Conferencias Navaja Negra – Días 2 y 3

Continuamos con el resumen de la 3ª edición de Navaja Negra, al que asistimos José Vila (@jovimon) y un servidor los pasados días 3-5 de octubre.

En este segundo día, la primera charla fue a cargo de Marc Rivero (@Seifreed), en la que habló sobre la evolución del fraude en Internet. En ella, Marc comenzó haciendo un breve resumen sobre las amenazas más sonadas: phishing, troyanos, el virus de la Policía… así como de los kits disponibles en el mercado negro para facilitar la creación de los mismos.

Respecto a este tipo de amenazas, Marc también hizo hincapié acerca de las herramientas disponibles en ambos bandos ya sea para verificar que el malware es indetectable o bien para poder neutralizarlo. También se habló sobre las técnicas Man-in-the-Browser, en las que el atacante actúa de árbitro entre el cliente y el servidor, obteniendo en este caso las credenciales de acceso a la cuenta corriente de la víctima, para luego realizar pequeñas transferencias que puedan pasar desapercibidas.

Otros temas que se trataron en la charla fueron los de los muleros y el uso de servidores a prueba de balas, o servidores comprometidos, para alojar el malware y dificultar la identificación de los responsables.

Continuando con el malware, la segunda charla se titulaba “Zeus-R-US”, y fue realizada por Santiago Vicente (@smvicente). Como el lector puede imaginar, el contenido de esta charla trataba sobre Zeus, el famoso malware que apareció en el año 2006. En la ponencia, pudimos ir observando los cambios sufridos desde entonces, y que le han permitido sobrevivir hasta el presente año.

Tras un buen desayuno albaceteño, Pedro Candel (@nn2ed_s4ur0n), demostró en vivo y en directo, cómo realizar una extracción de la RAM en frío. Para ello utilizaba unos sprays, que por un precio de entre 10 y 15 €, podían mantener la RAM a -49ºC en un periodo de entre 6 y 32 minutos. A continuación, introducían un USB bootable, con un software que habían realizado ellos mismos, y que volcaba, de manera automática, los primeros 4GB de la RAM congelada. Una vez el volcado había finalizado, Pedro prosiguió con la demostración extrayendo cadenas de caracteres y lo que es más importante, claves privadas RSA. Como medidas de protección, se resaltó el uso de memoria ECC y el obligar a realizar un test de la memoria en el arranque del PC.

A continuación, Dani ‘The doctor’ Kachakil (@kachakil), hizo un repaso de la criptografía básica y mostró, en vivo y directo, como se solucionaban pruebas de criptografía de los CTF (Capture de Flag) más importantes del mundo.

En la última charla antes de comer, José Selvi (@joseselvi) presentó “Offensive MitM”. En ella, hizo un repaso de las diferentes técnicas de realizar un Man-in-the-Middle (no, no se trata de esto): arp spoofing, DHCP spoofing, ICMP redirect… incluyendo la desconocida técnica de “haz esto, y tendrás esto otro gratis” o “ponme estas rutas, que te llamo de informática”.

Una vez explicadas las técnicas MitM, Selvi presentó diferentes técnicas de explotación: desde la obtención de contraseñas que viajen en claro, el forzar el uso de protocolos inseguros (como SSH v1), cuya explicación fue magistral, o evitar el uso de SSL con herramientas como SSLStrip, hasta las técnicas de explotación “avanzadas” mediante la inyección de datos al vuelo o el aprovechamiento de vulnerabilidades existentes en el navegador del usuario con las herramientas Metasploit o BeeF.

Después de comer, Sergi Alvarez (@trufae), hizo una breve introducción a las monedas criptográficas, centrándose principalmente en Bitcoin. Tras explicar los conceptos detrás de Bitcoin, explicó cómo los usuarios se organizan en Pools, con el fin de aunar esfuerzos y asegurarse algunas ganancias. Por último, Sergi finalizó la charla hablando acerca de las características de las principales alternativas a Bitcoin, como son Litecoin, Namecoin o Freecoin.

David Meléndez (@taiksonTexas), presentó su cuadricóptero creado a base de piezas que tenía en casa, como por ejemplo una Fonera o un mando de una Wii. Una vez presentados los fundamentos matemáticos con los que su dispositivo conseguía alzar y mantener el vuelo, no dudó en atreverse en hacernos una demostración en vivo y en directo del mismo.

Tras otra merendola, (otra cosa no sé, pero hambre aseguro que no pasamos), Fran Ruiz (@francruar) y Manu Quintans (@Groove), presentaron en “How I met your botnet” el estado actual de la industria del cibercrimen. Tras desmitificar las noticias que podemos observar en los medios generalistas, mostraron la realidad del cibercrimen en las distintas zonas del planeta. A continuación nos presentaron el software y servicios que ofrece esta industria y como estas “empresas”, tienen secciones dedicadas a la inteligencia, las infraestructuras, o más industrias para conseguir blanquear el dinero obtenido.

Por último, Lorenzo Martínez (@lawwait), presentó una herramienta para realizar análisis forenses en dispositivos IOS. Lamentablemente, aunque la herramienta parecía útil e interesante, Lorenzo respondió al público que no pensaba liberar ni comercializar de ningún modo esta herramienta, al menos por el momento.

El último día de la Navaja Negra fue iniciado por Jose Luis Verdeguer (@pepeluxx). En su charla “El lado oscuro de TOR: la deep web”, mostraba el análisis que había llevado a cabo en la red TOR, extrayendo estadísticas del contenido de las páginas web únicamente accesibles desde esta red. Los resultados presentados fueron inquietantes, puesto que si bien la red TOR puede hacer mucho bien en aquellos países donde no existe la libertad de expresión, la realidad es que esta tecnología es abusada para que lo peor del ser humano campe a sus anchas con total impunidad.

Las dos últimas charlas del día fueron impartidas por los cuerpos de seguridad del Estado. En la primera de ellas, César Lorenzana, del Grupo de Delitos Telemáticos U.C.O. Guardia Civil, nos hizo una breve introducción a las leyes, empezando por la ley de enjuiciamiento criminal de 1882. Tras explicar las trabas impuestas por una ley que se ha quedado obsoleta por la tecnología actual, explicó los motivos por el cual el anteproyecto del código procesal penal no es, según su punto de vista, efectiva. Como este anteproyecto de ley permitiría el uso de troyanos a las FCSE, Javier Rodriguez, compañero del capitán Lorenzana, hizo un repaso de las características que tendría que tener un malware que cumpliese con todas sus necesidades.

La última charla de la 3ª edición de la Navaja Negra fue dada por David Pérez, de la Brigada de Investigación Tecnológica del CNP. En el transcurso de la charla, relató la historia de la BIT y describió su funcionamiento y organización. Finalizó con una petición de colaboración a la comunidad, para así mejorar la efectividad de la lucha contra el cibercrimen.

Para acabar, se realizó una mesa redonda en la que participaba, además de la organización de la Navaja Negra, los ya mencionados Javier Rodriguez, César Lorenzana, David Pérez y Jose Luis Verdeguer. También participaba el abogado Pablo Fernández Burgueño (@pablofb). Como es de imaginar, el tema predominante fue la privacidad, PRISM y otros programas gubernamentales, como SITEL en el caso de España.

Sobre estos programas, el capitán Lorenzana indicó que no se tratan de copias masivas de la información que viaja por la red de redes, sino que simplemente se trata de repositorios donde las empresas dejan los datos que les solicitan las entidades gubernamentales, acorde a la ley. El problema radica en la cantidad de información que están habilitadas a solicitar las agencias estadounidenses, que es muchísimo mayor a la información que pueden solicitar las fuerzas españolas y europeas.

Entre otras preguntas, se habló de qué podría pasar a un hacker de sombrero blanco que quisiera colaborar con la policía, y los agentes indicaron que la legislación actual no contempla la figura del colaborador por lo que si alguien hace algo ilegal, deberá pagar por ello. Otra de las preguntas interesantes fue el papel de los CERT como apoyo a las investigaciones que realizan las FCSE, que se respondió argumentando que la información recopilada por los CERT no es válida desde el punto de vista legal, y que la principal razón de ser de estos centros es la respuesta ante incidentes, en lugar de la investigación pura.

Desde estas líneas nos gustaría agradecer a la organización de Navaja Negra todo su esfuerzo y dedicación para conseguir que Navaja Negra tenga la calidad que pudimos comprobar en primera mano, así como el gran ambiente familiar que vivimos durante esos días.

Esperamos poder estar presentes de nuevo en la cuarta edición.

Comments

  1. Os lo habréis pasado bien! buena temática. Los ataques MIB siguen teniendo vigencia y el tema del polimorfismo de Zeus también es sorprendente (lo hemos comentado alguna vez)

    El método usado para la extracción de RAM en frío me parece muy interesante ¿Tendría este método verdadera validez jurídica o sucedería como en tantos otros casos? ¿Ofrece suficientes garantías?

    El tema TOR lo hemos tratado hace escasos días, para mí es como una navaja, depende de como la uses… en nuestro artículo comentamos un poco sus principios y como han desmontado una red criminal oculta tras el soporte (http://goo.gl/vo03UT)

    Sobre los temas de las Brigadas Tecnológicas de las FCSE me parece muy acertado pedir la colaboración de la ciudadanía y, por otro lado, me soprende que la ley sea tan laxa que permita esas prácticas.
    Saludos

  2. En la mesa redonda me quedé con las ganas de decirles a las FCSE que no van a conseguir colaboración, salvo que garanticen responsabilidad y compromiso con los miembros que deseen ofrecerla.

    Está muy bien eso de “no me lo cuentes”, pero la ley no apoya con la misma ligereza las acciones que se tomen por parte de aquell@s que decidan colaborar y pudieran incurrir en un delito para solventar otro delito. Cosa que hace que pierda mi interés en absoluto por colaborar. El significado de “colaborar” y “pillarme las manos” en el diccionario de cualquier persona sensata son mutuamente excluyentes.

    Por tanto, tendrían que ir pensando en las acciones a tomar para modificar la ley para que no existiese ningún problema en que, sea como fuere, aquellos que colaboren se les proporcione protección ya que, con un 100% de exactitud, aquellos a quienes buscan ya la tienen.

  3. @Alejandro El tema de la extracción de RAM no se hasta que punto tendría validez jurídica … supongo que dependerá de quién realice la extracción y si un juez apoya esa acción o no. La demostración que hicieron en vivo demuestra que si que tiene fiabilidad suficiente para extraer más del 99% de la información si el procedimiento se hace en un periodo corto de tiempo.

    @Arkaist Creo recordar que Lorenzana apuntó que en este nuevo anteproyecto que se está preparando sería interesante incluir alguna figura al estilo “colaborador” o “confidente”, actualmente inexistente, que podría habilitar este canal “seguro” de colaboración entre investigadores de seguridad y FCSE.

    Muchas gracias por vuestros comentarios.