Black Hat a los 20: un breve resumen
El principal evangelista de investigación de amenazas de F5 se pone el sombrero de reportero para brindarle algunas ideas de una de las conferencias de hackers más antiguas que existen.
Black Hat ya tiene 20 años, lo cual parece antiguo, pero demuestra lo joven que es nuestra industria. Si Black Hat fuera una persona, aún sería demasiado joven para apostar en la ciudad en la que se celebra el evento. Antes de profundizar en los detalles de este año, echemos un vistazo a algunos números de eventos para ilustrar entonces vs. ahora.
| Informes de Black Hat, 1997 | Sombrero negro, 2017 | |
|---|---|---|
| Asistentes | 100 | más de 15.000 |
| Patrocinadores | 3 | más de 250 |
| Red | Ninguno | Más de 70 voluntarios |
Discurso principal n.° 1
Jeff Moss (también conocido como Dark Tangent), fundador de Black Hat y DEF CON, dio una conferencia que fue más que nada un paseo por el recuerdo. No hay nada de malo en ello, pero en su discurso principal se comunicó poca visión de futuro. Él hizo un llamado para que nosotros, los veteranos cibernéticos “más viejos”, seamos mentores de la próxima generación de sombreros blancos para que todos tuviéramos gente para contratar. 
Estoy totalmente de acuerdo con ese sentimiento, lo que me hace querer terminar la clase de Hacking 101 que he estado preparando para los más pequeños...
Discurso principal n.° 2
Alex Stamos está haciendo algunas cosas bien. Como CISO de Facebook, está regalando un millón de dólares en premios a la mejor investigación defensiva presentada en USENIX. También patrocina programas educativos[1] para ayudar a los jóvenes a familiarizarse con la ciberseguridad y fortalecer nuestra infraestructura digital con el proyecto Internet Bug Bounty.[2] Dedicó demasiado tiempo a promocionar muchos de los programas de divulgación en los que participa Facebook, y no a abordar lo que muchos consideraban un tema candente: combatir los problemas de "abuso humano" relacionados con Facebook, como las noticias falsas y el ciberacoso.
¿Dónde están los días cero, hombre?
Una queja común sobre Black Hat es: "¿Dónde están los días cero, hombre?" Bueno, según Daniel Cuthbert, quien se presentó en el evento vespertino Day Zero, este año hubo más días cero que en cualquier conferencia Black Hat anterior.
Por ejemplo, cuando aterricé en Las Vegas, mi iPhone me informó amablemente que quería actualizarse a la última versión: iOS 10.3.3. Actualizar mi computadora, o incluso mi teléfono, en una conferencia de hackers es algo que pienso dos veces.
Pero esta actualización del teléfono es el resultado directo de un día cero lanzado en Black Hat 2017. La vulnerabilidad “Broadpwn” afecta al chipset Broadcom BCM43xx, que es utilizado por teléfonos iOS y Android. Así que, felicitaciones a ti, Black Hat, por conseguir este, uno de los días cero más importantes del año, en tu conferencia.
Ambiente general
Si hubo un tema oficial entre las reuniones informativas de Black Hat 2017, fue la vigilancia. O quizás, con mayor precisión, cómo hacer antivigilancia. Se lanzaron otros dos ataques de día cero de Black Hat, y ambos tenían que ver con la ruptura de redes móviles. El primero, “Ghost Telephonist”, explota una falta de autenticación en la transición entre las redes LTE y 4G, lo que permite a un espía interceptar llamadas e incluso mensajes SMS.[3]
La segunda vulnerabilidad móvil permite a un atacante (que usa un dispositivo similar a un Stingray hecho a medida de 1.500 dólares como proxy) localizar y rastrear a usuarios móviles explotando otro paso de autenticación faltante en los protocolos móviles.[4]
Mi sesión informativa favorita fue “Hacking Serverless Runtimes”, donde los investigadores Andrew Krug y Graham Jones mostraron cómo aprovechar las funciones de AWS Lambda y ejecutar código dentro de los microservicios de otras personas. [5] Divertidísimo.
Krug y Jones también bromearon sobre el hecho de que alguien haya descubierto cómo integrar un contenedor Docker dentro de una función lambda.6 ] ¿Por qué harías eso? ¡Eso es ridículo!
Los premios Pwnie: Recompensando los fallos de seguridad de 2017
Pwnies 2017: La undécima edición anual de los premios “Pwnies” tuvo algunas entradas excelentes este año. El ganador del premio al Mejor Error del lado del Servidor fue para The Equation Group (no es la NSA, ja, ja) por la vulnerabilidad SMB de EternalBlue, que fue filtrada por Shadow Brokers (no es Rusia, ja, ja) y utilizada como arma por Lazarus Group (no es Corea del Norte, ja, ja).
El premio Pwnie a la mejor puerta trasera fue para M.E. Doc, encontrado por Kaspersky en el sistema tributario ucraniano. El crédito corresponde a: "Para nada Rusia, jaja." El premio Pwnie al mejor ataque criptográfico fue para Google, que este año forzó la primera colisión SHA1 del mundo. Y la controversia SystemD ganó con justicia el premio a la “Respuesta más floja del proveedor”.
Malcolm Turnbull, del gobierno australiano, ganó el premio Most Epic Fail por exigir que los proveedores descifren los datos de los usuarios para el gobierno.[7]
El Arsenal
Un espacio que a menudo se pasa por alto en Black Hat es el Arsenal. Aquí es donde los aficionados a la seguridad de código abierto demuestran sus herramientas para su diversión. No todas las herramientas son convincentes, pero bueno, puedes hablar con el codificador real de la herramienta. Mi favorito personal este año fue la herramienta Pymultitor de Tomer Zait. [8] Es un proxy local que utiliza múltiples procesos TOR para permitirle omitir los contadores basados en IP para las páginas de inicio de sesión. Ya sabes, para investigar. No apto para forzar cuentas de Facebook.
Este año se presentaron más de 100 herramientas en las estaciones de trabajo del pequeño arsenal. El Arsenal es lo suficientemente encantador y está lo suficientemente orientado a la comunidad como para que Black Hat le brinde un espacio más destacado en lugar de ubicarlo en la parte superior, en el fondo de la conferencia.
Entonces... ¿el Black Hat sigue siendo relevante?
Para responder a esto, volvamos al fundador. Durante su discurso inaugural, Jeff Moss recordó que asumía que las reuniones informativas de Black Hat, como conferencia, nunca durarían mucho. Pero después de 20 años de crecimiento casi constante, Black Hat está alcanzando su ritmo y se está convirtiendo en una conferencia de seguridad bastante decente para una de su tamaño.
Referencias
[2] https://internetbugbounty.org/
[3] https://www.blackhat.com/docs/us-17/thursday/us-17-Yuwei-Ghost-Telephonist-Link-Hijack-Exploitations-In-4G-LTE-CS-Fallback.pdf
[4] https://www.blackhat.com/docs/us-17/wednesday/us-17-Borgaonkar-New-Adventures-In-Spying-3G-And-4G-Users-Locate-Track-And-Monitor.pdf
[5] https://www.blackhat.com/docs/us-17/wednesday/us-17-Krug-Hacking-Severless-Runtimes.pdf
[6] https://hackernoon.com/how-did-i-hack-aws-lambda-to-run-docker-containers-7184dc47c09b
[7] http://www.huffingtonpost.com.au/2017/07/14/turnbull-vs-maths-how-do-you-snoop-on-encryption- without-ruining-it-for-everyone_a_23029275/