Crónica RootedCon 2019: Día 1

Un año más  ha tenido lugar la RootedCon, siguiendo con la ya tradición de realizarlo en los cines Kinépolis de Pozuelo, Madrid.

RootedCon 2019 - Entrada a los cines Kinépolis

Hoy al llegar ya había mucha gente esperando para hacer el check-in, algo que otros años no pasaba.

Después de ver y saludar a todo el equipo que forma la organización y a algunos de los habituales (pero no a todos, y se os ha echado mucho de menos) me he encontrado con algún compañero del trabajo que no me los esperaba. Pero claro, ellos estaban currando y yo de vacaciones.

Un año más, han organizado el evento con diferentes tracks, lo que permite cambiarse de sala por si te interesan más otras charlas.

Como es costumbre, el inicio del evento se hace con la Keynote en la que la organización sale al completo al escenario.

RootedCon 2019 - El equipo de la organización

Nos han hablado de la unión que hay (y que debería de haber) en la comunidad hacker con las fuerzas y cuerpos de seguridad del estado. Como ejemplo la colaboración que hay cuando ésta viene al evento y el premio otorgado a RootedCon por parte de la Guardia Civil. También nos han dado un pequeño repaso de cómo se vivieron a nivel organizativo las anteriores Rooted. Como no, la importancia de los patrocinadores que sin ellos el evento sería imposible tal y como lo vivimos hoy en día. Evidentemente, también han dado visibilidad a los voluntarios, otra pata imprescindible para llevar a cabo todo el trabajo que hay detrás y que muchas veces no nos damos cuenta. Y para finalizar, nos han instado a que veamos qué se puede hacer con la nueva ley de propiedad intelectual.

Las primeras charlas las he visto en el track principal. La primera la ha hecho Raul Riesco Granadino (@rriescog).

RootedCon 2019 - Raul Riesco - Aproximación algoritmica al talento en ciberseguridad

Su charla versaba sobre cómo encontrar talento o calcular su coste. En la introducción ha hablado sobre la revisión de estudios (fiables o no) que dicen que hay que controlar el coste para retener el talento. También se ha hablado de los salarios medios. O la obtención de datos a partir de filtraciones o comentarios de diversas personalidades involucradas en RR.HH e inversores. Ha hecho una similitud con un diodo (realmente un transformador) buscando convertir señales negativas en positivas. O lo que es lo mismo, dándole la vuelta a la tortilla. Nos ha hablado de ecuaciones que se podrían emplear para para calcular el valor de una persona, añadiéndole diversas variables a la misma. Después de mostrar la opinión de diversas personas su conclusión es positiva pero no es nada sencillo de calcular. Al final, además de sumar y multiplicar variables también están las exponenciales.

Después del descanso con unas cuantas conchas Condan tuvimos la oportunidad de conocer a Mar López y Andrés Ruiz del Departamento de Seguridad Nacional (@dsn).

RootedCon 2019 - Mar López y Andrés Ruiz - Descifrando la Seguridad Nacional

Según nos dicen, cuentan sólo lo que pueden pero no todo lo que quieren. Está formado por un grupo muy amplio de personas de todas las profesiones incluyendo militares, FCSE, civiles, pintores... Dan una pequeña pincelada de la historia de lo que hoy es el DSN, porque antes ni siquiera se llamaba así. Además de mostrar el número de personas conectadas mundialmente (4.000 M de personas) importante para saber el alcance que esto tiene también mencionaron los dos Consejos (grupo de personas, no recomendaciones) que idean las directivas de seguridad nacional. Es importante buscar conocimiento y talento, sin olvidarse de los ejercicios que hacen con el CiberEurop, conformado por 32 países y 1.000 instituciones). Para este último caso nos mostraron un vídeo simulando un ciberataque a un aeropuerto.

Después de la charla se hizo la entrega de la segunda edición de los premios Antonio Ropero.

La siguiente charla la dio Pablo Estevan (@pestevan) y se titulaba "DECODIFICANDO".

RootedCon 2019 - Pablo Estevan - DECODIFICANDO

Nos ha hablado de la detección de ataques, visibilidad y los ataques en sí mismos. La peligrosidad de pensar que se detectará todo (y después estar meses con una intromisión que se ejecuta en muy pocos minutos sin darse cuenta) y que pensar que se es invencible. Por lo tanto, hacen falta herramientas para poder ver esos ataques cuanto antes (esa es la visibilidad). Ha mostrado varias demos con meterpreter y algunas herramientas de su empresa, RSA. Esta herramienta es capaz de interpretar los datos recibidos y los muestra de una forma muy legible. Describe la herramienta después de contar la intromisión que sufrió la empresa allá por 2011. Ha hecho otras demos mostrando que su herramienta también dispone de interfaz web. Esta herramienta desgrana muy bien los datos y lo más importante: "sólo" hacen falta los analistas para revisarlos. 

La siguiente charla la ha dado Francisco Javier Sucunza.

RootedCon 2019 - Francisco Javier Sucunza - N4J: Horizonte de sucesos

En su ponencia nos ha desgranado los datos desde el punto de vista del atacante: el perímetro. Nos ha descrito qué son los knowledge graphs y ha explicado que el tipo de base datos Neo4J no tiene nada que ver con las relacionales (SQL). N4J es un tipo de base de datos conocido como cipher. Ha comparado ambas estructuras y nos ha puesto unos cuantos ejemplos de cómo se hacen consultas a unas y otras permitiendo que con las N4J sean mucho más pequeñas y den una foto (casi literal) del resultado que no se podría obtener con SQL. Después de poner varios ejemplos en los que, por ejemplo, dos bancos distintos pueden estar relacionados por encontrarse en el mismo hosting, lo que haría que si se vulnera uno el otro podría acabar cayendo. Resumen: para proteger tu empresa, protege el perímetro. Para proteger el perímetro, conoce tu empresa.

Al finalizar esta charla nos fuimos a comer.

La primera charla después del menú del día la vi en la sala 18, donde Carlos García García (@ciyinet) nos ha hablado sobre cómo hacer pentesting a árboles de confianza en Active Directory.

RootedCon 2019 - Carlos Garcia Garcia - Pentesting Active Directory Forests

La introducción ha ido sobre las razones por las que hay que hacer ese pentesting y alguna herramienta que va a usar en sus demos (powerview). Ha recordado los tipos de relaciones de confianza que nos podemos encontrar, la direccionalidad (unidireccionales y bidireccionales) y el término de transitividad. Todas las relaciones de confianza en un árbol son bidireccionales y transitivas. Por lo que todos los dominios podrían acabar recuperando datos de todos. Hay que revisar las relaciones porque podrían llevar más tiempo del deseado configuradas o porque se desconoce si se están compartiendo cosas no deseadas. Nos ha diferenciado entre autenticación por NTLM y Kerberos. Para hacer la enumeración de los datos que se desean buscar hay que tener en cuenta los dominios y las relaciones, los privilegios del usuario actual y los privilegios de otros usuarios en otros dominios. Nos ha mostrado varias técnicas según la relación del dominio que deseamos comprometer con respecto al dominio desde donde nos encontramos. Ha hecho muchas demos, entre las que se encuentran ataques de pass the hash.

Al finalizar esta charla, en la misma sala 18, Lorenzo Martínez (@lawwait) nos ha desgranado cómo hacer un forense en una máquina Linux encendida. 

RootedCon 2019 - Lorenzo Martínez - DFIR Linux: My Way!

Como suele explicar, siempre se empieza con el estado inicial de la máquina a analizar. Si está apagada, se deja apagada, si está encendida, se deja encendida para recuperar los datos en vivo y después de apaga. Su charla iba sobre cómo recuperar todos los datos necesarios de una máquina Linux viva utilizando un kit de herramientas que ha montado que permite recuperar todos los datos importantes. Pero antes de presentarla ha contado lo relativamente fácil que es recuperar los datos importantes en un entorno vivo de Windows con unas herramientas de botón gordo. Ha remarcado las dificultades que hay para poder hacer un volcado de memoria y además de enseñar cómo se usa el kit de forense Linux que ha construido ha presentado un repositorio donde están los headers módulos para kernels de varios sistemas que se van actualizando cada poco tiempo con la idea de que en la medida de lo posible se puedan utilizar a la hora de querer hacer el volcado de RAM con LimPmem y LiME. ¡Casi me lo dejo! También ha explicado la posibilidad de utilizar este mismo kit para hacer un forense en la nube.

Una vez Lorenzo terminó su charla hicimos un último descanso.

Ya, en el último bloque, pudimos asistir a la charla de Manuel García Cárdenas y Álvaro Villaverde Prado con el título "Beam me up, Scotty".

RootedCon 2019 - Manuel García y Álvaro Villaverde - Beam me up, Scotty!

Su ponencia viene de un desafío de pentesting que les pusieron en su empresa. Les dijeron que no podían copiar y pegar datos, ni siquiera del navegador. Lo que se encontraron (y no les dijeron) es que también tenían cierto tipo de ficheros capados a la hora de descargarlos de Internet. Por lo que tenían que conseguir "teletransportar" (de ahí el nombre de la charla) las herramientas o programas que necesitaban. Para ello convirtieron esos ejecutables en base64 y se las buscaron para enviárselas y poderlas descargar. Varias soluciones: los trozos ponerlos en carpetas y comprimir todo el paquete, meter los trozos en los metadatos de imágenes (buscando que encajasen en la medida de lo posible en lo que a tipo se refiere) y una tercera opción la denominaron "fileless" o lo que termina siendo lo mismo, tener el ejecutable en memoria. Nos mostraron demos de cada una de estas opciones y nos contaron qué esperan hacer para más adelante. También enseñaron un pequeño guiño en el que podía ver cómo la foto que uno de ellos mandó a la organización contenía una imagen ASCII.

Para acabar el RootedPanel en el que estuvo la "vieja guardia" o lo que son lo mismo, los hackers históricos. 

Los hackers históricos: Ramón Ramírez Palomares, Jordi Murgó Ambou, Antonio López Muñoz, Juan Manuel Rey Portal y Andrew han respondido a las preguntas de Román. Cada uno de ellos ha contado cómo comenzó en el mundillo del hacking. Algunos formando parte de grupos como Tanis o HispaHack. También han respondido qué les hace diferentes a cada uno o si hicieron alguna liada (eso sí, ya prescrita). Una pregunta muy importante ha sido si la ideología de un activista forma parte de la vida de un hacker. 

Y esta ha sido la primera jornada de RootedCon 2019. Mañana nos espera otro día muy intenso y seguro que igual de bueno que el hoy.