¿Fue DC25 mi última DEF CON?

20.000 entusiastas de la seguridad y yo acabamos de regresar del Caesar’s Palace, que por primera vez (?) albergó la conferencia de hackers más antigua del mundo (y algunos dicen la mejor): DEF CON. Este año, como cada año, los asistentes dijeron lo mismo: “¡Dios mío, hay demasiada gente aquí!” Lo decían incluso en DEF CON 7 (mi primera), que tenía quizás 1.000 asistentes apiñados en tiendas de campaña en el césped del antiguo hotel Alexis Park.

DEF CON cumplió 25 años este año y por primera vez, me pregunté si esta sería mi última. Me he perdido la mayoría de los cumpleaños de mi hijo debido a la constante coincidencia en el horario de la conferencia. El pobre chico lo comprende bastante, especialmente porque lo llevé a DC22.

Y aunque este año hubo algunas charlas muy interesantes, tuve la sensación de que ya había visto esto antes . ¿A cuántas charlas de hackers puedes asistir a lo largo de dos décadas antes de empezar a perder tu sentido de asombro infantil? Así que estoy considerando activamente dejar DC26 a la gente más joven.

Mientras reflexiono sobre mis opciones para DC26, recapitulemos algunas de las charlas, eventos y subcomunidades más interesantes de DC25. También se recomienda encarecidamente escuchar estas charlas si están disponibles en el servidor multimedia de DEF CON (o en YouTube, lo que ocurra primero).

El nuevo saqueo electoral, oops, quise decir el pueblo electoral

Considerando todas las noticias sobre intromisión en las elecciones durante los últimos seis meses, los organizadores de DC fueron inteligentes al incluir una nueva Villa de Votación donde los entusiastas podrían realizar pruebas de penetración en las distintas máquinas de votación utilizadas en los Estados Unidos. El rumor del primer día era que la mayoría de las máquinas habían sido atacadas por hackers dentro de los 90 minutos posteriores a su apertura. Al final de la conferencia, todas las máquinas de votación habían sido entregadas a los piratas informáticos. Nadie debería sorprenderse por eso; tener acceso físico a un dispositivo casi garantiza un descanso si se cuenta con suficiente tiempo y talento, y hubo mucho de ambos en DC25.

El llamado a la acción después de la Villa Electoral fue, en general, que como nación deberíamos volver a utilizar las papeletas de votación en papel. Pero expertos razonables y conocedores sugieren una combinación de papeletas y votos electrónicos para mayor seguridad, como lo demuestra este excelente debate del viernes de ciencia de NPR .

Tema: Muchos de los oradores se basan en fuentes de datos públicos (como el proyecto Certificate Transparency) y el Proyecto Sonar como base para su investigación.

Oradores notables
 

• El famoso autor y editor de Boing Boing, Cory Doctorow, pronunció un apasionado discurso sobre la gestión de derechos digitales.
• El gran maestro de ajedrez Garry Kasparov habló sobre el probable impacto de la inteligencia artificial en los empleos.
• Richard Thieme habló en el primer Blackhat Briefing hace veinte años y hoy sigue hablando sobre privacidad.
   

Presentaciones destacadas

► Abuso de los registros de transparencia de certificados - Hanno Böck (@hanno)

Hace casi tres años escribí sobre el interesante proyecto de Transparencia de Certificados (CT) para SecurityWeek.com. Desde entonces, el proyecto CT ha estado recopilando registros de las autoridades de certificación. En teoría, los navegadores comparan los certificados en circulación con los registros para detectar certificados emitidos incorrectamente. De hecho, según el ponente Hanno Böck, Symantec finalmente participará en el proyecto CT después de haber sido amenazado por Google. Nota: Symantec simplemente abandonó todo el negocio y vendió su autoridad de certificación a DigitCert.

El jardín de certificados comunitarios, Let’s Encrypt, ha estado participando en el proyecto CT, y ahora Cloud Flare también lo hace.

Otra nota: El proyecto CT tiene un pequeño y excelente portal en crt.sh donde los investigadores pueden ver el conjunto completo de registros a través de una interfaz web (o incluso Postgres, mi favorita).

¡De todos modos! El investigador Hanno Böck formula una interesante idea de ataque: Supervisar los registros del proyecto CT para nuevos nombres de dominio. A medida que se encuentren nuevos nombres, revise los sitios para ver si alguien está configurando un sitio web en WordPress o Joomla. Hay un pequeño período de tiempo en el que alguien inicia una instalación pero no la termina, y en ese momento un atacante inteligente podría insertar un complemento malicioso para obtener una puerta trasera al sitio.

El operador del sitio no tendría idea de que usted hizo esto. Böck mostró una demostración de cómo funcionaría esto y luego intentó averiguar si alguien ya lo estaba haciendo (aún no había señales de eso). Practicó una divulgación responsable y alertó a WordPress y Joomla al respecto, e incluso ofreció algunas mitigaciones. Uno de los marcos implementó su sugerencia, pero luego ambos se dieron cuenta de que era una solución imperfecta y que el ataque probablemente seguiría funcionando.

Llevar: Si está registrando un nuevo dominio y obteniendo un certificado para él, asegúrese de completar la instalación de WordPress lo más rápido posible. Si dejas que el instalador simplemente siga funcionando, es posible que acabes alojando algo que no querías.

► Las aventuras de AV y la caja de arena con fugas - Itzik Kotler (@itzikkotler) y Amit Klein

Imagínate que eres un agente de espionaje en un entorno de alta seguridad; piensa en el ejército, en un contratista de tecnología secreta o en algo similar. Ahora imagina que necesitas extraer algunos datos, pero no puedes usar los canales normales (Google Drive, memoria USB, etc.). Todo está monitoreado, excepto que la red utiliza una de las muchas soluciones antivirus que tiene un detonador en la nube.

Los investigadores Itzik Kotler y Amit Klein demostraron una nueva técnica para extraer datos en entornos de antivirus en la nube. Se crearon dos sistemas binarios: uno externo (el cohete) y uno interno (el satélite). Codificaron sus datos dentro del binario del satélite y luego codificaron ese binario dentro del binario del cohete. El binario cohete que introdujeron en la red.

El cohete escribe el binario del satélite en un disco donde el AV puede verlo. El AV, sospechoso del binario satelital, lo envía fuera de la red a su detonador en la nube, donde se ejecuta. Luego, el satélite comunica los datos del detonador de nubes a una zona de lanzamiento.

¡Tan lindo! De los 10 escáneres AV en la nube que Kotler y Klein probaron, cuatro permitieron que el satélite se comunicara con la zona de lanzamiento.

► DNS - Servicios de nombres engañosos: Destruyendo la privacidad y el anonimato sin tu consentimiento - Jim Nitterauer (@jnitterauer)

Jim Nitterauer habló por primera vez en DEF CON. Según la tradición, tomó un trago (¿de whisky?) al comenzar su charla. Dado que hubo tantos oradores nuevos este año, los muchachos de DEF CON deben haber estado comprando Wild Turkey al por mayor.

Según Nitteraur, las solicitudes DNS tienen un nuevo campo de “subred de cliente” (véase RFC 7871 ). Se supone que los clientes deben poner allí su dirección LAN real. Los resolutores DNS a lo largo del camino pueden usar esa dirección para decidir cómo almacenar en caché la respuesta. Parece bastante lógico, ¿verdad?

Pero a Nitteraur le preocupa que “los vigilantes” estén usando la información de la subred del cliente para rastrear a las personas. Para vigilancia masiva u otros servicios nefastos.

Hay poca evidencia de que el campo de subred del cliente realmente se esté utilizando para una vigilancia masiva de amplio espectro. En todo caso, se utilizará para el seguimiento de anuncios (entre los autores del RFC se incluyen Google y Akamai), pero felicitaciones a Nitteraur por levantar la bandera de la privacidad ante esta posible pesadilla de privacidad. Pero, por otro lado, todo lo relacionado con el DNS es una pesadilla para la privacidad y es probable que siga siendo así durante mucho tiempo.

► Seguridad de hardware y cadena de suministro tolerante a troyanos en la práctica - Vasilios Mavroudis y Dan Cvrcek (@dancvrcek)

Problema: ¿qué pasa si su módulo de seguridad de hardware FIPS 140 (HSM) fuera malicioso? Es decir, contenía chips maliciosos que comprometían sus sagradas claves RSA. ¿Lo sabrías siquiera? ¿Y cómo?

Ésta es la premisa de una interesante charla de dos investigadores londinenses, Mavroudis y Cvrcek. La premisa puede parecer descabellada, pero hay organizaciones que tienen que modelar tramas de películas de espionaje tecnológico como ésta. Por ejemplo, ¿imaginamos a la NSA o al Servicio Secreto de Estados Unidos observando con recelo los circuitos integrados para sus ordenadores fabricados en China?

Mavroudis y Cvrcek proponen una solución tomada de la aviónica de las aeronaves: la redundancia de la cadena de suministro. El avión Boeing 777, por ejemplo, utiliza controladores triplemente redundantes de tres cadenas de suministro diferentes en una sola placa. En el caso de la aviónica, la preocupación es la fiabilidad, pero Mavroudis y Cvrcek aplican esa redundancia a la seguridad.

Construyeron algunos HSM caseros (¡genial!) y los distribuyeron a través de Internet. Cada HSM participa en un conjunto de protocolos de cifrado distribuido donde tiene acceso parcial a datos secretos. La red HSM puede detectar si uno de sus miembros falla o intenta corromper la criptografía. Sospecho que aquí hay algún trabajo matemático complicado que no mostraron, pero no importa, podemos esperar el libro blanco.

También incluyeron instrucciones e imágenes sobre cómo construir su propio HSM casero a partir de un viejo concentrador USB, algunos circuitos integrados, su aplicación y un poco de chicle. ¡Hábil!

►CableTap: Cómo acceder de forma inalámbrica a su red doméstica

La charla más genial de DEF CON 25 de la que nadie escribe fue “CableTap: Cómo aprovechar de forma inalámbrica su red doméstica”.

Dos investigadores de Bastille Networks comenzaron a investigar las implementaciones de redes de consumidores de Comcast y Time Warner. Uno de los investigadores apenas conocía Linux o redes cuando empezó en enero, pero en marzo había descubierto cómo obtener acceso remoto a millones de enrutadores y decodificadores domésticos. Su cadena de ataques fue impresionante y su presentación fue divertida e inspiradora.

Lea más sobre esto en mi artículo de SecurityWeek.com: La charla más genial de Defcon 25 de la que nadie escribe

¿Estaré en DC26?

Bueno, después de escribir todo eso, he decidido que SÍ, probablemente estaré en DC26. Están sucediendo demasiadas cosas interesantes en DEF CON; seis días en Las Vegas (porque Blackhat también) me dejaron agotado, pero eso no es culpa de DEF CON, ¿verdad?

Aquí está mi plan para el próximo año.

• Traslado de hoteles de Mandalay a Caesar’s. Cruzar la franja un par de veces al día simplemente te agota. Así que regístrate para tu habitación con anticipación.
• Vea más charlas de Google. Escuché muy buenos comentarios sobre sus oradores este año.
• Beber menos (¡Ja! ¡Ya veremos!).
• Pasar más tiempo en los pueblos. Los más populares este año parecen ser el Voting Village, el Packet Hacking y estoy especialmente interesado en el IoT Hacking Village. El organizador de este último dijo durante la ceremonia de clausura: “¡Nos gustaría agradecer a la botnet Mirai por poner la seguridad del IoT en primer plano en la mente de las personas!”

Bueno, un brindis por eso y nos vemos en DC26.