoria), y contó con la colaboración de Sergi Alvarez "Pancake" (@trufae) quien le echó una mano con la herramienta Radare.

"Adivina quien viene a CDNear esta noche" (Alejandro Nolla)

Alejandro Nolla (@z0mbiehunt3r) y Felipe Martín (@fmartingr) nos hablaron de las redes CDN (Content Delivery Network), cuyo uso es cada vez más habitual. En estas redes, todo el contenido se replica en varios puntos de presencia y el cliente recibe la copia más cercana a su ubicación. En la charla se puso de relieve la sensación de falsa seguridad que presentan estas redes, ya que - aparentemente - el servidor de origen no está accesible y no puede recibir, por ejemplo, ataques DDoS. Sin embargo demostraron como conectándose a los routers puede obtenerse mucha información de la red (con un traceroute, por ejemplo) a partir de la cual y mediante procesos de "trilateración " pueden llegar a descubrirse los servidores de origen. Alejandro está desarrollando una herramienta que automatiza estas tareas (Felipe es quien se encarga de interfaz gráfico).

========== Día 2 ==========

"Where is my money? The evolution of Internet fraud" (Marc Rivero)

Marc Rivero (@seifreed) presentó una ponencia sobre "e-Crime", sobre el alcance de mismo y como prevenirse. Empezó hablando de métodos de autenticación, de troyanos bancarios (sinowal, carberp, ...), de Ransomware (el llamado "virus de la policía"), de los troyanos "Man-in-the-browser" y de los denominados "Kits de Phising". Como contramedida a estos últimos citó la herramienta "Social Engineering Toolkit" (herramienta de test de penetración usando ingeniería social) o el proyecto www.social-engineer.com.

Se refirió a determinados proyectos de SandBox, aunque también advirtió que los "malos" también tienen los suyos para verificar que un virus no será detectado por los antivirus.

"ZeuS'R'Us" (Santiago Vicente)

Santiago Vicente (@smvicente) presentó su estudio sobre el troyano "ZeuS". Este troyano, que fue descubierto en octubre de 2006, ha ido evolucionando y ha visto incrementadas sus funcionalidades. Poco después de la aparición de SpyEye, se publicó el código fuente de ZeuS (2011) y aunque algunos expertos auguraban el abandono de ZeuS, lo cierto es que ha continuado evolucionando y sigue muy activo, propiciando también la aparación de nuevas variantes (como Licat).

Parte de lo expuesto por Santiago, puede encontrarse en el último artículo de su blog http://invisson.blogspot.com.es/

"Cool Boot: It's cool" (Pedro Candel)

La persistencia de la memoria RAM oscila entre 25 segundos y 2 minutos en condiciones normales. Pedro Candel "Saur0n" (@nn2ed_s4ur0n, otro de los organizadores del evento) partiendo de un paper de la Universidad de Princeton (https://citp.princeton.edu/research/memory) ha investigado este tema, corroborando que, mediante la aplicación de sprays enfriadores para circuitos electricos, la memoria RAM puede congelarse hasta alcanzar unos -50ºC. En este estado, el contenido de la memoria se mantiene hasta unos 30 minutos después de desconectar el equipo. Nos presentó una herramienta propia que consiste en un USB de arranque con un "RAM Dumper" que permite acceder al contenido de la memoria RAM congelada. La demostración en vivo y en directo fue todo un éxito.

"Cryptography: The mathematics of secret code is a game" (Daniel Kachakil)

Daniel Kachakil (@kachakil) nos ofreció una amena charla sobre retos criptográficos en los CTF (Capture the Flag). A partir de ejemplos prácticos mostró los diferentes tipos de cifrado, centrándose en los monoalfabéticos (cifrado César, cifrado por sustitución genérica) y citando algunos polialfabéticos como Vigènere.

Desde su experiencia como participante en diferentes retos CTF internacionales desveló las técnicas más usuales de descifrado con herramientas de software libre como Cryptool v1 o Cryptool v2 (http://www.cryptool.org): fuerza bruta, análisis de frecuencias, reconocimeinto de patrones, etc. Todo ello ilustrado con interesantes anécdotas que ha vivido en primera persona en estos retos.

"Offensive MitM" (José Selvi)

José Selvi (@JoseSelvi) ofreció una charla sobre una de las técnicas que se pueden usar en un pentesting: "Man-in-the-Middle". Mediante procedimientos de ARP spoofing, DHCP spoofing o ICMP redirect (entre otros) se consigue desviar el flujo natural de tráfico de datos para conseguir que pase por el equipo que controlamos. A partir de ahí, con diferentes herramientas puede analizarse el tráfico o su contenido. Estas herramientas van desde un Wireshark (más genérico) a Xplico o NetworkMiner, o a otras de propósito más concreto como Cain o Ettercap.

 
[>>>>>>>>>> Segunda parte en: "Navaja Negra Conference (2 de 2)" <<<<<<<<<<]