Defcon 2012 marcó su XX aniversario con inesperados ponentes, algunos contenidos bastante complicados y la magia que vibra en la conferencia año tras año.
Dark Tangent dio la bienvenida a Mark Weatheford, exmarino y exencargado de seguridad de Raytheon, que llegó a ser director de seguridad informática de los estados de Colorado y California, y luego el director de seguridad de la altamente regulada compañía eléctrica NERC para recientemente asumir un cargo de alto nivel en el departamento de seguridad nacional de EE.UU. Weatherford presentó una visión sobre la cantidad de ataques de los que a diario es testigo, mencionó que algunas de las personas más capaces con las que trabaja no tienen un título universitario, y se refirió a su reclutamiento (están contratando personal).
El siguiente conferencista que presentó Dark Tangent fue el famoso General Keith Alexander, Comandante del Cycerbom del Ejército de EEUU y director de NSA/CSS. Parece una señal de los tiempos que a la comunidad hacker se le acerquen personas para construir lo que se está convirtiendo en el mayor grupo de “ciberguerreros” del mundo, intentando encontrar principios compartidos y similitudes entre los grupos. El tipo fue, de verdad, muy divertido, inundando de bromas su charla, invitando a los participantes a subir a la tarima, y luciendo múltiples camisetas. Aparte de explicar su misión y de hablar sobre reclutamiento, se refirió a otros dos interesantes temas. Señaló que la gente debería enterarse si la NSA guarda archivos sobre cada norteamericano antes de acusarla de ello, y sostiene que el Cybercom no necesita ser más grande que la moderna fuerza naval de EE.UU., en parte debido al poder de la automatización y su trabajo inteligente. ¡Ah! Y están contratando personal. Este fue un tema recurrente la pasada semana.
Algunas de las charlas fueron impactantes. FX de Phonoelit y Recurity Greg analizaron, desde la perspectiva de la seguridad informática, cuán malo es el código router Huawei: increíble para una línea de productos de una compañía cotizada en 21 mil millones de dólares. Su presentación comenzó con una diapositiva sobre Calidad de códigos que, según ellos, les quedó casi vacía. El contenido de cada diapositiva mostraba que las prácticas de seguridad de Huawei y su implementación no podían ser peores a lo que se mostraba en la diapositiva previa, pero lo eran. Y fue terrible. Después de explayarse sobre los servicios abiertos de los códigos router y la incapacidad de desactivarse, describieron la falta de recomendaciones y actualizaciones de seguridad, la interrupción de tablas con acceso RWX, una interfaz de depuración sólo para China, la falta de canales de comunicación para denunciar vulnerabilidades, la falta de un verdadero ciclo de vida de desarrollo de seguridad en el desarrollo del código. Hicieron un seguimiento de Huawei y copiaron/pegaron su antiquísimo código de explotación Cisco IOS en exploits desarrollados para los routers de Huawei, atacando 90 vulnerabilidades propias de los años 90. Es evidente que la compañía no ha aprendido las lecciones de seguridad dictadas por la experiencia de Cisco en este campo.
Al principio, estaba desilusionado por la cancelación sin previo aviso de la charla sobre el sistema SCADA para plantas nucleares del “Dr Strangelove”. Nos dejaron plantados a todos los asistentes. Pero la remplazaron con una charla sobre temas de seguridad para SCADA HMI (o interfaces de gestión humana) de Wesley McGrew, llamada “SCADA HMI and Microsoft Bob: Modern Authentication Flaws With a 90’s Flavor”. Al parecer, nada que ver con la charla que acabábamos de perdernos. Pero fue reveladora. Esta charla fue sobre conocidos y discutidos problemas técnicos que se resolvieron con erradas y poco profesionales implementaciones de seguridad; estos sistemas son infraestructuras críticas y no se están atendiendo las necesidades de seguridad. La charla se complementó con la intervención de Alberto García Illera y sus aventuras con las pruebas de penetración en los sistemas de transporte de España mediante sencillas e imprevistas fallas en los sistemas de acceso público, para analizar cada nivel hasta llegar a los muy mal protegidos sistemas SCADA. El título de la charla era “How to Hack All the Transport Networks of a Country”. La primera charla puso en evidencia las implementaciones increíblemente débiles en los sistemas SCADA, y la segunda mostró exactamente por qué se deben reparar esas necesidades y por qué es necesario que sus desarrolladores y fabricantes las entiendan mejor.
Otras dos charlas se complementaron mutuamente: la de Michael Coppola, “Owning the Network: Adventures in Router Rootkits” que presentó un parche tipo collage de herramientas de código abierto y la experiencia de modificar códigos y firmware de router SOHO, implementando rootkits que funcionan en una serie de routers que se usan en redes domésticas y de pequeñas empresas. Todos estos routers comparten en sus implementaciones un limitado sistema operativo Linux, procesadores MIPS y varias bases antiguas de códigos abiertos. En cuanto a ofensiva de seguridad, este trabajo complementó la charla de Zachary Cutlip, “SQl Injection to Rooting SOHO Routers”, sobre ataques SQLi y la captura remota de routers SOHO.
Michael Robinson y Chris Taylor hablaron sobre programas espía para dispositivos móviles y describieron el mercado casi chapucero de spyware comercial para dispositivos móviles, y analizaron cinco paquetes de spyware en los últimos seis meses en dispositivos iPhone y Android. Curiosamente, si bien el spyware Android necesitaba obtener los máximos privilegios en el aparato para funcionar, ahora esa condición ya no es necesaria. En comparación, todo el spyware comercial para iPhone que estos investigadores encontraron, requería que se forzara el iPhone atacado. El funcionamiento y las características “furtivas” de estos paquetes de spyware resultaron bastante cómicas. Con ciertos conocimientos técnicos, los propietarios de dispositivos iPhone y Android pueden, de manera bastante efectiva y sencilla, identificar si su aparato está ejecutando uno de estos paquetes comerciales de spyware.
Andrew Fried y Paul Vixie, consultores contratados por el FBI para hacerse cargo de los servidores Rove Digital DNS, hablaron sobre Operation Ghost Click, y trataron de absolver todas las interrogantes sobre la operación:
1. No, tu equipo no se contagiará con ninguna infección DNSCharger con sólo visitar DNS-OK.US
2. No, el FBI no monitoreaba las comunicaciones desde equipos infectados.
3. Por desgracia, el desvío interno que realizaban los ISPs que descubrí en esta entrada, es muy probable que use los ISPs para mantener bajo el volumen de llamadas de manera que muchos hosts afectados por DNSCharger con actualizaciones desactivadas de Windows y AV sigan conectados a Internet sin saberlo. Se discutieron al menos otros siete puntos sobre la operación, incluyendo la asignación de suficientes recursos de servidor web en DNS-OK.US para picos en el tráfico relacionados con notas de prensa.
La insignia de Defcon y los juegos que vienen con ella son muy divertidos este año. La medalla es interactiva, manteniendo los códigos y pistas al rompecabezas codificado que requiere modificaciones en el hardware y la interacción P2P con otros asistentes. Estropeé la mía mientras jugueteaba con la herramienta Parallax Propeller, pero la arreglé cuando los fabricantes publicaron una imagen EEPROM “virgen” en los foros. Las pistas que aparecían en las gigantes imágenes Defcon cubrieron todas las paredes de mi sala. Los anagramas de nombres alfabéticos y los dígitos numéricos en binarios, y las representaciones hexadecimales y decimales decoraban estas imágenes. Incluso las letras de Pink Floyd brillaban al alcanzar el siguiente nivel del rompecabezas.
Por otra parte, durante la conferencia, el tradicional concurso de “Capturar la bandera” contó con la participación de 70 equipos. No todos se encontraban en la misma sala CTF; el equipo ganador tenía casi 80 miembros remotos desde todas partes del mundo. Unos 50 desafíos se presentaron durante el día, desde uno llamado “Schemaverse” que desafiaba las habilidades de los desarrolladores de SQL administrator/Postgres, la apertura de cerraduras (y esposas), cacerías de carroñeros que duraban todo un fin de semana, competiciones de hash cracking, 10.000 preguntas sobre hackers, hasta la construcción y aprovisionamiento de una red Ninjatel de telecomunicaciones, y los muy exitosos proyectos de donación de sangre y médula ósea, inspirados en la gente de Goon. Defcon Kids atrajo a multitudes de 8 a 16 años de edad; unos cien niños y padres participaron en juegos en línea, hackeo de hardware, y otras actividades.
Finalmente, el sábado, Infected Mushroom ofreció un show después de la conferencia con una gran asistencia, y se rumorea que Kreftwerk podría tocar el próximo año.
Defcon cumple 20 años en 2012