La “Experiencia Navaja Negra” – 1ª parte

Un año más, un equipo de S2 Grupo se desplazó hasta el congreso Navaja Negra, que celebró su 6ª edición en Albacete, los días 29 y 30 de septiembre y 1 de octubre.

De entre todas las interesantísimas charlas de las que tuvimos el placer de disfrutar, nos gustaría destacar algunas de las cosas que más nos llamaron la atención:

1 año de la nueva LECRIM (bugs y exploits) – Jose Luis Verdeguer && Luis Jurado


En esta ponencia Luis Jurado hizo un repaso sobre la reforma de la LECRIM (Ley de Enjuiciamiento Criminal), que tuvo lugar hace un año, y de cómo ha afectado a diversos escenarios.
Por otra parte, pepelux planteó las posibilidades que tiene una tecnología como es VoIP, que lleva varios años entre nosotros, y de cómo alguien con no muy buenas intenciones podría utilizarla, dentro de la ley, para su propio beneficio. Planteamos a nuestros lectores la siguiente situación:

Te encuentras detenido por haber cometido un ciberdelito. Las pruebas que te inculpan se encuentran repartidas en diversos servidores alrededor del mundo. Servidores a los que sólo tú tienes acceso.

Legalmente, dispones de la posibilidad de realizar una llamada. ¿Podrías conseguir borrar todas las pruebas que te inculpan con una sola llamada?

¿Y si, en uno de esos servidores, se encuentra desplegado un servicio Asterix? ¿Y si en la lógica de la aplicación, que permite el envío de comandos para ser ejecutados en el sistema, hubieses configurado que al recibir una llamada a ese número de teléfono y marcando cierta secuencia de números, se enviasen órdenes de borrado al resto de servidores?

Tal y como se demostró en esta charla, la respuesta a la primera pregunta es sí. Ahora, nosotros os planteamos otra: ¿Se deben revisar y controlar las llamadas que, por ley, un detenido puede realizar?

Cazando al cazador, investigaciones paralelas – Ruth Sala && Selva María Orejón

En esta ponencia se nos planteó un desagradable, a la vez que interesante, caso de acoso a través de Internet y sus consecuencias en el mundo real. A medida que las dos ponentes avanzaban en la investigación, fue quedando patente el camino que aún queda por recorrer tanto en concienciación como en sensibilización a los diversos agentes que intervienen en el proceso judicial de un caso de este estilo.

Se puso de manifiesto que por muchos testigos, pruebas, trabajo y esfuerzo que haya detrás, todo puede quedar en nada si la autoridad competente no sabe interpretarlos de la manera adecuada.

From the root to the cipher: new TTPs in Android Malware – Daniel Medianero

Daniel Medianero hizo un pequeño repaso de los distintos tipos de malware en Android a través de la historia. Esto permitió ver la evolución y sofisticación de dicho mercado, así como las nuevas funcionalidades que se han ido adquiriendo a lo largo de los años para hacer este malware cada vez más difícil de detectar.

iOS, including Ordinary Security? – Raúl Siles

En esta charla se comentaron varios aspectos relacionados con distintos ataques que se pueden realizar en dispositivos iOS. Pese a que algunos de ellos se han expuesto en el pasado, Raúl demostró que siguen siendo efectivos en las versiones más modernas.

Por ejemplo, una interesante vulnerabilidad es la posibilidad de instalar aplicaciones y hacerlas desaparecer del springboard de forma temporal hasta el próximo reinicio. Esto puede resultar útil, especialmente, para introducir malware en un iPhone objetivo.

Otra de las cosas que nos parece más preocupante es la gestión que realiza iOS de los certificados digitales. Si bien Apple ha exigido a todos los desarrolladores que todas las aplicaciones funcionen por https durante el año 2017, los certificados inválidos (no confiables) que se acepten e instalen en el navegador persisten a actualizaciones y determinadas restauraciones. Cabe destacar que los certificados falsos de WiFi enterprise son gestionados de forma parecida por iOS.

Como dato curioso, el publicado por Apple en la última keynote: existen 2 millones de aplicaciones publicadas en la App Store. Sin embargo, son 13 millones el número de desarrolladores registrados como tal por parte de Apple.

Knocking to the Heaven Door – Jorge Reyes && Rubén Ródenas

Para concluir esta entrada, cabe mencionar la interesantísima charla que combinó la visión de un analista de malware con un pentester con el fin de analizar el funcionamiento del mercado de botnets en Android.

Se hizo especial hincapié en la profesionalización del sector, en el que se pueden encontrar diversos packs de malware en función de las necesidades y conocimientos del consumidor. Se está creando una verdadera infraestructura en la que el desarrollador del malware no es el mismo que el que lo usa, lo que hace aún más difícil acabar con la proliferación de este tipo de prácticas.

Otro de los problemas añadidos de los que se hablaron fue de la existencia de un número razonable de vulnerabilidades en distintos control panel usados por los atacantes para gestionar las botnets.

Esto puede llevar a que se produzca una fuga de información que comprometa la identidad del delincuente, pero también puede ocasionar que un tercero se aproveche de la información allí recogida.

Por supuesto, reportaron a las FFCCSE toda la información recopilada para evitar el uso de la información bancaria recopilada por los atacantes.

Además, también se notificó a varios ISP para evitar la conexión de los usuarios con esos servidores.

Si queréis saber más sobre nuestra experiencia NN, ¡no os perdáis la próxima entrada!