5 regalitos de Las Vegas

Dos de las conferencias de seguridad que se pueden considerar las más importantes del mundo se realizan en Las Vegas durante la misma semana y reúnen a más de 15.000 asistentes que participan en docenas de charlas. Aunque estés aquí, seguro te verás en situaciones en las que quisieras asistir a 2 o 3 charlas al mismo tiempo, o sentirás la frustración de participar en una pero darte cuenta de que ya no hay espacio en la que querías visitar a continuación.

Así que me pareció que sería útil, tanto para quienes están como para los que no están en Las Vegas, destacar las partes que me parecieron más relevantes de estas dos semanas:

Crackeando MS-CHAPv2, by Moxie

Una vez más, Moxie demostró la diferencia entre la teoría y la realidad aplicada a la criptografía. En este caso, redujo el problema de vulnerar el protocolo MS-CHAPv2 (que se usa casi siempre en PPTP VPNs y WAP2) al problema de vulnerar una sola codificación DES. Puedes ver los detalles de su presentación aquí .

Esto se puede hacer congracias a la capacidad actual de los ordenadores. De hecho, Moxue publicó un servicio de cracking DES en Internet. También lanzó las herramientas para ayudar a la gente a extraer la llave DES y romper el protocolo MS-CHAPv2, lo que permite que cualquier persona pueda conseguir las credenciales del tráfico husmeado del diálogo inicial (handshake) de datos de acceso.

Así que es hora de cambiar los protocolos de autentificación PPTP VPNs y WPA2 para Radius por unos protocolos más seguros. Como dijo Moxie, cualquier protocolo basado en MS-CHAPv2 debería considerarse inseguro.

Romper la contraseña que se husmeó durante el handshake en realidad no es una técnica revolucionaria. Pero la relevancia de este análisis está en la reducción del problema a algo que se puede manipular con la capacidad de los ordenadores de hoy y en la oferta de herramientas y servicios para hacerlo. Ser capaz de salir de la teoría para entrar a la realidad y ponerla al alcance de todos, a mi parecer, hace una gran diferencia.

Hardware roto

Puede que este no sea un tema nuevo, pero parece que se vuelve más popular cada año. Ruben Santamarta presentó en su charla una interesante guía paso a paso para revertir algunos de tus dispositivos favoritos (medidores de energía) mediante actualizaciones de firmware. FX de Recurity Labs demostró lo baja que es la seguridad de los routers Huawei y cómo los exploits y vulnerabilidades con un estilo de los 90 pueden aplicarse a ellos. Por último, algunas charlas sobre SCADA: “Scada HMI” y “Cómo hackear todas las redes de transporte de un país”.

Lo que quiero hacer notar es cómo cada vez más dispositivos cotidianos que no parecían sospechosos se están convirtiendo en el objetivo de investigadores de seguridad con mayor frecuencia, y lo malos que son estos dispositivos en cuestiones de seguridad. Me gusta que los analistas destaquen este hecho: parece que es lo único que hace que estos aparatos mejoren su seguridad.

Móviles

Los teléfonos móviles iOS y Android han sido temas recurrentes este último tiempo. Me gustó mucho la charla “Safe DEX”, que distinguía las diferentes técnicas de evasión de los autores de malware para Android. La charla de Thomas Cannon sobre cómo obtener acceso a los datos de los usuarios de Android también me pareció muy interesante.

Pero es posible que la charla más relevante sobre teléfonos móviles de este año haya sido la de Charlie Miller, sobre trucos de hacking de NFC (comunicación cercana al campo). Esta tecnología se está volviendo cada vez más popular en smartphones, y Miller demostró que era posible obligar a alguien a que ingrese a un sitio web malicioso sólo manteniéndose cerca de un dispositivo vulnerable con NFC.

“Eso significa que si tengo NFC, camino hacia donde está tu teléfono y lo toco o lo dejo cerca, tu navegador web, sin que hagas nadas, abrirá una ventana y visitará la página que yo le ordene”, dijo Miller.

Este ataque sólo se puede realizar en distancias cortas (de pocos centímetros) en las que opera este protocolo, pero demuestra que la adopción de nuevos protocolos y métodos de comunicación, en especial en smartphones, atrae nuevas posibilidades de ataque.

El CiberComando de los Estados Unidos y los Federales

La presencia de la policía federal estadounidense en DefCon y BlackHat no es sorprendente. Pero este año, la cuestión fue un poco diferente. El general Keith B. Alexander, Comandante del CiberComando del ejército estadounidense, se dirigió a la audiencia de DefCon ofreciendo sus servicios como un aliado y pidiendo ayuda y comportamientos responsables a los asistentes. Shawn Henry, ex director del FBI, dio el discurso de apertura de BlackHat, en el que destacó la importancia del ciberespionaje y las armas cibernéticas, pero de una forma más comercial.

Creo que el hecho de que se deje de percibir a los hackers como “los chicos que rompen cosas” para convertirlos en “los chicos que podrían ayudarnos a combatir el cibercrimen” es un cambio positivo, en especial para el público general. Por supuesto, no se deben hacer generalizaciones en una comunidad tan heterogénea, pero me parece una buena idea que se les hable como a adultos y no como a niños malcriados.

¿Estamos pasando por alto problemas viejos?

Este último punto es muy personal. Disfruté mucho la charla de Dan Kaminsky (sí, el que habló de la vulnerabilidad DNS) sobre algunos problemas viejos que podríamos estar pasando por alto y que son la raíz de muchos de los problemas de hoy. Desde el (bajo) azar que recibimos de los servidores sin interacción humana hasta cómo no aplicamos enfoques prácticos (que no son perfectos, pero son mejor que nada) a las dificultades para distinguir los datos de comandos en la forma que hacemos un análisis sintáctico de la información entrante. Esta charla habló de algunos de los errores fundamentales que hacemos al desarrollar programas y cómo podemos mejorar al abordar los temas de forma más práctica.

Me gustó mucho la charla porque destacó que muchas veces nos concentramos en problemas técnicos o vulnerabilidades muy concretas, pero olvidamos los problemas fundamentales que causan las filtraciones de seguridad.