Otro año más hemos tenido la oportunidad de asistir a la última edición del congreso No cON Name, el congreso público de seguridad más longevo de España (nacido en 1999, en Palma de Mallorca), que en esta edición cumple 20 años. Durante el discurso de apertura, la organización presentó los nuevos cambios de esta edición, fruto de su apuesta por avanzar hacia un formato de congreso más internacional, con charlas paralelas en espacios autogestionados, y que dependa principalmente de los ingresos derivados de las entradas de los participantes.
A continuación, podéis encontrar un resumen de las presentaciones que se llevaron a cabo durante su segunda jornada:
“NIDS for malware hunting and classification” (Tatyana Shishkova)
Tatyana empezó su charla realizando una introducción a los NIDS ( Network Intrusion Detection System), exponiendo sus distintas tipologías: los basados en el escaneo de tráfico en vivo ( scanning traffic), y los de análisis de volcados de tráfico a posteriori ( dumps). Así como los basados en firmas ( signature-based), y los basados en la detección de anomalías en el comportamiento del tráfico ( anomaly-based).
Después, centró su charla en los NIDS basados en firmas, presentando algunas de las principales soluciones disponibles actualmente, como son Snort, Suricata y Zeek. Así como la existencia de las diferentes fuentes de firmas tanto públicas (ej. Emerging Threats), como comerciales.
Posteriormente, presentó varios ejemplos de malware ( Dinihou worm, HQWar dropper, Sauron Locker, etc), y el proceso de caracterización llevado a cabo, para generar firmas capaces de detectarlos. A su vez, expuso cómo evoluciona el malware en respuesta a la implementación de las firmas, utilizando técnicas de codificación y cifrado para hacer más difícil su detección.
Finalmente, Tatyana resumió que los NIDS son actualmente una de las mejores soluciones para detectar amenazas multiplataforma ( multiplatform threats), pero que para mantener sus capacidades de detección es necesario actualizar periódicamente sus firmas, y realizar suficientes pruebas de tráfico.
“Practical LoRaWAN auditing and exploitation” (Cesar Cerrudo, Matías Sequeira)
Cesar y Matías iniciaron su charla presentando el protocolo de comunicaciones IoT LoRaWAN. Se trata de un protocolo abierto ubicado por encima del protocolo cerrado de capa MAC ( Medium Access Control) LoRA, que a su vez es promovido por las organizaciones que forman la LoRa Alliance. LoRaWAN es un protocolo robusto, de largo alcance (de 1 hasta 20 km de distancia), con velocidades de transmisión de datos de 0.3 hasta 50 Kbps, que utiliza la banda de frecuencias de uso libre ( unlicensed spectrum). LoRaWAN se caracteriza por disponer de mecanismos de control de integridad y de confidencialidad a través de cifrado simétrico punto a punto.
Actualmente, es utilizado por más de 100 proveedores de servicios y operadores de telecomunicaciones, en más de 100 países. Este 2018 ha experimentado un crecimiento de uso del 60%, y las proyecciones de mercado apuntan a la incorporación de 100 millones de nuevos dispositivos cada año para 2021.
Posteriormente, Cesar y Matías expusieron los resultados de su análisis de vulnerabilidades de la versión de LoRaWAN 1.0.4, llevado a cabo mediante un gateway basado en un transmisor-receptor RAK831 y una Raspberry Pi 3, con un coste de aproximadamente 230$.
Destacaron, la vulnerabilidad de dicha versión del protocolo frente a ataques de replay, debido a no forzar la renegociación de las claves de cifrado de sesión una vez desbordado el contador de paquetes. Así como a ataques de eavesdropping, que con poco conocimiento sobre el payload de los mismos permitirían su descifrado, y de bitflipping, derivados de una falta de comprobación de integridad de los paquetes más allá del servidor de red de la arquitectura LoRaWAN.
Finalmente, expusieron otros problemas de implementación, como la debilidad, reutilización, diseminación y desprotección de las claves de cifrado ( harcoded en el código fuente, firmware de los dispositivos, ficheros de configuración de APPs móviles, etc), que una vez establecidas no pueden ser modificadas. Por todo ello, recomendaron cambiar las claves por defecto, estableciendo una clave única para cada dispositivo y protegerlas almacenándolas en módulos HSM ( Hardware Security Module) y SE ( Secure Element), especialmente en aplicaciones sensibles. Así como realizar auditorías periódicas de claves para detectar aquellas que sean débiles, y también de toda la infraestructura LoRaWAN.
“Attacks on IVR-systems and Call-centers in 2019” (Aleksandr Kolchanov)
Aleksandr, inició su presentación introduciéndonos en los IVR-systems y Call-centers, sistemas ampliamente utilizados en muchos sectores como el bancario, operadoras de telefonía, etc. Se trata de sistemas importantes que nos permiten llevar a cabo una gran cantidad de operaciones en nuestro día a día, como la efectuación de pagos, transferencias de dinero, el bloqueo de tarjetas de crédito, cambios de tarifas, etc.
Destacó que las regulaciones normativas de los diferentes países, acerca de la ilegalidad de la suplantación de identidad en dichos sistemas, no ofrece garantías suficientes y proporciona en muchos casos una falsa sensación de seguridad. Esto se debe a que la legalidad de dichas acciones no es una de las principales barreras para los hackers, para llevar este tipo de ataques.
Entre los principales problemas de seguridad detectados en su investigación, apuntó a la ausencia de procesos de autorización completa ( full authorisation), sumado a la existencia de sistemas no seguros (en los que es fácil suplantar el Caller ID, con códigos por defecto o conocidos -well-known-, códigos de 4 dígitos sin sistemas de protección ante ataques de fuerza bruta, etc). Así, como las filtraciones y errores de los gestores de estos sistemas, en los que en muchas ocasiones utilizando técnicas de ingeniería social y disponiendo de menos información de la necesaria, de relativamente fácil acceso (ej. números de pasaporte), es posible obtener acceso a dichos sistemas y efectuar operaciones.
Finalmente, Aleksandr compartió su preocupación acerca de cómo conseguir motivar a las operadoras de telefonía y al resto de empresas, para que protejan suficientemente también este tipo de sistemas.
“Sitel, ETI A/S, ‘Lawful’ interception in Spain and Europe” (Claudio Chifa)
Para acabar la jornada, Claudio nos presentó su charla sobre la escucha activa ( legal interception) de las comunicaciones electrónicas por parte de los Estados miembro de la Unión Europea, a través los sistemas SITEL ( Integrated Telephone Interception System) y ETI A/S. Esta interceptación se basó entre 2006 y 2014 en la Data Retention Directive 2006/24/EC hasta que el Tribunal de Luxemburgo la declaró inválida. Esta Directiva, establecía que los Estados miembro debían almacenar los datos de las comunicaciones electrónicas de sus ciudadanos, durante un período mínimo de 6 meses y un máximo de 24 meses. Destacó el posicionamiento inicial que adoptó Rumanía, una vez aprobada la Directiva, de oposición a adaptarla a su legislación estatal, declarando que esta medida resultaba inconstitucional.
Posteriormente, expuso que todos los países disponen de Unidades militares o policiales de escucha activa. Y que, disponiendo de una orden judicial, las Fuerzas y Cuerpos de seguridad pueden disponer de todas las medidas que consideren necesarias, para interceptar las comunicaciones de personas que estén siendo investigadas. A su vez, expuso que los principales fabricantes de dispositivos de comunicaciones ( CISCO, Juniper Networks, Huawei, etc), disponen de guías públicas de configuración de sus dispositivos para la escucha activa, así como repositorios públicos de Lawful Intercept MIBs ( Management Information Base).
También, recordó que en España es ilegal levantar una BTS ( Base Transceiver Station) si no se dispone de licencia de emisión, debido a que la banda de frecuencias utilizada es de pago ( licensed spectrum). A su vez, destacó el riesgo de poder interferir en llamadas de emergencia efectuadas por personas en situación de riesgo, que se puedan encontrar dentro del alcance de la BTS.
Finalmente, Claudio recomendó no tomar excesivas medidas de seguridad en relación a la escucha activa ( lawful interception), porque ello puede acabar afectando negativamente a nuestras vidas. En su lugar recomendó, pensar antes en cada situación y tomar medidas comunes de seguridad para preservar nuestra privacidad.
Carlos Sans García - CISSP, CISA, ISO 27001 LA, ISO22301 LA
Depto. de Consultoría