Ekoparty 20, día 3: SUBE vs. Flipper Zero, intentan hackear la tarjeta de transporte para viajar gratis
La última jornada de la convención de hackers cerró con un testeo de la plataforma para viajar, la charla de STÖK y un relevamiento sobre el mercado laboral de la ciberseguridad.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.
Cobertura de Ekoparty desde Buenos Aires - Día 1 - Día 2
📣 Aviso importante: la publicación entra en un receso de dos semanas y regresa el 6 de diciembre, con la cobertura de las conferencias de seguridad de AWS re:Invent 2024 desde Las Vegas
15
nov
⚡ TL;DR
El tercer y último día de la edición número 20 de Ekoparty se fue con varias charlas interesantes. Entre lo más destacado, el hacker Dan Borgogno testeó la robustez de la tarjeta SUBE, cinco años después de haberla investigado, pero ahora con dispositivos como el Flipper Zero.
Además, el hacker-influencer STÖK cerró la convención con su colega Joona Hoikkala, y charlamos sobre los “bitflips”, el concepto que desarrolló en su exposición, para entender mejor de qué se trata esta idea y cómo puede afectar a los sistemas actuales.
Comparto la publicación en tándem con Clarín, con el reportaje del tercer día.
Ekoparty cerró, como todos los años, con una entrega de premios y balance de la edición 20 aniversario, junto con los reconocimientos a figuras históricas. Sobre el final, uno de ellos fue para Thonhy, un hacedor de la escena local. La perlita: le propuso matrimonio a su pareja, frente a su hija, en el escenario frente a todos los asistentes.
La sensación con el final de la Ekoparty es la misma de siempre: mucho trabajo, pero se pasa volando. Será hasta la Eko 21.
⏰ Substack dice que leer este correo completo lleva 8 minutos
Dark News #113
Testean vulnerabilidades de la SUBE
Dan Borgogno, un investigador de ciberseguridad, intentó vulnerar el sistema informático de la tarjeta SUBE este viernes durante su charla en Ekoparty, durante el tercer día de la conferencia de hackers. En su exposición, mostró cómo con un Flipper Zero, un pequeño aparato diseñado para testear la seguridad de redes y dispositivos, es posible viajar gratis, aunque el rédito que se puede sacar es muy bajo: es difícil de realizar y la tarjeta se bloquea cuando detecta el ataque.
Borgogno expuso en su charla un repaso del estado de seguridad del sistema durante los últimos cinco años: “En mis primeras investigaciones había logrado hacer viajes fraudulentos, pero ahora el panorama cambió y hay más dispositivos para hackear, como el Flipper Zero, Chameleon Pro y Proxmark3”, explicó a Dark News el ingeniero en seguridad de Latu Seguros.
Un Flipper Zero es un dispositivo multifunción de bolsillo que permite interactuar con sistemas de acceso y conexiones. Durante este año se hizo muy popular y viral en redes sociales por clonar tarjetas con NFC o RFID (como las de crédito o del cuarto de un hotel) abrir puertas de acceso, interceptar señales de WiFi, robar contraseñas, Borgogno reportó sus investigaciones al equipo de seguridad de SUBE, que estuvo en el auditorio durante la charla.
“La idea de la charla fue mostrar cómo con un dispositivo como un Flipper se puede alterar todos los sectores de la tarjeta, para poder emularla al 100%, y con estos dispositivos generar un volcado de datos para contar cómo se puede hacer un viaje sin la tarjeta en la mano, e incluso restaurar el saldo, para reutilizar un viaje”, explicó. Es decir, viajar sin pagar.
Sin embargo, el sistema de seguridad de SUBE es robusto: “Si bien se puede alterar, se necesitan dispositivos caros, el proceso es tedioso, la curva de aprendizaje que tenés que generar es muy grande y además es un ataque con un beneficio bajo, porque al final del día los colectivos se sincronizan con una base de datos y se pueden detectar inconsistencias y te la dan de baja”, explicó a este medio después de la charla. Esto significa que el ataque es posible, pero de baja criticidad.
En la conferencia, Borgogno también intentó vulnerar la SUBE digital. “A grandes rasgos, la SUBE digital se comporta de una manera distinta: ya no emula ser una tarjeta (como el Flipper), sino que tiene una comunicación de un token -una estructura de datos de uso único- que nos permite hacer uno o más viajes y después se descuenta el saldo”, explicó.
“Contra este protocolo se puede hacer un ataque llamado relay, que es muy difícil de llevar a cabo, pero se puede: necesitás hacer una triangulación muy complicada con los pasajeros que están esperando para subir y, de nuevo, el rédito es muy bajo”, agregó.
El Flipper Zero también estuvo dando vueltas por Ekoparty: ya es una tradición que aparezcan notificaciones en los celulares de los asistentes. Suele ser parte de algún tipo de investigación o, simplemente, para molestar.
Durante el primer día, una pantalla expuso a quienes usaron estos dispositivos. Contó el hacker Gabriel Tarsia (ganador del CTF de Ingeniería Social):
Este año contamos con un Wall of Flippers para detectar e identificar los Flipper Zero que estuviesen siendo utilizados por los hackers visitando la Ekoparty, dado que el año pasado proliferó su uso para enviar spam a los teléfonos. Ahora proyectamos los nombres de los que tiraron estas notificaciones y qué ataques estaban realizando, tanto para exponerlos como para concientizar.
“Bitflips”: la charla de cierre de Ekoparty
La edición aniversario de Ekoparty cerró con otro hacker reconocido en el nicho de la ciberseguridad: Fredrik Alexandersson, conocido como “STÖK” por su nickname (es de Estocolmo), quien expuso sobre “bitflips”. Se trata de un hacker ético que además, desde videos de YouTube y redes sociales, concientiza sobre ciberseguridad y ataques.
“Las computadoras y los dispositivos electrónicos operan usando ceros y unos, el famoso sistema binario. Cuando alguno de esos unos o ceros cambia de manera accidental, supongamos un 1 que tiene que ser un 1 pasa a 0, eso se llama en la jerga un bitflip”, explicó el hacker, que dio la presentación junto a su compañero Joona Hoikkala.
El comienzo de la charla estuvo atravesado por un pequeño problema técnico en las 265 diapositivas que los researchers tenían preparadas, que no fueron problema para STÖK, que se desenvuelve como un humorista de stand up en el escenario.
Luego de la charla, el hacker habló con Dark News para expandir cómo funcionan los bitflips:
¿Cuándo ocurren? Cuando hay pequeñísimos cambios no intencionales en la memoria de una computadora, en general por interferencia eléctrica, calor excesivo o por el desgaste del hardware. Estas pequeñas disrupciones causan que un simple bit se “de vuelta” [flip, en inglés] y esto puede llevar a un comportamiento inesperado. Esto se llama, técnicamente, bittsquatting.
En los ejemplos de su exposición, Stok mencionó que esto puede llevar a que por ejemplo un dominio como Google.com desemboque en “Coogle.com”. Y fue esto, precisamente, lo que expuso en su charla durante el tercer día de Ekoparty. Siguió:
Usando esta técnica, registramos varios dominios de sitios conocidos que, por un bitflip, parecían casi idénticos a los originales. Luego monitoreamos el tráfico de estos sitios y, cuando un dispositivo visitaba nuestra página web, que no era la original a la que querían entrar, pudimos detectar cómo los usuarios compartían información personal como contraseñas, emails, reuniones, claramente sin darse cuenta.
Por supuesto, todo esto en el marco de lo que se conoce como “hacking ético”: “Nuestro objetivo era observar y entender estas interacciones. Cuando detectábamos que el usuario estaba compartiendo información personal, lo notificábamos para que se diera cuenta de que había llegado al sitio incorrecto. Esto nos permitió ver lo fácil que puede ser caer en un engaño de este tipo, simplemente con un glitch”. Esto, según STÖK, ayuda a entender mejor los riesgos que se corren online.
A fin de cuentas, los bitflips no son causados por una persona específica o una organización, sino que son “un subproducto natural de la tecnología moderna”, en palabras de STÖK. “Estos pequeños errores suceden por factores como la interferencia eléctrica, el calor, o simplemente por el uso, algo que no está atado a que se involucre el usuario”, complementó.
“Con la conectividad permanente y el flujo constante de datos que producimos día a día, los bitflips son hoy mucho más comunes que hace unos años y pueden afectar a una gran cantidad de apps y dispositivos”, siguió. Y contó posibles mitigaciones:
Los desarrolladores pueden ayudar a mitigar estos riesgos al agregar medidas de seguridad para asegurar que los datos se envíen a los servidores correctos, para reducir la potencial suplantación de identidad. Algunas tecnologías de punta usan una memoria especial (ECC) para ‘atraparlos’ y corregirlos, pero los dispositivos que usamos todos los días no tienen esta protección, con lo cual pueden seguir ocurriendo sin que sean detectados.
“Los bitflips son, a fin de cuentas, un desafío técnico del mundo cada vez más conectado”, cerró el hacker.
Ekojobs: cuántos hackers faltan en el mercado
Como durante el año pasado, Ekojobs, el espacio de entrevistas de trabajo y relevamiento del mercado laboral estuvo presente en la edición 2024 de Ekoparty.
“Tuvimos récord con más 700 entrevistas durante la conferencia, hicimos una charla sobre cómo hacer una transición laboral a ciberseguridad y trabajamos sobre herramientas para el stress laboral y prevención del burnout en una industria tan demandante como ciberseguridad”, contó Daniela Valor, directora de Ekojobs.
Por otro lado, también dieron a conocer una estimación que se hace de manera anual, sobre la cantidad de puestos de trabajo que se estima que faltan en el mundo de la ciberseguridad.
“Se estima que el total global de profesionales que faltan en ciberseguridad es de 4.763.963 puestos de trabajo por cubrir, con un aumento del 19.1% comparado con 2023. Este número es el que se considera necesario cubrir para que las organizaciones cuenten con el nivel adecuado de seguridad”, dijo Valor.
Las charlas se suben durante las semanas siguientes al canal oficial de YouTube.
Este newsletter fue escrito por un humano. Para cualquier comentario, corrección o sugerencia de cobertura de temas, podés responder este mail. Se acepta (y agradece) todo tipo de feedback.
WO https://colab.research.google.com/drive/1sZdjBoyuta-PmX8bJ_FfvanbkXknT8lI