(Por Rubén Borlenghi, el Microsaurio) Además de contarte lo que vi el viernes, me atengo a los comentarios de asistentes variados, de pelaje o nivel también variado. Asistí a charlas de muy buen nivel académico, a otras exposiciones de ingenio y humor que me dejaron frío, y a apasionadas discusiones, bebida con gas por medio. Arrimate así te enterás de lo que te perdiste…

No llegué a tiempo el viernes para ver la presentación, que debía ser muy interesante, de Gasto Público Bahiense, un website (y un programa de obtención y análisis de datos) que muestra, como el nombre indica, adónde va a parar el dinero de los bahienses… que pagan impuestos, claro. A juzgar por lo que vi en ese website, un trabajo muy interesante, usando software abierto (Scrapy para levantar los datos, Django para el sitio web, base de datos PostgreSQL) gracias a la iniciativa de Manuel Aristarán, quien hacía la presentación de esa mañana. Llegué al final de la de Tobi Mueller, miembro del CCC (Chaos Computer Club) alemán, actualmente ubicado en una universidad escocesa. Que con mucha cancha se dedicó a explicar cómo podía virtualizarse el comportamiento de un USB, para poder estudiar las comunicaciones, desarrollar drivers, preparar aplicaciones…
En criollo, estudiar las formas en que una conexión USB puede usarse (con fines educativos) para ingresar a un sistema y meter o llevarse… datos. Todo eso, a través de virtualización open source (Quemu) y sin tener que andar rompiendo máquinas por ahí, que es muy desprolijo, sobre todo si a uno lo agarran.
Pausa para café. Sí, de día funciono a café.

El papá de la foca

Y subí a la sala para ver la presentación del ingeniero Alonso, el Director del Master Universitario de Seguridad de la Tecnologías de la Información y las Comunicaciones de la Universidad Europea de Madrid, más conocido por el Chema, o el papá de la FOCA. Que arrancó explicando algo del título de su conferencia “Los patrones aman a Excel, los hackers también”, dado que lo que iba a explicar era cómo se podían hacer intrusiones a sistemas aprovechando resquicios en las políticas de seguridad de productos Citrix y el Terminal Server, luego de identificar determinados elementos usando el sistema de análisis automático FOCA. Y como era de imaginar, luego de mostrar algunas imágenes de penetraciones anteriores (con perdón), se metió en el website de Determinada Institución Extranjera para mostrar cómo se encontraban unas preciosas planillas… de Excel, mostrando nombres de usuarios, contraseñas, cargos oficiales… La platea, encantada. Alguna cosa de la demostración en vivo falló, pero no importa, con lo visto era más que suficiente.

Hice otra pausa de networking, con viaje a la planta baja, para enterarme de cómo andaba el Desafío ESET. Joaquín Rodríguez Varela, el coordinador del laboratorio de malware que la empresa tiene en Buenos Aires me comentó la mecánica del certamen, donde había que analizar acertadamente determinadas técnicas de ataque (premio, una Playstation) y me recordó que un rato después dos especialistas del laboratorio de Moscú, Eugene Rodionov y Aleksandr Matrosov, iban a exponer características de rootkit diseñados para atacar máquinas donde corrieran sistemas operativos Windows de 64 bit.

De Rusia (y Corea) con amor

Y allá me fui. Además de mostrar las vulnerabilidades de seguridad de la arquitectura x64 detallaron la forma en que actúa un bootkit (si te suena, volvé al capítulo anterior…). Pude ver una lista de los bootkit más modernos (Olmarik/TDL4 y Rovnik son de este año) y conocer una de las herramientas que emplean para analizar este tipo de malware. Se trata de HiddenFsReader, diseñada para revisar bootkit del tipo TDL3 y 4. Ah, la presentación la encontré el domingo colgada en Slideshare, y en ella figura la URL para bajar HiddenFsReader, así que ahorremos espacio y pasamos a…
La Open Source Satellite Initiative, curiosa propuesta del artista coreano Hojun Song, cabeza de la OSSI, que propone la fabricación de un satélite “personal”, dentro de una carcaza premoldeada, un cubo de 10 cm de arista, en el cual se podrá colocar lo que se desee. Él ya tiene listo el suyo, a lanzarse el año próximo. Más datos, en ese website.

La frutilla del postre

Una de las conferencias más esperadas, y que además había sido citada ya por la prensa extranjera (y que te citen Ars Technica o The Register no es poca cosa…) era la que prometía mostrar un nuevo tipo de ataque a la estructura de HTTPS. Sí. El famoso conjunto de protocolos y normas que determina el comportamiento de las comunicaciones “seguras”. Considerando que a Seguro se lo llevaron preso, me senté dispuesto a escuchar, pero lo que no esperaba es que apareciera un personaje de Tron (o el Nitroman local) y me rociara con rayos laser y dióxido de carbono a presión. Estuvo bueno.


Parte formal: La conferencia era “BEAST: sorpresivo criptoataque contra HTTPS”. BEAST es la sigla de Browser Exploit Against SSL/TLS.
El ataque se realiza mediante (oh, novedad) un script de Java que está metido en una página maliciosa colgada en Internet.
Pasos del ataque, en un imaginario escenario:

  • —la víctima visita un website malicioso; se le descarga Cierto Javascript en su navegador
  • —la víctima visita un website legítimo (Paypal, por ejemplo)
  • —la víctima hace una transacción en Paypal. Pero la información también la ve el atacante
  • —el atacante modifica la información
  • —el atacante se hace de unos dólares.

La metodología la expuso Juliano Rizzo, desde el escenario de la Eko; la demostración la hizo Thai Duong desde Estados Unidos, a través de la Internet… porque no pudo salir de USA. Me quedé con la duda de si los de Migraciones de allá no lo dejaron salir, o si él prefirió no salir, porque en una de esas no lo dejaban re-entrar. Como uno es educado y anticuado, no pregunté.
La base de teoría criptográfica del tipo de ataque no es una cosa que yo pretenda detallar acá; la demostración (que hizo gritar de placer a unos cuantos en la platea) se hizo delante de todos. Claro que la imagen de pantalla podría ser fraguada, pero eso no es costumbre en este tipo de conferencias. Así que… me cacho en el TLS.
Aclaremos: la falla en TLS 1.0 se conoce desde hace casi diez años. TLS es el Transport Layer Security Protocol -protocolo de seguridad de capa de transporte-, cuya primera versión, la 1.0, es de 1999, definida como un “upgrade” de SSL versión 3.0 que es de 1996. Y ojo que no se usa solamente para proteger comunicaciones relacionadas con websites; también está siendo aplicado en el servicio SMTP, el de correo electrónico. Tomarlo en cuenta…
Y según la güiquipedia de este fin de semana, “…el 23 de setiembre de 2011 los investigadores Thai Duong y Juliano Rizzo demostraron una prueba de concepto llamada BEAST para una vulnerabilidad de TLS 1.0 conocida mucho tiempo atrás, que fue descubierta por Philip Rogaway, pero que se pensó que era puramente teórica…”
Bueno, el código que ataca esa “vulnerabilidad puramente teórica”, que fue copiado en un pendrive, fue regalado al público el viernes a la noche, y ya está posteado en Internet.
Y no, el sistema TLS/SSL no se cae mañana; en cuanto sea posible los proveedores y los distribuidores de browsers harán los cambios necesarios (Google ya lo está haciendo, Opera ya lo solucionó), y terminen con el amarillismo, che. Las versiones de TLS ya van por la 1.2, pero no se implementaron… porque en ese caso ciertas transacciones no podrían funcionar, y para solucionarlo habría que reprogramar un montón de cosas, y Poderoso caballero es Don Dinero. ¿Te quedó claro?

¿Fin de esta Eko? La muchachada se fue a bailar, yo me fui a casa, y hasta la próxima Electronic Knock Out Party (eso quiere decir “ekoparty”), un referente para Sudamérica, como dicen los dueños de casa (Juan Pablo Borgna, Leonardo Pigner, Federico Kirschbaum, Jerónimo Basaldúa y Francisco Amato).
Y ténganlo en cuenta, sin esta calidad de investigadores, estamos fritos, y a merced de las porquerías que quieran vendernos. Sin especialistas locales, todo sería espejitos de colores. ¿M’esplico?

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.