29c3 Hamburgo / Alemania

La 29^o versión del Congreso de Comunicación Caos se realizó la última semana de 2012. Organizado por el Club de Computación Caos (CCC), el Congreso es una conferencia anual sobre tecnología y su impacto en la sociedad. Aunque parece un tema muy amplio, las exposiciones y talleres por lo general tratan sobre privacidad, libertad de información, seguridad de los datos y otras cuestiones relacionadas con el hacking. No hace falta decirlo, pero fue todo un éxito, sobre todo teniendo en cuenta que los acontecimientos de la envergadura de “black hat” no son muy comunes en Europa. Muestra de ello es que este año el congreso se tuvo que llevar a cabo en Hamburgo, porque en Berlín no había ningún centro de convenciones que pudiera recibir a más de 6.000 visitantes. ¡No estoy exagerando!

El Centro de Convenciones Hamburgo de noche.

Admito que tenía altas expectativas: después de cuatro largos años de estar en jornadas científicas, volver a un ámbito más técnico era un gran reto para mí. Pero, con la experiencia de haber participado en la organización de conferencias científicas de mediano tamaño, de verdad me sorprendió cómo se pudo convertir un edificio gigantesco como el Centro de Convenciones de Hamburgo en un lugar funcional para dar exposiciones, talleres y espacios de hacking. ¡No debí haberme preocupado tanto! La conferencia duró cuatro días completos (del 27 al 30 de diciembre) y tuvo una organización impecable: no sólo todas las exposiciones y talleres estuvieron muy bien organizados, sin problemas de sillas y con una perfecta transmisión por Internet; también se colectivizaron todos los espacios abiertos para usarse con todo tipo de propósitos relacionados con el hacking, desde juegos de CTF hasta cursos básicos de la plataforma Arduino.

Los ponentes disponían de salones muy amplios, y las charlas más importantes se realizaron en el auditorio que admitía a más de 2.000 personas. Pero debo admitir que no tardé en aprender una lección importante: si te interesa un tema, y es un tema popular, asegúrate de llegar por lo menos 15 minutos antes de que empiece la charla; en serio, llegar a la hora no era suficiente; cualquier sala, sin importar su capacidad, podía llenarse. De verdad, estoy profundamente agradecido por la infraestructura que permitió que se transmitieran las charlas por Internet sin ninguna complicación (aunque ver por Internet una charla que se estaba realizando a pocos metros de donde estaba era un poco paradójico 🙂

Jacob Appelbaum en el escenario.

Las actividades del primer día fueron admirables. La charla principal estuvo a cargo de Jacob Appelbaum, conocido por sus contribuciones en “El Proyecto Tor” y ex portavoz de WikiLeaks. Después de las tradicionales presentaciones, explicó las razones del zeitgeist del congreso de este año: “No es mi área”. Todos hemos escuchado esa frase más de una vez; a menudo se usa para rebajar los argumentos de otras personas, pero es un buen ejemplo de una mentalidad cerrada en el trabajo. Jacob defendó que esta actitud es mucho más perjudicial en un mundo interconectado. ¿De qué sirve una ley de protección a la privacidad si nuestros datos fluyen por los routers de gobiernos opresivos que pueden estar creando bases de datos inmensas sobre nuestras vidas? Es importante tomar conciencia sobre esto.

El punto clave del día fue la charla sobre los sistemas SCADA y su exposición a nuevos ataques de redes. Es raro decirlo, pero según los análisis del ponente, muchas infraestructuras críticas (la mayoría concentradas en países como España e Italia) siguen vulnerables. La charla, además de publicar de forma responsable vulnerabilidades del programa que controla el PLCs (como Simatic WinCC), destacó una vez más cómo estas infraestructuras se ejecutan y controlan con sistemas operativos sin parchar o muy obsoletos (no voy a tratar de endulzarlo, algunos equipos estaban usando Windows 95, ¡en serio!); espero con ansias el día en que por fin se lleven a cabo buenas prácticas para proteger los sistemas SCADA (como las que están preparando ENISA y su derivado E3PR).

La lista de ponentes del segundo día también fue impresionante. La charla que me interesó más era sobre un análisis del protocolo HTTPS e intrusiones y abusos recientes a Autoridades de Certificación. Creo que todos recordamos lo que pasó con la Autoridad de Certificación (CA) holandesa Diginotar: la intrusión se mantuvo en secreto y, durante semanas, los navegadores continuaron confiando en certificados que permitían que los atacantes interceptaran las comunicaciones de residentes de Irán (si te interesa un análisis más extenso, puedes ver 1 y 2 ). Un argumento interesante y diferente que se presentó en la charla trataba sobre si las CAs deberían considerarse (como se hace con algunos bancos en la actual crisis económica) demasiado importantes como para fallar, por lo que tal vez se deberían imponer nuevas regulaciones para cambiar el sistema de gobierno del ecosistema HTTPS. No será la cura de todos los males de las vulnerabilidades sistémicas del protocolo HTTPS ( aquí ), pero es posible que sea un paso importante hacia la creación de un equipo de respuesta a emergencias para casos como el de Diginotar. Cambiando de tema, la charla también hizo notar que todavía no existe ninguna forma de evitar que las netbooks instalen a la fuerza las actualizaciones de Windows 🙂

Instalación forzosa de las actualizaciones de Windows.

Debido a mi antiguo interés en el análisis de memorias para la detección de malware, me intrigó la charla “Derrotando los métodos forenses de Windows Memory”; además de que cubre literatura reciente (por favor, si todavía no lo has hecho, echa un vistazo a “Caminante superficial – aumentando las expectativas para la detección de rootkits”), el ponente presentó Dementia, una herramienta que esconde los objetos kernel como procesos o estructuras de cadenas de datos de las aplicaciones forenses como Memoryze. Tenía algunas dudas técnicas respecto a su validez (en especial si se considera que las aproximaciones forenses mediante hipervisores minimalistas se han vuelto viables); pero, por otro lado, es notable que de algún modo es posible engañar a las herramientas forenses con técnicas que se ejecutan en el espacio del usuario; no se necesita ser un rootkit de kernel para lograrlo.

El cierre con broche de oro se logró con una charla técnica llamada “El futuro de la reversión y simulación de protocolos aplicado en la red zombi ZeroAccess”. Para ser honesto, no sabía nada de la herramienta de código abierto Netzob; lo que hace es muy ingenioso: intenta revertir un protocolo binario (¡que no debe estar codificado!) mediante técnicas de aprendizaje computacionales; aunque no es un proceso completamente automático (quien hace la reversión necesita ayudar a la herramienta a deducir la gramática correcta del protocolo), sin duda es un gran avance desde las eternas horas que había que pasar mirando residuos hexadecimales. Pienso jugar un poco con esta herramienta los próximos días, así que ¡no se sorprendan si ven una entrada del blog sobre ello!

Además de disfrutar de las charlas, tuve la oportunidad de conversar con muchos expertos en seguridad de diferentes especialidades. Les aseguro que esto es gran parte del valor de las conferencias como CCC; lo recomiendo inmensamente, en especial si necesitas a gente informada que opine sobre proyectos que estás llevando a cabo. ¡Ahora espero con ansias la llegada de 30c3!