La “Experiencia Navaja Negra” – 3ª parte

Tras los post de mis compañeros Javier García y Alberto Sáez sobre la 6ª edición de Navaja Negra, me toca a mí terminar la crónica del evento.

A pesar de que parte de la organización ha cambiado respecto a años anteriores, la nueva organización ha seguido manteniendo el mismo espíritu que sus predecesores y ha apostado por rodear el congreso de muchos elementos que lo hacen hoy por hoy uno de los más completos que existen en España.

Además de tener almuerzo, comida y merienda incluidas en el precio de la entrada (incluyendo miguelitos!), este año el “ecosistema” Navaja Negra se ha nutrido de diferentes talleres, un Super CTF, y un espacio nocturno de colaboración y networking.

En lo que respecta a los talleres, indicar que hubo tres talleres paralelos, además de las charlas de la mañana, durante los dos primeros días de congreso.

Casi lo único negativo que se puede decir de esta aproximación es que, al solaparse los talleres entre sí y con las charlas, no era posible asistir a todo, y todos nos quedamos con las ganas de haber asistido a alguna charla o taller más.

Los talleres del primer día fueron los siguientes:

  • Creación de una botnet y otras tools en python para Android, por Edu Sánchez
  • Granada de mano en las ondas del vecino, por Pedro Caamaño y Rafa Otal
  • HSTS & HPKP: Los Batman y Robin de la seguridad web, por Carmen Torrano y Pablo González

Asistí al de HSTS y HPKP, donde primero Carmen y luego Pablo nos contaron qué son estas dos tecnologías que ayudan a aumentar la seguridad de las comunicaciones HTTPS, por desgracia aún poco utilizadas, cómo poder implantarlas en un servidor web, y también posibles ataques que se pueden realizar a pesar de la implantación de estas técnicas.

Empezó Carmen explicando HPKP, que se transmite en una cabecera adicional que aparece en cada respuesta que envía el servidor web y que incluye el pin del certificado del servidor. Esta cabecera debe ser reconocida y almacenada por el navegador del usuario, que rechazará la conexión si se está empleando un certificado digital diferente al que viene en la cabecera, previniendo ataques de Man in the Middle que modifiquen la cadena de certificación en conexiones HTTPS. Además de las cabeceras recibidas, el navegador tiene una lista precargada de certificados en los que confía. Por desgracia el soporte para HPKP es reciente (Firefox 35 y Chrome 46), e Internet Explorer/Edge aún no soportan este estándar.

A continuación Pablo explicó HSTS, que tiene un funcionamiento idéntico al de HPKP. El navegador tiene precargado un listado de sitios a los que SIEMPRE se conectará por HTTPS, aunque el usuario no lo indique así. Esta lista es dinámica y se va actualizando a medida que vamos navegando para mantener la información de los sitios que utilizan HSTS siempre actualizada. HSTS es anterior a HPKP, por lo que su soporte en navegadores es mejor (IE 11, Firefox 4, Chrome 4, Opera, Safari).
Además HSTS tiene una implantación algo mayor que HPKP, pero aun así entre los dos se obtienen menos de 20000 resultados en Shodan para los puertos HTTPS estándar, lo que deja patente el camino que queda por recorrer en este aspecto.

Ambos protocolos van encaminados a asegurar las comunicaciones TLS, HSTS forzando a que se utilicen canales cifrados desde la primera conexión a un servidor y HPKP para evitar modificaciones en la cadena de certificación.

Una vez conocidas las técnicas y lo que pretenden asegurar, pasamos al ataque, y tanto Carmen como Pablo nos mostraron varios escenarios en los que utilizando principalmente el framework MITMf se conseguía evadir HSTS. Además del típico envenenamiento ARP con SSLStrip, se mostró SSLStrip2 de Leo Nve, el ataque Delorean de Jose Selvi, y otro ataque con envenenamiento DNS.

Para el segundo día se habían programado los siguientes talleres:

  • DIY Hacking Project: Tastic RFID Thief tool + Lockpicking 101, por Martina Matarí
  • PHP and Python exploiting, por Alfonso García
  • Ampliando el arsenal de hacking con routers, por David Meléndez

Entre los tres me decanté, llevado por mi vena “cacharrera”, por el de DIY, y en el que mostraba cómo realizar el proyecto que viene en la primera edición de la caja de The Hackers Garage, un maná para manitas creado por la propia Martina y Oscar Tébar, que cada mes ofrecen una caja con componentes para construir un proyecto diferente. El primer mes la caja estaba inspirada en uno de los capítulos de la conocida serie Mr. Robot, donde el protagonista se infiltra en una instalación altamente custodiada clonando una tarjeta RFID y abriendo puertas con un conjunto de ganzúas.

Empezamos con el lockpicking utilizando unos candados que nos dio. Como ganzúas podíamos utilizar las que venían en la caja o, si no las habías comprado, reconvertir clips para ser usados como ganzúas. Tras varias pruebas todos conseguimos el objetivo de abrir nuestros candados, y pasamos a la segunda parte, montar el circuito con el Arduino. Aquí tuvimos algún problema ya que en algunos sistemas es complicado instalar el entorno de desarrollo y las librerías necesarias, y además la instalación y cableado no era trivial, por lo que nos quedamos sin tiempo para poder terminar el proyecto en las horas del taller. A pesar de este contratiempo no hay problema porque los compradores de la caja tienen acceso a guías, videos y tutoriales para acabar el proyecto y, como la propia Martina indicó, poder ampliarlo o modificarlo a nuestro gusto, si así lo deseábamos.

Otro de los puntos destacables del congreso fue el CTF, realizado por el grupo Insanity, y en el que, con el hilo conductor de las Super Nenas, nos mostraba diferentes pruebas de todo tipo y diferentes niveles que se fueron activando en el transcurso del evento, y que muchos de nosotros intentamos resolver en los pocos huecos que había entre las charlas y los descansos, o después por la noche en el espacio común, lo que nos costó alguna que otra hora de sueño. Algunos resolvieron los retos con más éxito que otros, y al final el primer premio fue para José Luis Verdeguer, que ya ha empezado a publicar cómo resolvió los retos en su blog (1, 2,…).

Tampoco quería dejar pasar el espacio nocturno, situado en el Hotel Universidad, y donde se instaba a que los asistentes al congreso se organizaran de forma autónoma en torno a las mesas para cacharrear o hablar de cualquier tema. Destacar que, además de la gente que estaba intentando resolver el CTF, hubo bastantes personas montando el proyecto DIY de The Hackers Garage, hackeando pistolas Nerf, y hablando de cualquier tema, desde “la cría del mejillón en altura” pasando por crawlers de redes de citas, hasta las charlas sobre la historia de las comunicaciones digitales o Cryptotrading que improvisaron Alex Casanova y Jose Carlos Temprado respectivamente.

En resumen, una experiencia muy completa y muy gratificante tanto en el aspecto profesional como en el personal y de la que espero poder participar en futuras ediciones. Mi más sincera enhorabuena a los organizadores.

Comments

  1. Gran resumen de las charlas de todos los redactores del equipo!.