Si eres paranoico respecto a la seguridad y la privacidad, tenías razón

Si eres paranoico respecto a la seguridad y la privacidad, tenías razón

4 comentarios Facebook Twitter Flipboard E-mail
Si eres paranoico respecto a la seguridad y la privacidad, tenías razón

Uno se acredita en la Rooted CON con cierta aprensión. La seguridad informática es un tema demasiado complejo, aquí hay mucha gente que sabe mucho, y casi da miedo abrir el portátil o el móvil por lo que pueda pasar. Lo que sí abres es la mochila que te regalan en la entrada, y queda claro de qué estamos hablando: uno de los pequeños obsequios de la organización -impecable, por cierto- es un parche para la webcam del portátil. Por si las moscas, ya se sabe.

Este evento es uno de los más conocidos (por no decir el más conocido) en el panorama de la seguridad informática en nuestro país, y lo demuestra la gran cantidad de asistentes con los que pudimos compartir las charlas de una de las mañanas del evento. El perfil es claro: expertos muy jóvenes -de hecho aproximadamente un 15% son estudiantes- apasionados por todo lo relacionado con este mundillo. Gente preocupada por amenazas cada vez más preocupantes tanto para nuestra privacidad como para nuestra seguridad digital.

El perfil técnico es protagonista

El nivel técnico es elevado, y lo demuestran los propios ponentes con charlas en las que se tratan temas variopintos pero sobre todo muy específicos. Las que pudimos ¿disfrutar? en nuestro caso tocaron temas como la esteganografía, los cortafuegos de aplicaciones web, la seguridad de de propuestas comerciales como Cisco Webex o la seguridad de NFC en pagos móviles con Android.

Rooted 3

Aquí no hay directivos de grandes corporaciones hablando mucho sin decir (casi) nada. Aquí los ponentes son a menudo tan jóvenes (o más) como el resto de los asistentes, y cada uno de ellos ha trabajado mucho y bien en los campos sobre los que nos hablan. Es el mundo hiperprofesional y académico y la investigación pura -casi clásica- la que manda en Rooted CON. Nada de marketing, nada de grandes promesas, nada de afirmaciones categóricas sin argumentos demostrables.

Porque en Rooted CON todo está basado en datos reales, en investigaciones que suelen llevar meses para quienes las llevan a cabo y que implican todo tipo de procesos de análisis en los que métodos como la ingeniería inversa son protagonistas. Las afirmaciones, si son categóricas, lo son porque están sustentadas con datos.

Aquí no hay directivos de grandes corporaciones hablando mucho sin decir (casi) nada

Para alguien que como yo tiene conocimientos muy limitados de estos temas las conferencias dejaban una sensación preocupante: la de que las posibilidades son casi ilimitadas para los atacantes, y la de que los que nos guardan las espaldas suelen ir (como mucho) tratando de pisarles los talones. Aquí los usuarios de a pie -tanto si tenemos algunos conocimientos, aunque sean básicos, como los que no se preocupan demasiado por estos temas- vivimos en esa pseudo felicidad que aporta la ignorancia. Pero si algo nos descubren estas charlas es que hay muchas, muchísimas realidades tras la cortina de nuestra ignorancia.

La esteganografía, entre las protagonistas

Una de las charlas que lo dejó claro -y es solo un ejemplo- fue la realizada por Alfonso Muñoz (@mindcrypt), de Eleven Paths, un experto en esteganografía y criptografía que ofreció las conclusiones de un estudio singular: ¿existe el malware esteganográfico (stegomalware) en Google Play? La detección de este tipo de malware le llevó meses de análisis: la dimensión de la tienda de aplicaciones móviles para dispositivos Android es enorme. Así, detectar información oculta en las imágenes JPEG o PNG que se suben junto a la aplicación al publicarla en Google Play resultaba complejo: más de 11 millones de imágenes con las que poder "jugar" hacían la tarea más lenta de lo deseable.

Rooted 5

En ese estudio en el que se tenían en cuenta métodos de introducción de información al final de fichero (EOF) o mediante el uso de LSB se comprobó que aunque con los JPEG la cosa era más complicada para los que quisieran hacer uso de la esteganografía (Google Play redimensiona las imágenes), eso no ocurría con los PNG. EN los APK -que Google Play no toca- también se puede meter información en recursos como los XML, JPG, PNG o DEX que forman parte de las aplicaciones y juegos, y ahí, como decía Muñoz, "podemos hacer casi de todo". No solo eso: las herramientas de seguridad habituales no lo detectan, y lo que es peor, el famoso sandboxing que teóricamente nos protege en otros escenarios no lo hace en este.

Google Play es un canal esteganográfico con un potencial enorme

Un ejemplo: una aplicación desde la cual el dispositivo se conecta a una URL que a su vez se descarga una imagen PNG, que a su vez se conecta a una base de datos, que a su vez se utiliza para intercambiar recetas de cocina... basadas en el hachís. Caso verídico descubierto en esa investigación y que, como era de esperar, provocó una pequeña ovación durante la charla de Muñoz.

La conclusión: por el momento muy poca presencia de esteganografía en Google Play, y de lo encontrado la mayor parte era "basura" no dañina, con información de registro de algunas aplicaciones de terceros o datos sin apenas relevancia. Pero las opciones están ahí y los PNGs, especialmente populares en este caso, hacen que la detección sea muy compleja por ser ficheros muy pequeños. Teniendo en cuenta que de media un APK dispone de unos 27 ficheros PNG, la información que se puede ocultar en esas apps es preocupante. Google Play, concluía este experto, es un canal esteganográfico con un potencial enorme. Para lo bueno, y para lo malo.

WebEx y NFC al descubierto

Otra de las charlas a la que pudimos asistir fue presentada por Abel Valero (@sanguinawer) un investigador de seguridad que se dedica en especial a la ingeniería inversa y al análisis de los sistemas de virtualización y que en esta ocasión hablaba de cómo servicios populares presentan vulnerabilidades concretas y preocupantes.

Rootedcon 2

En su charla sobre Cisco WebEx este experto nos contaba su experiencia con este tipo de servicio, que utilizó para una sesión de formación que creyó perder en su disco duro. Al tratar de recuperar la información se dio cuenta del problema: los distintos ficheros que componían su charla seguían en su disco y al analizarlos para tratar de recomponer el puzzle se dio cuenta de que ese análisis en bruto dejaba a WebEx en muy mal lugar.

El uso de herramientas como Radare2 le permitió reconstruir la cabecera de forma aparentemente sencilla: una pequeña utilidad que programó gracias a sus conocimientos le permitía recuperar su formación, pero también demostraba que Cisco no cifra todos esos datos y que cualquiera con algunos conocimientos podría acceder a sesiones WebEx privadas y reconstruirlas accediendo así a información privada.

También singular fue la exposición de Ricardo J. Rodríguez y José Vila, que nos hablaron de cómo explotar el principio de proximidad en las comunicaciones NFC para demostrar que no era seguro. El peligro de este descubrimiento es evidente, y expondría a sistemas de pagos móviles en los que esta tecnología es precisamente el pilar fundamental de esas transacciones.

La seguridad y la privacidad son más actualidad que nunca

Esta conferencia era solo una muestra de la dimensión y complejidad del mundo de la seguridad informática, un tema del que hablamos con dos de los miembros de la organización de la Rooted CON: Román Ramírez (Responsable de Seguridad en Ferrovial) y Omar Benbouazza (Analista de Seguridad en Microsoft). Ambos nos explicaron los orígenes de un evento que nació por la inquietud sobre unos temas que ningún otro evento cubría a nivel nacional.

Roman 1

Román Ramírez, uno de los organizadores de la Rooted CON

Si hay un principio fundamental sobre el que se asienta la Rooted CON es este: nada de censura

Los organizadores de la Rooted CON comenzaron a trabajar en estas jornadas en 2009, y lograron que la idea cristalizara con la celebración de la primera Rooted CON en 2010 en 2010, un evento al que asistieron 400 personas. En esta sexta edición de 2015 el panorama ha cambiado de forma notable: el apoyo de patrocinadores muy importantes -Telefónica y CCN-CERT son ya pilares para la organización, con otras como la empresa Tarlogic también en la categoría de patrocinadores "oro"- ha hecho que el evento disponga de más medios y recursos, pero que también congregue a más y más usuarios y profesionales en este segmento. De hecho, para esta edición había registradas cerca de 1.300 personas, algo más que las casi 1.200 que acudieron en la edición de 2014.

El propósito de estas jornadas, nos comentaba Ramírez, era el de crear y fortalecer una comunidad alrededor del segmento de la seguridad informática. La presencia mayoritaria de profesionales del sector hace que allí sea posible que todo tipo de agencias y empresas compartan experiencias e información, pero si hay un principio fundamental sobre el que se asienta la Rooted CON es este: "nada de censura".

Ambos organizadores destacaban un apartado delicado de un evento que no solo invita a investigadores de seguridad más asentados en el lado de "los buenos" -por clasificarlo de algún modo-, sino que también invita a grupos que están cruzando a menudo las delgadas líneas entre lo legal y lo que no lo es tanto. En este evento se pusieron por ejemplo en contacto con uno de los grupos hackers más activos y conocidos en los últimos tiempos y aunque respondieron a la invitación no se ha llegado a saber si alguno de sus miembros ha asistido finalmente. En cualquier caso, la idea es siempre la misma: informar y hablar de seguridad sin tapujos. La única barrera es que esa información y esas revelaciones no constituyan un delito.

La cosa se está poniendo complicada en este ámbito sobre todo con las reformas al Código Penal que, como explicaba Román Ramírez, han hecho que incluso poseer herramientas de análisis como la archiconocida nmap pueda acabar siendo un delito por el que un usuario podría ser investigado, perseguido e incluso arrestado. Aquí el argumento de Ramírez era contundente: estas reformas están "criminalizando al investigador de seguridad", y haciendo que esa labor sea cada vez más compleja e incluso peligrosa para quien precisamente trata de ayudar a que estemos más seguros.

Las filtraciones de la NSA lo han cambiado todo

Era obligado hablar de las filtraciones que desde junio de 2013 han aparecido sobre la NSA y que han hecho que los programas de espionaje y monitorización masiva de esta agencia sean conocidos en todo el mundo. El problema, nos confesaban los dos organizadores, es en realidad extensible a todos los gobiernos del mundo. Todas las agencias nos espían, afirmaban, pero era evidente que las revelaciones de Edward Snowden han tenido un peso específico notable en el cambio del panorama de la seguridad a nivel mundial.

Rooted 7

Aunque es evidente que los gobiernos deben tener herramientas con las que luchar contra cierto tipos de amenazas, hace años que se ha demostrado que dichas redes de espionaje sirven también a otros propósitos. Aquí Ramírez nos recordaba el caso de la red ECHELON y de cómo en 1994 la NSA utilizó este programa de espionaje para boicotear las negociaciones que iban a hacer que la aerolínea nacional de Arabia Saudí concediera un contrato a la empresa europea Airbus para dotar a su flota de nuevas aeronaves. Airbus perdió un contrato de 6.000 millones de dólares tras filtrarse que directivos de esa empresa habían sobornado a las autoridades saudíes para ganar ese contrato. La consecuencia: la empresa americana McDonnell Douglas -ahora parte de Boeing- acabó ganando ese contrato y suministrando los aviones.

Las teorías que algunos consideran como conspiranoicas no lo parecen tanto cuando se nos recuerdan detalles como ese o como otro en el que una vez más se deja claro el papel de los gobiernos o los grupos de presión que hacen que el mundo vaya como va. Y de nuevo otro recordatorio de Ramírez: la aprobación de la Copyright Term Extension Act (CTEA) en 1998 que amplió los periodos de validez del copyright en Estados Unidos. ¿Quién estaba detrás de esa ley? Sobre todo, Disney, que logró que su célebre ratón de dibujos animados no pasara al dominio público, tal y como se preveía que pasaría a principios de los años 2000. La multinacional americana logrará seguir haciendo caja durante unos años más, algo que ha hecho que esa CTEA tenga otro apelativo no oficial: la Mickey Mouse Protection Act.

Las revelaciones de Edward Snowden han tenido un peso específico notable en el cambio del panorama de la seguridad a nivel mundial

El papel de los gobiernos en este tipo de actividades es evidente, nos comentaban los organizadores, que nos destacaban por ejemplo la ayuda que unos países se prestan a otros en esta materia se está viendo reforzada por iniciativas como la de creación de la Asociación Transatlántica para el Comercio y la Inversión. La ATCI (o en sus siglas en inglés, TTIP)- que con la excusa del crecimiento económico mundial permitirá llegar a acuerdos en materias de todo tipo incluyendo por ejemplo temas polémicos hoy en día como el fracking. Los gobiernos, nos contaban Ramírez y Benbouazza, no controlan a las agencias de inteligencia. No les ponen límite. Aunque traten de disimularlo. Temblad.

La seguridad debería ser invisible

En esa batalla contra todas estas amenazas, nos confesaban dos de los creadores de la Rooted CON, habían hechos evidentes como el esa sensación que muchos tenemos: la de que los malos van muy por delante de los buenos. Una sensación que Ramírez nos confirmaba como absolutamente correcta, poniéndonos como ejemplo el caso de las redes rusas de creación de malware o de ciberterrorismo y ciberataques, que según sus palabras estaban "totalmente industrializadas".

Rooted 8

Aquí volvíamos a palidecer con otra de las realidades actuales: un chico de 16 años en Ucrania que lo está pasando fatal por la situación de su país pero sobre todo la económica de su familia pero que es medio hábil con los ordenadores recibe la llamada de estas redes (ejemplo: la archiconocida Russian Business Network). Le financian los estudios y un nivel de vida aceptable para su familia, y a los 21 este mismo chico acaba siendo un absoluto crack de la programación de malware que a nivel personal simplemente está tratando de ganarse el pan para su familia y que a menudo no concibe el daño que está haciendo al resto del mundo.

La seguridad tiene que ser invisible. Tiene que ser una seguridad de botón gordo.

Aquí el avance de amenazas como el ransomware es, nos decían estos expertos, espectacular, y esa batalla contra esa industria que se aprovecha del usuario final -ese que como tú o yo no tiene fácil defensa contra estas amenazas- es cada vez más siniestra. Como cuando esas organizaciones y expertos logran convertir a tu ordenador en un bot, o robarte los datos de tu tarjeta de crédito, o entrar en una empresa, bloquear documentos y liberarlos solo previo pago de cantidades de dinero desorbitadas que saben que la empresa pagará para evitar males mayores. Los ejemplos que nos ponían tanto Ramírez como Benbouazza eran tan terribles como terroríficos e iban desde los fallos de seguridad de los sistemas SCADA que ponen en peligro miles de procesos industriales hasta esos cibercriminales que se ocultan en la Deep Web y que por 100 dólares te montan un ataque de denegación de servicio en 5 minutos capaces de tirar virtualmente cualquier sitio web del mundo. Y cuando decimos cualquiera, queremos decir cualquiera.

¿Hay formas de protegerse? Aunque la seguridad completa no existe, Benbouazza lo dejaba claro: la idea es poner trabas y barreras para hacer que cierto objetivo sea menos apetecible para un ciberatacante. Pero aquí ambos coincidían en que "los expertos en seguridad lo estamos haciendo mal". Y ciertamente lo demostraban al poner ejemplos como un cifrado PGP que pocos usan más por su poca usabilidad que por su efectividad -Phil Zimmermann ya nos lo confirmaba en una entrevista excluiva hace poco- o en unas opciones solo alcance de gente con muchos conocimientos.

Aquí el discurso de Ramírez era claro. "La seguridad tiene que ser invisible. Tiene que ser una seguridad de botón gordo". Estas conferencias son desde luego un primer paso importante para dar a conocer todos esos riesgos y tratar de informar a toda la comunidad -empezando por los profesionales, pero que tiene cabida para cualquier tipo de usuario- y solo cabe esperar que este tipo de esfuerzos ayude a que estemos un poquito más seguros y un poquito más tranquilos. Al término de esa jornada y tras hablar con estos dos expertos yo, desde luego, no estaba ni una cosa ni la otra.

Con lo felices que éramos y lo tranquilos que estábamos en nuestra ignorancia. Maldición.

Imágenes | Rooted CON en Flickr
En Xataka | Paranoicos de la privacidad

Comentarios cerrados
Inicio