viernes, 3 de marzo de 2017

Crónica RootedCon 2017: Día 2

Hoy hemos podido disfrutar de la segunda jornada de la RootedCon 2017. Otro día que nos lo hemos pasado genial.

Hemos comenzado con unos cuantos comunicados de Román. Unos más agradables que otros, pero finalizados éstos, hemos podido disfrutar de cada una de las ponencias. 

La primera de todas ha sido de Abel Valero (@sanguinawer), en la que nos ha hablado de Radare 2.0 de una forma muy amena. 

RootedCon 2017 - Abel Valero y Radare 2.0
RootedCon 2017 - Abel Valero y Radare 2.0
Ha comenzado contando a qué distintos grupos pertenece. Después, entrando en materia, nos ha dicho de una forma muy resumida cómo funciona la herramienta, qué puede analizar, unos pocos comandos y parámetros de los que consta (consola, GUI, APIs...). Además, es capaz de analizar cualquier arquitectura. Eso sí: por lo que he entendido hay que hacerlo en la misma para la que el binario hay que estudiar. El API que nos ha presentado se llama R2PIPE. Además de alguna demo en video, nos ha descrito cómo destripó un ramsonware llamado Cerber. 

La siguiente charla no era la incluida en el calendario en papel (que trataba sobre DNI 3.0). En este caso tuvimos una charla por parte de Toni de la Fuente (@ToniBlyx) en la que nos habló sobre ataques a sistemas en la nube:

RootedCon 2017 -  Toni de la Fuente y How to survive to an attack in the cloud
RootedCon 2017 -  Toni de la Fuente y How to survive to an attack in the cloud
Nos habló de los distintos servicios para alquilar servidores en la nube: Amazon AWS, Microsoft Azure, etc. Nos mostró una herramienta que construyó para analizar un problema que tuvo con el servicio de Amazon. Insistió en que ahora se usa más infraestructura virtualizada más que la física. Para cada una de estas empresas mostró el despliegue de los CPDs (no usó esta expresión, pero para que se entienda) en sus respectivos mapamundis. Es muy importante saber la separación entre lo que nosotros somos responsables y de qué es responsable nuestro proveedor. Nos mostró cómo se podían encontrar claves que permiten crear servicios (a costa de sus propietarios) en repositorios del tipo git

"Robando" entre 3 y 5 minutos de reloj del descanso, Hugo Teso (@hteso, que mañana sábado va a tener su propia ponencia) resumió su paso por la Rooted y nos ofreció poder trabajar con él y un equipo especializado con el fin de resolver todos todos los problemas que nos mostró en esas anteriores ediciones. 

RootedCon 2017 - Hugo Teso y trabajar en un avión
RootedCon 2017 - Hugo Teso y trabajar en un avión

La siguiente charla nos la dieron el Dr. Alfonso Muñoz (@mindcrypt) y Miguel Hernandez (@MiguelHzBz).

RootedCon 2017 - Dr Alfonso Muñoz y Miguel Hernandez - BB.DD de grafos
RootedCon 2017 - Dr Alfonso Muñoz y Miguel Hernandez y las BB.DD de grafos
Ésta iba sobre dos bases de datos de grafos: Neo4j y OrientDB. Nos han desgranado cómo funciona en lo que a seguridad se refiere, qué hay que hacer para desprotegerla a posta, tal y como se encontraron al hacer la investigación. Sobretodo el hecho de que las que se encontraron accesibles a Internet y encontraron acceso a los datos había que haber forzado ex-profeso el cambio para permitir ese acceso. Nos contaron un caso real en el que tuvo que participar el GDT (@GDTGuardiaCivil) para mitigarlo. Nos hablaron de unas cuantas mitigaciones para llevar a cabo. 

La siguiente charla antes de comer fue por parte de Jaime Peñalba (@nighterman) en el que nos habló sobre bugbounties. 

RootedCon 2017 - Jaime Peñalba y The worst bugbounty ever
RootedCon 2017 - Jaime Peñalba y The worst bugbounty ever
Nos contó un caso real que sufrió un amigo suyo y él mismo con respecto a unos bugbounties de Shopify. Puso una tabla en la que se mostraban lo que pagaban por cada tipo de error encontrado. Nos habló del uso de fuzzers para estos casos y de que a veces hace falta un wrapper (nombró uno: libFuzzer). También mostró las reacciones de varias persona después de participar en este tipo de programas, tanto positivas como negativas.

Después de comer tuvimos la charla de Roam Rathaus, de Beyon Security (@beyondsecurity):

RootedCon 2017 - Noam Rathaus y su Why today's researchers cannot just publish vulnerabilities
RootedCon 2017 - Noam Rathaus y su Researchers cannot publish vulns
Nos ha hablado de cosa que ya nos ha avanzado Jaime: bugbounties que no se pagan como corresponden. Reacciones de la empresa afectada fuera de lugar (hasta amenazas de denunciar si se hace un disclousure). Y las distintas formas de dar a conocer el descubrimiento: contactando con el fabricante, con bugbounties, con intermediarios (como su empresa) y vender el descubrimiento en el mercado negro. Ha descrito los pros y contras de cada uno de ellos. 
Be real Al finalizar la charla, Román (@patowc) nos ha presentado un proyecto, "Be real talent", una empresa que han montado Alfonso, Juan, Omar y él mismo para "identificar nuestro propio talento".

RootedCon 2017 - Román Ramirez, Alfonso Muñoz Juan y Omar - Be real Talent
RootedCon 2017 - Román Ramirez, Dr Alfonso Muñoz, Juan y Omar - Be real Talent

Después de mostrarnos esta empresa de reciente creación, Chema Alonso (@chemaalonso) nos ha presentado una prueba de concepto para robar contactos de dispositivos iOS.

RootedCon 2017 - Chema Alonso - DirtyTooth: It's only rock'n roll, but I like it
RootedCon 2017 - Chema Alonso - DirtyTooth
Nos ha mostrado un altavoz que se puede usar por bluetooth. Pero al hacer una prueba de concepto con dos voluntarios con iPhone, con lo que había que hacer la prueba, resulta que estos no avisan de que te pueden estar copiando los contactos, incluso esa opción viene activada por defecto. El dispositivo, incluso ha cambiado el modo de ser sólo altavoz a "manos libres" (sin serlo) cambiando su tipo de perfil (de los que no ha hablado también). Además, resulta que desde la versión 2.1 de bluetooth el token de pareado es optativo. Nos ha mostrado un croquis de cómo está construido el dispositivo y un panel de control donde se ven los contactos copiados, incluso indentificando el número de telefono del usuario (un UID viene a cero [0]).

Antes del descanso se ha hecho un sorteo de un dron. 

Después del descanso, Javier Soria nos ha dado su charla "Hace falta un firewall cerebro-verbal!!"

RootedCon 2017 - Javier Soria y ¡Nos hace falta un firewall cerebro-verbal!!
RootedCon 2017 - Javier Soria y ¡Nos hace falta un firewall cerebro-verbal!!
Nos ha puesto diversos métodos de autenticación y accesos a lugares: lockpicking, huellas dactilares, reconocimiento facial 2D y 3D, identificación por Wifi o geoposicionamiento, botnets de IoT y webcams, Se habló de WPA2 (que es un nombre comercial, oficialmente 802.11i). O de ZigBee, una implementación inalambrica parecido al Wifi. O de usar ASs y BGP para usarlos como proxy. También nos habló de forense e ingienería social. 

Para finalizar, tuvimos una vez más un caso legal en el que personas reales sufrieron mucho. En este caso, Selva Orejón (@selvaorejon) y Edu Sánchez (@eduSatoe) nos han hablado del caso de un individuo que ha hecho sufrir (supuestamente) a muchas personas:

RootedCon 2017 - Eduardo Sanchez y Selva Orejón - ¡¡Ooosint Nena!! Vamos a por tí, Mr Ripley
RootedCon 2017 - Eduardo Sanchez y Selva Orejón - Vamos a por tí, Mr Ripley
Como se puede ver en la foto, en su caso han trabajado muchas más personas, como  por ejemplo, Ruth Sala (@Ruth_legal). Aquí nos han explicado como un individuo supuestamente (ya se sabe: hasta que no haya sentencia firme) ha conseguido engañar durante 21 años a, como mínimo, 67 personas haciéndolas creer que las quería para después robarlas, así, una tras otra, a lo largo de todo ese tiempo. Nos han contado cómo han podido hacer la investigación teniendo en cuenta las victimas que han ido encontrando y han estado dispuestas a denunciar o responder, porque hay ¿muchas? que no quieren o no pueden. Incluso una de ellas está acusada con posible pena de cárcel como consecuencia de este individuo. Además de la investigación del mundo real: estudio caligráfico, psicológico/psiquiatrico, etc también está la investigación de cada una de las identidades digitales creadas por esta persona, que podía tener hasta 6 o 7 al mismo tiempo. Nos han hablado sobre una herramienta creada para identificar alguno de los dispositivos usados y su localización. Entre otras APIs, se usó una de Google, que según qué datos entregados (2 MACs cercanas de Wifis y potencia de señal, o dirección IP pública) se podía identificar la zona por donde se encontraba. O identificar el dispositivo a través del navegador. Un caso muy curioso que me sonaba haber leído sobre esta persona en un libro.

Y... esta ha sido la segunda jornada de Rooted 2017. Mañana sábado, último día y espero que sea igual de bueno que estos dos que ya hemos pasado. ¡Hasta mañana!

No hay comentarios:

Publicar un comentario