Navaja Negra 2023
Esta semana he tenido el placer de asistir a la Navaja Negra 2023, celebrada como siempre en Albacete. Éste es mi resumen de la misma.
Día 1
Llegué solo, sin conocer a nadie. Me metí en las charlas para ver qué se cocía ahí.
Comencé con la charla de Chema Alonso, donde nos contaron cómo ha evolucionado la IA para la generación de voz. Básicamente son capaces de clonar una voz con muy pocas frases de entrenamiento. Lo que siempre hemos visto en películas como Misión Imposible está más cerca de lo que parece.
Como cosas interesantes, saqué de aquí que Alexa guarda todos los comandos de voz que se le pasan y que se puede usar “Alexa Id” para entrenarla y que sólo haga caso a unas pocas personas (hasta que les clonen la voz XD). Existe una base de datos de voces llamada Vox Celeb, y hay un par de libros que pueden estar interesantes: “Arduino para hackers” y “Raspberry Pi para Hackers y Makers”.
Después estuve en la charla “Creación, análisis y detección de malware”, donde Miguel Ángel de Castro nos contaba cómo engañar a ChatGPT para que nos ayude a crear malware.
MIGUELITO no es solo un dulce del que nos hemos atiborrado estos días, también es un proyecto de traducción simultánea usando IA y software libre. Aunque se intentó utilizar en las charlas la realidad es que iba algo lento, pero es muy prometedor. Si sentís interés, podéis echar un ojo a los proyectos “OpenAI Whisper”, “Faster-Whisper”. También hacían uso de NLTK para el reconocimiento del lenguaje, y usaban modelos de “Marian MT”.
Café y miguelitos.
Marc Rivero nos contó cómo Prilex se dedica a asaltar los cajeros de Brasil. Me hubiera gustado compartir con él mi experiencia con cajeros y nos hubiéramos echado buenas risas.
Iván Portillo nos dedicó un ratito corto para hablar del orquestador cognitivo del SOC, y de cómo hay que trazar un plan antes de ponernos a “atacar”.
Ricardo Narvaja y Daniel Kaziminov nos contaron cómo replicaron el comportamiento de un ataque de reversing que permite aprovechar un error en el procesamiento de los logs de windows para ejecutar código arbitrario. Casi nada.
Comida.
Taller de Bug Bounty
Después de la comida me metí en el taller de Bug Bounty para ver si aprendía algún truco nuevo y qué estoy haciendo mal. Las buenas noticias son que no estoy haciendo nada mal, sólo me falta paciencia.
Me quedé hablando con Yeray Fernández y Aitor Herrero. Sois geniales!
Algunas notas que cogí:
Algunos consejos iniciales:
- ir con cabeza.
- respetar propiedad intelectual.
- ser transparente: un buen report, indicar cómo lo has encontrado, con muchas evidencias.
- ser paciente
Hay 3 Plataformas principales:
- hackerone
- bugcrowd
- intigriti
Existen unos “Programas VDP” que no pagan, pero están abiertos y pueden ser una buena opción para iniciarse en el mundillo.
Repasaron el OWASP TOP 10, pero hicieron algo interesante: dentro de cada apartado comentaron las vulnerabilidades más habituales:
- Broken Access Control: idor -> usuario 1 accede a los datos del usuario 2 o lo borra o algo.
- criptografía -> generación de números aleatorios
- injection -> command, xss, cvs injection, …
- insecure design -> el hacker da un uso diferente del esperado.
- Security misconfiguration -> user/password fáciles o por defecto, …
- vulnerable and outdated components -> ej: log4j
- authentication bypass: manipulación de respuestas, …
- software and data integrity failures: CSRF, tokens reutilizables, ..
- security logging and monitoring failures: information disclosure, acceder a logs, … y llegamos a información sensible.
- SSRF Server Side requests forgery: conseguir que un servidor haga una petición por nosotros.
Extensiones de BURP interesantes:
- param miner
- json web tokens
- json web token atacker
- wayback machine
- js lint finder
- turbo intruder
- reflected parameters
Herramientas a conocer:
- whois: conseguir parte de la infraestructura con dnsdumpster
- dnsdumpster: buscar nombres de red. buscar rangos de red también.
- shodan: con el rango de red. sacar tecnologías usándose. Filtrar por title, … Buscar por certificados, todas las páginas con el mismo certificado, para obtener más activos. Con hardware, probar usuario/contraseña por defecto.
- crt.sh -> entidad certificadora. dándole un DNS devuelve muchos DNSs comprados por la misma empresa.
- nmap: escaneo de puertos sobre los servicios que se tienen.
- dirsearch: fuzzer sobre directorios.
- google: buscar credenciales por defecto o CVEs. Google dorks. Ejemplo:
site:example.com www
,ext:php
,ext:txt
, - subfinder: refinar subdominios.
- dnsx: comprobar si el dns está vivo
- httpx: identificar servicios en los dominios.
- httpx -ports: buscar puertos que haya identificado shodan
- katana: crawler que descompone la web.
- gospider: similar a katana, que hace un spider usando linkfinder, entrando en los js y sacando los paths interesantes.
- alterx: examina subdominios para combinar palabras y encontrar subdominios diferentes. Habría que pasarle dnsx y posteriormente httpx.
- gau o gauplus: buscan enlaces que existieron alguna vez en wayback machine y otras similares.
- uro: borra endpoints duplicados a pesar de que cambien los parámetros.
- nuclei: se le pasan dominios o subdominios y los audita. hace muchísimo ruido.
Y con eso eché la tarde entera. No, no encontré ningún bounty XD
Por la noche estuvimos abriendo cantados con ganzúas y cerveza :)
Día 2
David Cuadrado nos habló de la evolución de Nintendo y sus protecciones anti-hacking, que llegan a usar el sensor de infrarrojos para detectar si están siendo emulados.
Manual S. Lemos nos contó cómo ha creado GuardIAn, un software que utiliza IA para detectar estafas telefónicas. La gracia está en que puedes poner al bot a entretener al estafador y así echarte unas risas XD. Normalmente el spam telefónico tiene dos características principales: el sentimiento de urgencia y la necesidad de un pago. Para detectarlo usa IA con el algoritmo Falcon y una DB Vectorial.
José Domingo (0xd0m7) nos contó cómo se ha montado un sistema de rotación de EC2 en AWS para conseguir IPs nuevas y assí esquivar los WAF. Me hubiera gustado charlar con él de distintas alternativas que facilitarían bastante el modelo.
Café y miguelitos.
Joel Gámez nos habló sobre lo sencillo que resulta hackerar las tarjetas de red de los SAIs y cómo se comparten entre distitos fabricantes. Resulta increíble que a esta pieza casi no se le preste atención.
Emilio Rico utilizó la plataforma SLIDO para hacer un “Table Top Exercise” (TTX). Me pareció genial cómo consiguió implicar a más de 500 personas en 10 distintos ejercicios en 25 minutos, mientras que yo no soy capaz de llegar a 4 en 1 hora, con equipos de 10 personas.
Daniel García (Cr0hn) nos habló de Python y de cómo “compilarlo” o, al menos, ofuscarlo para compartirlo sin código. Ofreció distintas alternativas, como usar el pyc, “shiv”, “pyinstaller”, “cython”, “zipapp”, “nuikta”, “pyarmor”, “obfuscator”, cifrar el código e incluso compilar versiónes “custom” de CPython con los OPCODES cambiados (eliminando módulos, obviamente). También cómo Pyodide genera WebAssembly desde Python.
Comida.
Pablo Lorenzo nos habló de Hardware Hacking for Dummies. Nos contó lo básico y estaba bien, pero éramos demasiados y no había hardware para todos, así que en lugar de hacer un taller de hardware sin hardware, decidí irme a otro sitio.
A partir de este momento comencé a sentirme cansado y buscar más el networking que las charlas.
Jonathan Nebot nos habló de 5 cosas que aprendió hackeando.
Y me fui de cervezas, bocadillos y miguelitos.
Clara Cotillas nos habló de “Campos de batalla invisibles: Revelando la amenaza de la guerra cognitiva”. El contenido me pareció bien, pero no sé si fueron los problemas técnicos del principio o qué, pero la charla me pareció aprendida de memoria y falta de chispa. Eso sí: el contenido era muy bueno.
Y noches de Navaja Negra, con más candado, charlas, risas y cerveza!
Día 3
Me dormí. Mientras recogía y demás se me hizo tarde, así que llegué ya a la tercera charla.
Gerard Ricarte nos habló de cómo fabrican y mandan satélites a la órbita. Así, como suena.
Rubén Ródenas y Rubén Garrote nos hablaron de cómo usar la IA para saltarse los WAF. Una charla muy amena y divertida XD.
Café y miguelitos.
Apoorva S. Jois nos contó en la única charla en inglés cómo usan ellos el AWS Traffic Mirroring para enviar una copia de los mensajes para analizarlos con la Burp Suite y también generar la especificación OpenAPI y detectar tanto amenazas como cambios en la API. ¡Realmente interesante!
Y finalmente, la clausura y entrega de premios, donde me tocó una sudadera, un libro y una cerveza.
Agradecimientos
Mis más sinceros agradecimientos a todos los que he conocido: Helena, Gonzalo, Raquel, Mary, Alejandro, Carlos, Lucas, Pi, Yeray, Aitor, Javier, Raúl, … Y aquellos con los que he estado hablando y cuyo nombre no recuerdo… o incluso nunca supe. Hicisteis que pasara de plantearme el volverme a casa a pasármelo realmente bien.
Y también agradecer a la organización. Impecable.