RootedCon 2017

El pasado 2 ,3 y 4 de Marzo de 2017 pude asistir a la ya asentada RootedCON en Madrid. RootedCon es un congreso de seguridad informática, descubrimiento de vulnerabilidades, hacking éticos, etc. Mi experiencia como asistencia es este congreso es que no solo uno se empapa de ciertas filosofías y técnicas, que aunque no de tiempo en profundizarlas o practicarlas, si da una idea muy interesante para investigar por cuenta de uno mismo y porque uno entiende que la tecnología y la seguridad no van de la mano, e igual que en muchas casos tecnológicamente y socialmente hemos avanzado, en seguridad hemos retrocedido.

Edito: aunque hablaré un poco de mi experiencia de RootedCON y de las cosas que mas interesantes me pareció, como ahora la organización ha liberado vídeos de las ponencias, las insertaré en este post y volveré a redactar un poco la entrada.

Chema Alonso – DirtyTooth: It’s only Rock’n Roll, but I like it

Creo que una primera conferencia de una persona que tiene mucha fama internacional, pero aún mas en España, es Chema Alonso.

En su conferencia habló como, de forma fácil y divertida, es muy simple robar los contactos de un teléfono Apple, gracias a un altavoz Bluetooth Marshall cuidadosamente modificado. Esa modificación lleva una Raspberry que hace de receptor Bluetooth (previa anulación del Bluetooth original del altavoz) y que cuando se parea un iPhone al altavoz como dispositivo de audio con auriculares , cambia «mágicamente» a dispositivo de manos libres, ignorando esto el iPhone y quedando marcada como opción por defecto el acceso a la lista de contactos.

 

Un tiempo después Chema Alonso publicó en su conocido blog, todo los entresijos. Aquí está toda la documentación:

 

 

Raul Siles – Desmitificando el cifrado extremo a extremo de Whatsapp

Raul Siles desmitificando la encriptación de extremo a extremo en Whatsapp - RootedCon2017

Raul Siles desmitificando la encriptación de extremo a extremo en Whatsapp – RootedCon2017

Creo que la charla que mas me ha gustado, y de la que mas información y aprendizaje se puede extraer, es la conferencia de Raúl Siles en «Desmitificar la encriptación end to end de Whatsapp», he de decir que fue muy muy densa en poco tiempo, pero muy muy bien explicada , y cuya conferencia puedo alegrarme de que fuese en español (dada su densidad), y de que se explicó muchisimo sobre los encriptados, la parte teórica, y como Whatsapp lo resuelve. Entra en como Bob y Alice se comunican cono Whatsapp y que mensajes y secretos se cruzan para hacer una conexión segura tocando distintas formas de encriptar y que nivel de seguridad aportan:  Diffie Hellman, Diffie Hellman con Curva elíptica, X3DH,   ¿Whatsapp en cuya encriptación de extremo a extremo que últimamente usamos es tan tan inseguro? Ahora que tengo el vídeo tras meses de haber asistido e implementadas las profundas mejoras desde que Whatsapp fue adquirido por Facebook estoy profundamente sorprendido , os invito a verlo y que lo valoréis. Esta conferencia me dejó muy satisfecho a pesar de que a muchos les pueda aburrir (para no perderse uno totalmente es mejor no perder el hilo de la explicación ni un segundo):

 

Mikko Hypponen – World War I

Uno de los platos fuertes fue la asistencia de Mikko Hypponen en una charla motivacional y en la que hablaba de lo que bélicamente puede suponer la seguridad.  Aprovechando que están los vídeos colgados por la organización de RootedCon, os dejo el vídeo que os puede venir muy bien para reflexionar sobre el mundo en que vivimos.

(en Inglés se le entiende muy bien que es como yo le vi in situ, la versión original en ingles aquí la tenéis aquí )

Alfonso Muñoz & Miguel Hernandez – (In)Security graph database in real world

Alfonso Muñoz & Miguel Hernandez – (In)Security graph database in real world - RootedCon 2017

Alfonso Muñoz y Miguel Hernandez – Demostrando como hay credenciales por defecto y poder exportar la base de datos entera en una sola petición en OrientDB

En esta charla, fue muy interesante al comenzar con una introducción a las bases de datos de grafos de cara a jugar con relaciones de diferentes datos, el procesamiento de datos, etc. y con motores de bases de datos relativos a grafos como NEO4J y OrientDB.

Incidieron mucho en los defectos de seguridad que arrastra una simple licencia. Neo4J community y enterprise, donde community es gratis y la enterprise es muy muy cara, la diferencia principal es que la enterprise incluye mas herramientas de seguridad, lo que lleva a particulares y empresas a, en ocasiones, a acabar en la versión community. Y al parecer ellos, encontraron diversas bases de datos mal configuradas, e incluso abiertas a proposito y que derivó a notificar a la Guardia Civil y que abre una gran reflexión en la charla.

Un detalle importante que comentan es que en este tipo de bases de datos, especialmente las Neo4J, cuando se ejecuta una query remota, los calculos los realiza el motor sin necesidad ni de mantenerse logeado, lo que permite,  hacer un tipo de queries que reemplace un valor por otro: lo que traducido de forma maliciosa,  podría ser un intento de cifrar una base de datos, con tan solo conectarse ejecutar la query, desconectarse, y dejar que el motor haga su trabajo. Un detalle muy muy curioso.
Dejo las diapositivas compartidas por los autores y el vídeo de la ponencia.

 

 

Paul Vixie – Scaling Properties of Distributed System Security

Quizás otro de los platos fuertes fue Paul Vixie. Paul Vixie fue creador del popular Bind desde los inicios de desarrollo; escribió código de Crontab, etc., miembro del ICANN y ARIN, participa frecuentemente en el IETF. Es un miembro de todo lo que usamos hoy día y de la historia de la informática de nuestros días.

Paul Vixie – Scaling Properties of Distributed System Security - RootedCon 2017

Paul Vixie – Scaling Properties of Distributed System Security

 

Ruben Garrote & Ruben Rodenas – El señor de los ATMs

Ruben Garrote y Ruben Rodenas – El señor de los ATMs - RootedCon 2017

Ruben Garrote y Ruben Rodenas enseñando la estructura de un cajero automático

Una de las charlas mas llamativas, fue esta donde mostraron algunos de los entresijos de un cajero automático por dos investigadores de Deloitte que tienen que auditar estos importantes dispositivos,  y como ni los cajeros son tan poco sofisticados como pensamos, ni tanto, pero desde luego que son poco accesibles y hay mucho secretismo con los fabricantes (¿Será seguridad por oscuridad?) y que, por supuesto, están expuestos al malware de la misma forma. También nos comentaron lo complicado que es montar un laboratorio y por supuesto hacerse con un cajero, que ellos mismos llevaron hasta el escenario y que no es precisamente ligero. Una charla interesante que nos da una idea de algunas nociones de los cajeros y en que lugar van las distintas piezas de  software y todo lo que lleva detrás y sus posibles riesgos

Ruben Garrote & Ruben Rodenas – El señor de los ATMs - RootedCon 2017

Ruben Garrote y Ruben Rodenas, enseñando las capas de software, drivers, APIs y S.O. que componen un cajero automático

Ruben Garrote & Ruben Rodenas – El señor de los ATMs - RootedCon 2017  Ruben Garrote & Ruben Rodenas – El señor de los ATMs - RootedCon 2017

Aquí tenéis el vídeo, desde luego que levantó mucha expectación, y aunque no podían revelar muchos detalles de algunas cosas, si que es interesante para que nos de una idea. Explicaron desde las dificultades de comprar un cajero como partícular para poder hacer la auditoría sin limite de tiempo, como tener margen para el desarrollo de una herramienta de auditoría de uso privado, y finalmente explicaron algunos riesgos y ataques reales como el malware Cobalt que permitía dispensar dinero recogido por mulas.

 

Daniel García y Roberto Muñoz – Docker puede no ser tu amigo

Daniel García y Roberto Muñoz - Docker puede no ser tu amigo - RootedCon 2017

Daniel García y Roberto Muñoz, en una presentación muy interesante sobre Docker y en como se puede troyanizar.

Esta charla es muy interesante, no solo porque introduce todo lo relativo a Docker sobre que es y que se puede hacer, si no como de alguna manera se pueden troyanizar las imagenes de docker.

Os dejo el vídeo y las diapositivas de la presentación.

 

Mikael Rodríguez Chala – Seguridad en operadores móviles virtuales

Esta charla es otra de las que mas me han gustado, porque da una idea general muy interesante de como funciona todo con los sistemas GSM y los registros de teléfonos en línea, y como la seguridad no es parte importante tampoco en ellos.

Al parecer, información que debería ser privada en el operador no lo es tanto a través de servicios de terceros y podría ser incluso posible localizar un teléfono móvil y, gracias a webs como idealista, recopilar números de teléfono móvil y saber si están presumiblemente en la vivienda o no.

Mikael Rodríguez Chala - Seguridad en operadores móviles virtuales - RootedCon 2017

Mikael Rodríguez Chala , mostrando los códigos por zonas en redes móviles

Mikael Rodríguez Chala - Seguridad en operadores móviles virtuales - RootedCon 2017

Aquí os dejo las diapositivas compartidas por la organización del congreso y el vídeo de su ponencia

 

 

Jaime Peñalba – The Worst Bug Bounty Ever…

Una charla motivacional y muy divertida, de lo que supone que una empresa busque gente que encuentre bugs en su software y como los cazadores de bugs van tras ellos, con técnicas como el fuzzing. Para aquellos que saben llegar primero parece ser que puede ser un negocio muy lucrativo.

 

Omar Benjumea – DevOPS & Fondu

Omar Benjumea mostró todas las integraciones y luchas que hay entre los equipos de desarrollo, esas luchas internas entre la rapidez y la eficacia teniendo en cuenta la seguridad como base constante. Una charla interesante:

Otras charlas

Otras charlas que vi y muy recomendables son la de  Alon Menczer de CheckPoint (charla en Español o en Inglés), como sobrevivir a un ataque ; o algunas que me perdí y que fue todo un éxito la charla sobre Radare 2.0 de Abel Valero

Una frase que todos deberíamos tener en mente

Una frase que puede resumir, y con lo que empezaba esta entrada es, una frase que dijeron en una charla y que mencioban a Cesar Cerrudo. «No estamos siendo mejores. Y mientras nosotros dependemos mas y mas de la tecnología, la tecnología se está volviendo mas y mas insegura».

 

«No estamos siendo mejores. Y mientras nosotros dependemos mas y mas de la tecnología, la tecnología se está volviendo mas y mas insegura» – Cesar Cerrudo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *