35c3: La conferencia de hackers más importante de Europa

El Chaos Communication Congress, la reunión anual de hackers más importante de Europa, en su edición 2018 reveló importantes investigaciones, además de haber sido un punto de encuentro en torno al arte, diversidad y política de la cultura de esta comunidad.

El Chaos Communication Congress es la conferencia anual organizada por el Chaos Communication Club, que se viene realizando ininterrumpidamente desde 1984. En él se realizan varias charlas y talleres de temas técnicos y políticos, relacionados con seguridad, criptografía, privacidad y libertad de expresión online. Comenzó realizándose en Hamburgo, luego se movió a Berlín, luego de vuelta a Hamburgo y desde 2017 se ha celebrado en Leipzig. El motto de este año fue «Refreshing Memories».

Lo cierto es que el Chaos Communication Congress es la reunión de hackers más importante de Europa y el Chaos Communication Club es uno de los conglomerados de hackers más importantes del planeta. En 2018, el 35c3 reveló importantísimas investigaciones, además de ser expresión de fuertes tendencias de la cultura hacker.

El congreso ha continuado su estrategia de crecimiento y diversificación. El 35c3 fue la instancia más multitudinaria del CCC. Atendieron unos 16.000 hackers en total, de los cuales alrededor de un 20% fueron mujeres. Esta es una cifra que debe seguir incrementando, pues la tecnología es creada para todos los humanos, no sólo para los varones. Hubo más de 200 charlas oficiales, e incontables talleres y charlas autogestionadas. Las mujeres representaron un 28% de los conferencistas este año, la cifra más alta de la historia del CCC.

Jizka y Mantz en su charla «Dissecting Broadcom Bluetooth», donde demuestran el «InternalBlue framework», una herramienta para jugar con BT

Las estadísticas del congreso fueron impresionantes:

Capacidad total de uplink: 500Gbps
Ancho de banda máximo: 38.4 GBps
Ancho de banda promedio: 15.9 GBps
Peak de usuarios de wifi: 10 821
Direcciones MAC únicas: 24 539
Puntos de acceso WiFi: 286
Puntos de acceso: 186
Puntos de acceso no autorizados: 558
Terminales DECT: 3854

El CCC es muy interesante: todo lo que ocurre, ocurre sin sponsors ni subsidios. No hay compañías ni ministerios que puedan imponer nada a la comunidad. No hay presiones para complacer a nadie (excepto a los participantes) y las charlas son absolutamente libres (free as in freedom). Por ende, el congreso es un ejemplo de autogestión, de independencia, de expresión cultural y de relevancia.

Hacemos un repaso preliminar de algunas charlas destacadísimas de este año a continuación. Aunque queremos instarlos a revisarlas todas. La historia del CCC está llena de exponentes y descubrimientos de primer nivel.

Facebook rastrea a los usuarios de la aplicación de Android incluso si no tienen una cuenta de Facebook

Privacy International explicó cómo Facebook espía a las personas a través de las aplicaciones principales de Android, incluso si no tienes cuenta. Facebook recolecta datos y rastrea a  «usuarios, no usuarios y usuarios desconectados de su plataforma a través de las Facebook Business Tools”. Analizaron 34 aplicaciones de Android que se instalaron de 10 a 500 millones de veces y hallaron que el 61% de las aplicaciones enviaron automáticamente datos a Facebook apenas el usuario abre la aplicación; esos datos incluyen la ID de publicidad de Google.

«Si se combinan, los datos de diferentes aplicaciones pueden pintar una imagen detallada e íntima de las actividades, intereses, comportamientos y rutinas de las personas, algunas de las cuales pueden revelar datos de categorías especiales, incluida la información sobre la salud o la religión de las personas”.

Algunas aplicaciones son peores que otras. Por ejemplo, Kayak «envía información detallada sobre las búsquedas de vuelos de las personas a Facebook, incluida la ciudad de salida, el aeropuerto de salida, la fecha de salida, la ciudad de llegada, el aeropuerto de llegada, la fecha de llegada, el número de boletos (incluido el número de niños), la clase de boletos (economica, business o primera clase) «.

Otras aplicaciones de Android analizadas incluyen King James Bible (KJV) Free, Dropbox y muchas más, como Speedtest por Ookla, The Weather Channel, Indeed Job Search, Candy Crush Saga, Opera Browser y Spotify. Como señaló Privacy International, dado que los usuarios no tienen la opción de optar por no compartir sus datos, se plantea la involucración de la GDRP.

La primera instancia de un rootkit UEFI utilizada con éxito en ataques remotos

El investigador de malware de ESET, Frederic Vachon, presentó «First Sednit UEFI rootkit unveiled». Sednit, también conocida como APT28, Sofacy, STRONTIUM y Fancy Bear, es un grupo avanzado de ciberespionaje, presumiblemente a cargo de la agencia de inteligencia rusa GRU. Han desarrollado ataques notables, y uno de ellos involucró la creación de LoJack, el primer rootkit para UEFI que no requería acceso físico para ser instalado. «Una vez que se instala el rootkit UEFI, no hay mucho que pueda hacer un usuario para eliminarlo, además de volver a flashear la memoria SPI o desechar la placa base».

Wallet.fail: Populares billeteras hardware para criptomonedas son hakeadas

Esta charla también se denominó “Poof goes your crypto”, y en ella se demuestra cómo vulnerar billeteras para criptomonedas como Trezon One, Ledger Nano S y Ledger Blue. Ledger y Trezon objetaron esta charla.