Eventos

La segunda ronda de CODE BLUE en Japón

CODE BLUE@TOKYO, una conferencia de seguridad informática del más alto nivel, se llevó a cabo el 18 y 19 de diciembre. Fue su segunda ronda, continuando su primera aparición en febrero de 2014.

Reunió a más de 400 personas de todo el mundo, incluyendo a alguien que participó en la conferencia a distancia, mediante un dron. šSurgieron acaloradas discusiones entre los investigadores e ingenieros durante los intervalos y los descansos para comer – no faltaron los entusiastas que casi pierden las presentaciones por seguir las conversaciones (admito que fui uno de ellos).

La idea de la reunión es que sea "una conferencia internacional donde los más destacados especialistas de seguridad se reúnen para dar charlas innovadoras, y un lugar para que todos los participantes intercambien información e interactúen fuera de los límites de las fronteras e idiomas". Tal como se indica, todas las presentaciones fueron sobre investigaciones técnicas de alto nivel que se seleccionaron de temas que investigadores de todo el mundo habían propuesto. Los temas de seguridad exploraban cuestiones como: tecnologías integradas, pruebas de intrusión, vulnerabilidades, malware, programación, etc. Me gustaría poderhablar de todas las presentaciones, pero para ahorrar tiempo escogeré cinco:

1. Evaluación de seguridad y prueba de la Unidad de Control de Motor (ECU) automotriz accionada por Tricore

Dennis Kengo Oka (ETAS) y Takahiro Matsuki (FFRI) analizaron el comportamiento de los programas ECU que se ejecutan en TriCore para descubrir los posibles ataques que le afectan. No consiguieron el mismo programa para hacer las pruebas, por lo que ellos mismos crearon uno de prueba para demostrar que el sistema de control TriCore corría riesgos de ataque. Una parte de la memoria tenía una dirección de retorno que, si se sobrescribía con éxito, permitía que se transfieran los procesos del programa a una dirección arbitraria. Los investigadores pusieron a prueba la vulnerabilidad con cuatro demos, usando una tabla de evaluaciones. Dijeron que necesitarían el programa ECU legítimo de TriCore para poder indagar con mayor certeza sobre si la vulnerabilidad es o no una amenaza real.

2. [In]Seguridad Física: No TODO está en lo Ciber

Inbar Raz (Check Point) presentó los riesgos de las máquinas que emiten entradas para el cine, aparatos que funcionan como puntos de venta y televisores de hospitales. Estos equipos tienen puertos USB/LAN; al insertar teclados USB o discos flash con LiveOS en estos puertos e iniciarlos, se puede extraer los datos almacenados en estos equipos. Como estas máquinas suelen guardar información de tarjetas de crédito y claves privadas para las comunicaciones, esta vulnerabilidad puede representar un riesgo muy grande. Durante la presentación, Raz indicó que los dispositivos especiales que se usan comúnmente en público suelen tener fallas de protección contra el acceso inapropiado de terceros, lo que podría poner en manos peligrosas los datos confidenciales de sus usuarios.

3. La historia de IDA Pro

La charla principal del Día 2, por Ilfak Guilfanov, trató de la historia de IDA desde la versión 0.1 a IDA Pro. Habló sobre cómo se creó IDA; las funcionalidades que había implementado; los problemas que había resuelto; y la existencia de una versión pirata de IDA Pro. Junto con el futuro entorno de IDA Pro, se reveló la identidad de la icónica mujer de su logotipo.

IDA Pro es muy usado entre los ingenieros e investigadores de malware para analizar programas; no soy la excepción.

4. Ataque de drones con malware e intrusión a redes

Dongcheol Hong (SEWORKS) indicó los problemas en la configuración de seguridad de un sistema de drones y demostró lo fácil que era secuestrarlos. Hong mostró un video con demostraciones de experimentos de infecciones de malware mediante una aplicación de smartphones y un ataque de un dron infectado hacia uno limpio. Al final de la presentación, alertó que los drones podrían representar amenazas a otros sistemas, ya que se pueden realizar ataques remotos mediante PCs, puntos de acceso o dispositivos inteligentes.

5. Seguridad integrada en la Tierra del Sol Naciente

Ben Schmidt (Narf Industries) y Paul Makowski (Narf Industries) se concentraron en estudiar los routers más populares de Japón, indicar las partes de sus códigos que eran vulnerables y demostrar cómo se los podía atacar. Según ellos, hay muchos routers domésticos en todo el mundo, lo que permite el acceso a puertos HTTP y UPnP desde un WAN – Japón era el cuarto en su lista mundial. También dijeron que al momento de realizar su presentación existían alrededor de 200.000 routers vulnerables que permitían el acceso HTTP y UPnP desde un WAN en Japón. Schmidt y Makowski me enviaron comentarios adicionales después de su presentación. Dijeron: “Los dispositivos integrados japoneses son atractivos para los cibercriminales porque los enlaces a Internet de Japón tienen un ancho de banda alto y una latencia baja". También recalcaron la importancia de parchar los dispositivos integrados tan pronto como sea posible.

David Jacoby, del Equipo Global de Análisis e Investigación (GReAT) de Kaspersky Labš también dio una charla en CODE BLUE. Su presentación, llamada “El día que ataqué mi propia casa” y trató de lo que descubrió cuando hackeó los dispositivos de su propio hogar. Su entrada del blog al respecto puede encontrarse en Viruslist.

Kaspersky Lab Japón fue Patrocinador Esmeralda de CODE BLUE, igual que en la primera ronda.

La segunda ronda de CODE BLUE en Japón

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada