Voto electrónico, ataques a BIOS y control granular de permisos en Android: #ekoparty2013 día 2

Hoy jueves 26 de septiembre, es el segundo día de ekoparty edición 2013. Como suele suceder, hubo varias charlas interesantes y destacables. La primera estuvo enfocada en dar a conocer el funcionamiento de un satélite de 2 kilos creado por un grupo de ingenieros argentinos. El objetivo era mostrar la trayectoria que ha tenido el satélite y que cualquiera en su casa, puede construir un dispositivo de esta naturaleza. Asimismo, resulta anecdótico el hecho de que las fotos que el satélite captura son enviadas a una velocidad de 9600 bps. Para sobreponerse a este inconveniente, el satélite envía una fotografía completa en baja calidad y posteriormente va enviando de a un píxel, los datos necesarios para completar una foto de buena calidad. A continuación se muestra un tweet sobre este aspecto:

tweet satélite argentino

Posteriormente destaca la charla “Defeating signed BIOS enforcement” a cargo de Corey Kallenberg. Como es sabido, la BIOS (Basic Input Output System) forma parte esencial de muchos sistemas informáticos. Su objetivo es fundamental para el funcionamiento del equipo puesto que inicializa y prueba distintas partes del hardware antes de pasar el control al sistema operativo. Aunque los códigos maliciosos (Bootkit) capaces de afectar la BIOS no son nuevos, esta charla se enfocó en mostrar cómo es posible realizar ataques para comprometer la integridad del BIOS pese q los sistemas de protección. Los ataques mostrados son capaces de evadir el mecanismo de protección implementado por Intel y la implementación forzada de la firma y rutina de actualización del vendedor.

Otra charla interesante estuvo enfocada en la seguridad del voto electrónico. Algunos países ya han implementado este sistema, sin embargo, Harri Hursti en su charla titulada “Vote early and vote often”, planteó los diversos problemas a los que son susceptibles este tipo de tecnología. En esta línea, un sistema de voto electrónico seguro deberá proveer la capacidad de contabilizar un único voto como válido, la imposibilidad de que terceros puedan manipular el conteo de sufragios, entre otros ataques. Pese a esto, el orador destacó que estos sistemas no solo son susceptibles de sufrir ataques que comprometan la veracidad de los datos, sino también de Ataques de Denegación de Servicio (DoS). Esto significa que un sistema de voto electrónico podría quedar inaccesible justo en un momento crítico como un período de elecciones.

Finalmente, hubo otras presentaciones que abarcaron temáticas destacables. Por ejemplo, la charla a cargo de Ayelén Chávez y Joaquín Rinaudo. Titulada ekoparty 2013Modification to the Android operating system’s resource control”, los estudiantes de la Universidad de Buenos Aires plantearon el problema que representa para la seguridad de los usuarios, los permisos que solicitan las aplicaciones en Android. Si bien el sistema operativo de Google detalla los permisos que un programa necesita para ejecutarse, es común que el usuario promedio no se fije en tales detalles y simplemente instale la aplicación. Como forma de otorgar un control más granular, Ayelén y Joaquín desarrollaron una aplicación que permite manipular de modo específico cada permiso que pide un programa. Por ejemplo, el usuario podrá establecer a qué grupo de contactos podrá acceder un determinado software, o controlar el acceso a datos sensibles como el ID del dispositivo, número de serie de la tarjeta SIM (chip), etc. Finalmente, la charla de cierre estará a cargo de Chema Alonso, quien ataca el protocolo IPV6 utilizando Evil FOCA, herramientas para realizar pentesting y auditorías de seguridad.

Los esperamos este viernes 26 de septiembre en el día de cierre de ekoparty. Asimismo, mañana podrán encontrar un nuevo resumen de los más destacados de la jornada en nuestro blog.

André Goujon
Especialista de Awareness & Research

Autor , ESET

Síguenos