RootedCON 2019: "Advanced Persistent Conference"

Durante la última semana de marzo, los cines Kinépolis de Madrid dieron cabida una vez más a la nueva edición de uno de los congresos de seguridad informática más importantes del panorama nacional, la RootedCON, que ha vuelto con más fuerza que nunca para celebrar su ya décimo aniversario por todo lo alto. Una edición muy especial que ha traído, a sus más de 2.500 asistentes, 80 horas de puro contenido sobre seguridad, dividido en 3 tracks paralelos y de la mano de 40 ponentes procedentes de todas las partes del mundo.

Además, el evento también ha contado con sus RootedLabs, numerosas actividades formativas de una jornada completa de duración, con sus Bootcamps, cursos avanzados sobre temáticas especializadas de más de un día y con zonas de stands y otras actividades como las recreativas arcade, sin olvidarnos de los espacios habilitados para el descanso o las reuniones entre los asistentes.

A continuación, repasamos brevemente las conferencias a las que hemos tenido el placer de asistir, ya que la jornada se celebraba de manera simultánea en diferentes tracks.

DIA 1

RootedCON Staff Keynote. El equipo de la organización, tras la bienvenida y las presentaciones, puso en valor la importancia y la necesidad de la unión de la comunidad hacker con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Tras recordar las gestiones organizativas llevadas a cabo en las ediciones anteriores y tras resaltar la importancia de los patrocinadores y de los voluntarios para un evento de estas características, finalizaron animando a los asistentes a reflexionar sobre las consecuencias de la llegada de la nueva Ley de Propiedad Intelectual.

Aproximación algorítmica al talento en ciberseguridad. Raúl Riesco, gerente de Tecnologías de Ciberseguridad en las áreas de Inteligencia y Sistemas de Control Industrial de INCIBE, dio inicio a las charlas de esta edición de la RootedCON con una keynote acerca del talento en ciberseguridad.

Siendo este un tema con cierta controversia, quizá por desconocimiento del cambio que se está produciendo en el sector, se aportaron en primer lugar, datos objetivos de numerosos estudios de referencia para contextualizar mejor el entorno actual del sector. En ellos, se trataron variables macroeconómicas, rating o calificación de los países, tendencias de mercado, la cadena de valor en ciberseguridad, índices y costes de sustitución de recursos humanos en las empresas, etc.

Posteriormente se utilizó una metáfora describiendo en detalle un circuito electrónico transformador AC/DC para explicar las similitudes con el cambio que el entorno está llevando a cabo, donde cada componente permite, en conjunto con el resto, conseguir la citada transformación.

De las diferentes opciones, se explicó por qué se deben escoger aquellas más eficientes y que den incluso mejor resultado. Los componentes del cambio, asimismo, deben darse en toda la cadena de valor y ser parte de un trabajo en conjunto por todos los stakeholders involucrados, desde los inversores, hasta las empresas pasando por las universidades y las entidades gubernamentales.

El mismo esquema electrónico sirvió para proponer una ecuación que, sobre la base de la ecuación de Victor Kuppers, ampliara el alcance para hacer notar todos los aspectos que se consideran claves en el talento, haciendo especial énfasis en que el nivel directivo que se considera o recomienda sea “full stack”.

En resumen, se presentó una aproximación algorítmica donde hay factores que suman, factores que multiplican (incluso pueden ser negativos) y factores que son potencia o exponente, como es el caso del conocimiento multidisciplinar.

Descifrando la seguridad nacional. Andrés Ruiz y Mar López hicieron un repaso por la historia del Departamento de Seguridad Nacional y por los diferentes perfiles profesionales que lo conforman, resaltando la importancia de las directivas de seguridad nacional y de buscar conocimiento y talento. Cerraron la charla dando a conocer el “Ejercicio Cyber Europe”.

Fuzzing and Reversing your Car. Are you sure? Amador Aparicio explicó que, a pesar de que los coches cada vez cuentan con más funcionalidades diferentes, todos ellos poseen una red de datos (Central Gateway).

Tras una breve explicación del protocolo CAN Bus, utilizado en estas comunicaciones, y su funcionamiento, habló de su experiencia enfrentándose a una unidad de control electrónico, desde las etapas de footprint y fingerprint, hasta su conexión mediante ODB2 para la inyección de tramas mediante fuzzing, para terminar mostrando los resultados obtenidos y el comportamiento del vehículo ante las diferentes entradas.

Shodan API and Coding Skills. En esta breve charla, Laura García resaltó la importancia de que las empresas conozcan cuáles de sus servicios se encuentran expuestos en Internet para, por ejemplo, ser capaces de detectar e identificar los que son nuevos.

Posteriormente presentó ShodanSeeker, mostrando todas las opciones personalizables que incluían, entre otras, funciones de monitorización, alerta y elaboración de informes ejecutivos con kibana, todas ellas con ánimo de favorecer el control de la infraestructura de la empresa y su evolución histórica.

Linux DFIR: My Way! Lorenzo Martínez mostró la metodología y herramientas utilizadas en la respuesta ante incidentes en entornos Linux y las grandes diferencias respecto a los entornos Windows. Teniendo en cuenta la posibilidad de que el sistema operativo estuviese comprometido (binarios, librerías o módulos del sistema modificados), propuso hacer uso de nuestros binarios de confianza (Good binaries) y enseño cómo hacerlo, tanto en local como el remoto (para servidores en la nube), con el objetivo de llevar a cabo una extracción fiable en una máquina viva.

Beam me up, Scotty! Manuel García y Álvaro Villaverde explicaron cómo lograron solventar las restricciones que les fueron planteadas por su empresa para la realización de un caso de pentesting. Mediante 3 soluciones diferentes, se las apañaron para “teletransportar” las herramientas y programas necesarios desde su máquina Kali hasta la máquina Windows, pasando a través de un proxy Squid. Convirtieron los ejecutables en shellcode base 64 para fragmentarlos en diferentes carpetas y comprimirlas en un zip, incrustando esos fragmentos en los metadatos de una imagen o enviándolos mediante un método “fileless”. Para terminar, sorprendieron a los asistentes enseñando código incrustado en una de las imágenes que habían enviado previamente a la organización y que se encontraba publicada en la web como imagen de ponente.

RootedPanel - Hackers Históricos. Ramón Ramírez Palomares, Jordi Murgó Ambou, Antonio López Muñoz, Juan Manuel Rey Portal y Andrew compartieron sus inicios en el sector y su trayectoria, sin olvidarse de las anécdotas y otras experiencias curiosas. También comentaron cómo se diferenciaban del resto, resaltando la importancia de tener pasión en lo que se hace, sin aceptar el “no se puede”.

DIA 2

I know your P4$$w0rd (and if I don’t, I will guess it). Pablo Caro y Jaime Sánchez, tras un recorrido histórico por las fugas de datos más relevantes, por las herramientas de crackeo y por las técnicas más habituales de los usuarios a la hora de construir contraseñas, nos muestran cómo la herramienta Kaonasi podría obtener inteligencia que facilitase el crackeo de contraseñas.

Incident Response: Story Telling de un evento de alto impacto. Cesar Tascon, Juan Carlos Díaz y Javier Urtiaga interpretan el papel de los equipos azul, rojo y naranja para contar un caso real de respuesta ante un incidente de alto impacto en formato de Story Telling. Siguiendo una hoja de ruta dividida en 5 pasos: gobierno, despliegue, captura, toma de control y recuperación, mostraron las diferentes acciones llevadas a cabo por cada equipo.

Reviving Homograph attacks using (deep learning) steroids. Alfonso Muñoz preguntó si se podría simular al “atacante perfecto” para, de esa forma, adelantarnos a los ataques. Planteó el uso de machine learning aplicado a la seguridad ofensiva en los ataques clásicos y mostró las posibilidades que ofrecen los ataques Unicode y homográficos. Además, presentó su herramienta uriDeep, basada en Deep learning para la generación de urls confusables.

Working in Cybersecurity: truth & lies behind the trincee. Gianluca D'Antonio repasa la problemática existente en las publicaciones de ofertas de trabajo a causa de los requisitos exigidos por parte de los reclutadores y hace hincapié en los perfiles en auge, los empleos más demandados actualmente, competencias (soft y hard) y otras cualidades que los head hunters deberían de valorar. También mostró algunos ejemplos de productos prometedores en el mercado que finalmente no llegaron a nada, debido a que las compañías no habían asignado esos proyectos a ningún profesional de la seguridad.

A hacker's gotta do what a daddy's gotta do. Chema Alonso habló acerca de la exposición de los menores a la tecnología y de cómo podíamos protegerles mediante herramientas y gadgets que hagan uso de un segundo canal, 2FWB (2nd factor web browsing). Concretamente, presentó GSM Shield con Stack sms (que utiliza los SMS como un canal para encapsular cualquier tipo de comunicación), SafePost (para poder publicar en redes sociales o enviar correos mediante SMS sin conexión a Internet) y smart Wi-Fi (para controlar y optimizar el wifi desde el móvil).

Hype Potter and the Chamber of DNSSECrets. Mónica Salas Blanco y Raúl Siles explicaron, con todo detalle, el protocolo DNSSEC y su funcionamiento, para posteriormente indicar cómo implantarlo y protegerse de los ataques. También publicaron su herramienta DNSSECChef, un proxy de interceptación de DNS y DNSSEC altamente configurable para penetration testers e investigadores de seguridad.

DIA 3

Autoencoders, GANS y otros chicos del montón: La IA al servicio de la Ciberseguridad (en lo bueno y en lo malo). Enrique Blanco y Pablo González hablaron de las fake news y de cómo la inteligencia artificial y el machine learning podían aplicarse para conseguir ataques más sofisticados de ingeniería social. Posteriormente presentaron el funcionamiento de una herramienta de face swapping (organizado en 3 fases: generación de datos de entrenamiento, entrenamiento del modelo generativo GAN y testeo) y los resultados obtenidos.

Tras hacer una demo en tiempo real, presentaron una versión más avanzada que consistía en añadir audio, para ello era necesario conseguir dichos audios, realizar una transcripción de los mismos, entrenar su sistema y finalmente añadirlos al video. La última demo mostraba grandes resultados con tan solo 3 días de entrenamiento. Para finalizar, comentaron cómo podríamos defendernos de estos ataques: mediante el conocimiento y la concienciación, además del machine learning para analizar y detectar la suplantación.

The Art of Persistence: "Mr. Windows… I don’t wanna go :(". Sheila Ayelen habló del arte de la persistencia, recordando cómo en sus orígenes, tras copiar el archivo malicioso en el sistema, se añadía una entrada en el registro “run keys” para que se ejecutase automáticamente durante cada inicio de sesión, algo mal visto por los antivirus y fácil de encontrar, sin apenas conocimiento.

Posteriormente, como alternativa a ese método, detalló los objetos COM, como visualizarlos mediante COM object Viewer, la existencia y funcionamiento de los identificadores CLSID y dónde se encontraban (HKLC y HKCU), para ser capaces de crear nuestros propios objetos y conseguir la persistencia mediante 3 métodos diferentes:

Shell Extensions: escribiendo en el registro nuestras propias Shell extensions, mediante Powershell sin necesidad de permisos. Un método más sigiloso, pero detectable mediante AutoRuns.

COM Hijack: aprovechando vulnerabilidades de aplicaciones o de los propios procesos nativos, lo que hace que se ejecute el meterpreter incluso antes de logearse en el sistema, evitando a los antivirus y convirtiéndolo en un método muy sigiloso y difícil de detectar.

Extension Handlers: modificando los programas predeterminados para cada tipo de archivo sin necesidad de privilegios, se podría ejecutar el meterpreter al hacer click en dichos archivos. Una forma de defenderse ante esto sería añadiendo permisos para prohibir cambiar los programas predeterminados.

Seguridad en 5G. David Pérez y José Picó cerraron las charlas de esta edición hablando de la seguridad 5G desde el punto de vista teórico. Explicaron la nueva arquitectura basada en servicios que tendrá que hacer frente a una gran diversidad de dispositivos conectados, cada uno con requerimientos diferentes, los nuevos protocolos, el tunneling en las comunicaciones, los métodos de autenticación y cifrado, etc. También repasaron conceptos como network slicing, software defined network, IMSI, SUPI y SUCI. Posteriormente, hicieron un repaso por los métodos de ataque en redes 4G y su posible aplicación al 5G, entre otros ToRPEDO, Piercer, IMSI-Catchinig, IMSI-Cracking, ataques de trazabilidad o las estaciones de base falsas.

Como conclusión, indicaron que muchas de estas amenazas no afectarían al 5G, siempre y cuando el operador implemente correctamente las nuevas medidas de seguridad de esta tecnología.

Conclusión

Tras la clausura del evento, la RootedCON, que nació con el propósito de promover el intercambio de conocimientos entre los miembros de la comunidad de la seguridad, ha demostrado su consolidación y que mantiene ese mismo espíritu tras diez años de vida, algo muy difícil de alcanzar.

Solo falta dar la enhorabuena a los organizadores de este proyecto que sigue brindando a este sector la oportunidad de crear comunidad, de compartir experiencias, de divulgar e incluso de iniciar y despertar el interés de futuros profesionales de la seguridad, año tras año. Nos vemos en la próxima edición que, seguro, seguirá superándose a sí misma.

Para más información: las presentaciones de todas las ponencias se encuentran disponibles en el siguiente enlace.

Galería