Ekoparty 19, día 3: los honeypots de la AFIP y el cierre con el fundador de The Pirate Bay
Final de la edición 19 con platos fuertes en el main track. Además: quién diseñó el badge interactivo, charla con el responsable de los popups y cuántos hackers necesita el mercado.
Brodersen Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición. Esta semana hay más entregas por Ekoparty (1, 2 y 3 de noviembre).
4 nov
⚡ TL;DR
Ekoparty, una de las convenciones de hackers más importantes de América Latina, cerró su edición 19 este viernes 3 de noviembre. Con charlas de peso en el main track, más actividad en las villas y el día con mayor asistentes, cerca de 10 mil personas pasaron por el Centro de Convenciones Buenos Aires durante los tres días, según el último dato oficial.
Por la mañana, luego de que Mariana Segulin diera un keynote con el foco en la comunicación periodística del mundo del hacking, la investigadora Sheila Berta expuso sobre honeypots y mostró cómo AFIP, Anses y algunas universidades corren esta suerte de “trampas virtuales” en su propia infraestructura. La hacker advirtió el peligro de esto y regaló uno de los momentos de la Eko 19, cuando miembros de AFIP respondieron desde la audiencia: “Estamos acá”.
A pesar de la poca sorpresa de la hacker (“Imaginaba que iban a ir”), no le hicieron preguntas o respondieron por qué (o para qué) los corren on-prem, en lugar de en cloud (lo cual “es más seguro”, explicó Berta).
Por otro lado, pude hablar con uno de los hackers que enviaba las notificaciones que nos llegaron a todos (gracias a un tuit que tiré al mar de Elon Musk y volvió con la respuesta que estaba buscando). ¿Fue un Flipper Zero? Quizás, pero hay -al menos- otra explicación.
Una de las investigaciones que se llevaron a cabo tuvo que ver con algo relacionado a la tecnología BLE (Bluetooth Low Energy), que, con una simple aplicación que se descarga de Google Play Store, permite enviar una enorme cantidad de notificaciones insoportables.
“Con un Flipper Zero se puede lanzar spam de BLE a una distancia no mayor de 90 centímetros. Pero con una app llamada nRF Connect for Mobile (Nordic) se pueden lanzar paquetes (los que corresponden al Bluetooth Low Energy, cercano) con toda la potencia de Bluetooth (10-15 metros)”, me contó “Teno”, un hacker que fue a Ekoparty y fue en parte responsable de estos mensajes.
¿Qué hace entonces la app?
Inunda el espectro de RF que maneja Bluetooth con peticiones de BLE cercanos, tornando casi imposible el uso de periféricos (Bluetooth o BLE) y, en caso de dispositivos vulnerables, puede incluso provocar una denegación de uso al casi bloquear la pantalla con peticiones.
Por suerte las peticiones no llegaron a hacer esto, pero sí es cierto que llegaban hasta con el bluetooth apagado. ¿Gracias, Teno?
Por último, Ekojobs está trabajando en un relevamiento sobre la cantidad de hackers que faltan en el mercado. El año pasado, según ISC2 2022, eran 3 millones en todo el mundo. Ahora parece que son 4. Y acá Daniela Valor, Directora de EkoJobs, contó un poco el panorama local (qué puestos se buscan y demás).
También pude hablar con el diseñador del badge de este año, que tomó inspiración de la idea de DEF CON de hacerlos interactivos y meterles secretos.
La última conferencia la dio Gottfrid Svartholm, alias “Anakata”, uno de los fundadores de The Pirate Bay. Con Denise Corvini, quien maneja la prensa de Ekoparty -y realmente facilita el trabajo de todos los periodistas de una manera poco vista en el ambiente-, intentamos conseguir una entrevista. “No thank you”, fue la respuesta.
Quizás todo lo que tuvo para decir sobre Pirate Bay ya lo dijo (y en parte está contado en TPB AFK). Su charla, junto al hacker argentino Daniel Fernández Kuehr, fue de alto contenido técnico. Al menos, dejo abajo unas cuantas fotos que sacó Enrique García (Clarín) sobre su exposición.
Publiqué 3 notas en Clarín y 3 entregas en Dark News, pero me quedó material para más contenidos que, es probable, publique más adelante. Al fin y al cabo, Ekoparty tiene eso que tiene toda buena convención: te vas con la sensación de que viste de todo y, a la vez, de que te perdiste un montón de cosas.
Reproduzco acá la crónica del día 3, que publiqué en Clarín.
Leer este correo te va a llevar 9 minutos.
Ekoparty cerró su último día de conferencias en el Centro de Convenciones Buenos Aires a puro hacking: una charla sobre una práctica peligrosa en la web de la AFIP, un estudio sobre la falta de profesionales en el área y el cierre de la edición 2023 con “Anakata”, uno de los fundadores del sitio de torrents The Pirate Bay.
Con más de 10 mil asistentes que se repartieron en tres días, Ekoparty reúne a hackers, expertos en ciberseguridad, investigadores y entusiastas que se juntan a compartir conocimiento sobre nuevas técnicas de ataque y defensa en equipos y servicios online.
El viernes fue uno de los más concurridos, no sólo porque paró la lluvia de los dos primeros días, sino también por la cercanía con el fin de semana y actividades como Ekokids, que invita a los más chicos a participar en actividades y juegos de hacking.
Además, algunas "villages" (espacios de distintas habilidades de hacking) llamaron mucho la atención, como una dedicada a la industria aeroespacial. "Patagon Space es una comunidad dedicada investigación de seguridad de satélites, comunicaciones y dispositivos con conectividad satelital. Ya con 4 años de existencia, generaron entrevistas y charlas con referentes como Gerardo Richarte de Satellogic o el ingeniero argentino Miguel San Martín que trabaja en la NASA y en misiones a Marte", contó Juani Bousquet, organizador del espacio.
Las charlas incluyeron, este día, investigaciones con impacto en la escena local.
🍯 Los “potes de miel” de la AFIP
Durante las primeras horas de la tercera jornada, Sheila Berta, hacker argentina reconocida internacionalmente por sus investigaciones en seguridad ofensiva, expuso una charla técnica sobre el concepto de “honeypot” (tarro de miel en inglés), un programa diseñado para engañar a los hackers para que ataquen un sistema falso y dejen información valiosa para ser identificados.
“Se puede decir que son equipos vulnerables ‘a propósito’ para atraer atacantes y estudiar sus movimientos. Hay muchos honeypots open source [de código abierto], gratis, que son los que analizamos en la charla. El primer paso fue descubrir cómo detectarlos, y a partir de eso, identificar quién lo estaba ejecutando. Ahí encontré que AFIP, Anses y algunas universidades como la de La Plata estaban ejecutando honeypots en su infraestructura”, explicó a Clarín.
El problema es que esto conlleva un riesgo. “Implementar honeypots es una práctica útil para recopilar información sobre atacantes, pero ejecutarlos dentro de la infraestructura propia es peligroso porque un atacante podría comprometerlo y, en el peor de los casos, llegar a afectar al la infraestructura misma de la entidad".
El dato de color fue que, entre los asistentes de la charla, había miembros de AFIP. “Estamos acá”, dijo uno de ellos cuando la investigadora mostró el caso, pero no hicieron comentarios cuando tuvieron la posibilidad de hacer preguntas.
“La recomendación es ejecutar estos sistemas fuera de la infraestructura propia, es decir, en cloud (nube)”, cerró la hacker, que trabaja en una empresa de ciberseguridad en Suiza y desarrolló un radar de amenazas llamado Cyobs.
💼 Ekojobs: cuántos hackers faltan en el mercado
Durante el tercer día se presentó también un relevamiento de la cantidad de hackers que necesita el mercado en la actualidad y cuáles son los puestos más buscados.
“Según el actual estudio global con el que contamos -ISC2 de 2023- existe un faltante de más de 4 millones de profesionales de ciberseguridad que las organizaciones necesitan para defender adecuadamente sus activos críticos”, explicó a este medio Daniela Valor, Directora de EkoJobs.
“Uno de los grandes hallazgos es qué buscan las organizaciones en particular: algo que se valora mucho en la comunidad de la ciberseguridad es el conocimiento y la trayectoria, incluso por encima de cuestiones como el salario”, agregaron desde la organización.
En cuanto a los puestos más buscados “hay un top 3: uno que tiene que ver con gestión integral de ciberseguridad, luego lo que tiene que ver con respuesta de incidentes (Blue Team) y en tercero lo que tiene que ver con Cloud Security”, esto es, seguridad en la nube, debido al gran uso que tiene el cloud computing en el mundo empresarial actual.
🏅 El badge inspirado en DEF CON pero con acento local
La edición 19 de Ekoparty tuvo, por primera vez, una novedad: el badge (credencial para acceder al evento) se podía comprar por fuera de la entrada que se reservaba online. Tomando inspiración de DEF CON, la conferencia de hackers más grande del mundo que se realiza todos los años en Las Vegas, esta credencial incluyó secretos par que los hackers puedan interactuar con ellas para desentrañar sus desafíos.
“Estos dispositivos electrónicos se han vuelto una tradición dentro de los eventos en Estados Unidos y otros países, pero no en Latinoamérica. Por esto creamos un badge para un evento tan grande como Ekoparty, con la misma filosofía de electrónica, acertijos y hardware hacking, que es esta posibilidad de modificar el badge como una forma de incentivar la curiosidad y que las personas se diviertan aprendiendo”, explicó Andrés Sabas, diseñador de este dispositivo electrónico.
Durante tres meses, esta empresa mexicana de hardware libre llamada Electronic Cats diseñó un badge con diversos secretos ocultos. “Nos inspiramos en algunos que hemos visto alrededor del mundo, pero sobre todo estuvimos preguntando a la comunidad que les gustaría ver en un badge para la Eko en el cual colocamos, entre otras cosas, una sorpresa de algo que hemos lanzado hace muy poco tiempo”, agregó, sin querer dar muchos detalles más para no spoilear.
Eso sí, el precio estuvo un poco elevado: 70 mil pesos, una pieza casi excluyente para coleccionistas y aficionados.
📲 Notificaciones en los celulares: ¿qué es eso?
Una constante durante los tres días fue la aparición de notificaciones en los celulares de los asistentes: solicitudes de conexión de parlantes, airpods, auriculares de diversas marcas y más. Esto es una práctica común en conferencias de ciberseguridad, donde los hackers conducen investigaciones o, simplemente, se divierten molestando a los participantes.
“En efecto, hay un estudio sobre una vulnerabilidad del protocolo bluetooth, específicamente algo que se llama BLE. Son especialmente vulnerables algunos iPhone, y lo interesante del caso es que para disparar ese ‘efecto no deseado’ no hace falta ningún hardware especial, ni tampoco ningún celular con características especiales ni nada, sino que se puede hacer con una aplicación de desarrollo BLE bajada directamente desde la app de Google”, contó a este medio “Teno”, un hacker que asistió a la conferencia e hizo estas pruebas.
BLE responde a Bluetooth Low Energy y es una tecnología que permite transferir cantidades moderadas de datos entre dispositivos a corta distancia y con bajo consumo de energía. Por esto, muchos asistentes terminaban por cerrar sus conexiones bluetooth ante la insistente cantidad de mensajes que aparecían para conectar dispositivos.
Otra enseñanza que dejaron los hackers en Ekoparty, que tuvo como conferencia de cierre una charla de Gottfrid Svartholm, alias “Anakata”, uno de los fundadores de The Pirate Bay, el histórico sitio de descarga de torrents que tuvo problemas legales y llevó a sus miembros fundadores a pasar tiempo tras las rejas.