viernes, 8 de marzo de 2013

RootedCon 2013: Segundo día

Hoy el dia lo he comenzado demasiado pronto. Por intentar llegar bien, he llegado bien, bien pronto. Pero la espera ha merecido la pena.

Además de haber visto a @l0ngin0s, @dot_ike, @_Angelucho_, @Madrikeka, @Javiover y los demás, hemos tenido:

- Los hermanos Tarasco nos han presentado OWISAM. Una herramienta de auditoría de redes Wifi. su proyecto, que se puede visitar en owisam.org, es una herramienta de auditoría de redes wifi, desarrollada en C# y cuyo sistema operativo principal es Windows (más o menos la razón "porque estoy acostumbrado a las ventanas y a este sistema operativo"). Las siglas, Open Wireless Security Assessment Methodology. Mmmmh... Es que contarlo bien me va a ser complicado: Su trabajo viene después de que les solicitasen hacer un test de intrusión en caja negra. Se llevaron la sorpresa de que de todas las redes inalámbricas encontradas, 1500, la tercera parte eran desconocidas por la empresa contratante. En su estudio se encontraron que aunque un AP no enviase el ESSID, los había que enviándole un paquete determinado, devolvía información importante: como dicho nombre de red. Algunos de los routers inalámbricos afectados serían los de Linksys, los que llevan OpenWRT.... También se han hablado de dispositivos físicos para capturar información como pueden ser los keyloggers por hardware (keygrabbers), o, incluso, un aparato que lo han llamado APTWs. Es posible que me haya quedado con esta parte que es más técnica, cuando, posiblemente lo importante, sea la parte teórica: Las metodologías, controles... Aquí, yo lo estaba viendo como si se usasen métricas. Y eso me ha recordado a las métricas que se usan en.... ¿la ISO 27001?. De todas formas, en un tweet me han dicho que podíamos hablar. Posiblemente alguna cosa no la haya transmitido del todo bien en los muchos tweets que he enviado a lo largo del día. Bueno. Han dicho que quieren que la gente les ayude a mejorarla, ya sea dando ideas, nuevos módulos, traducción de la documentación... Mientras se montaba el siguiente equipo han enseñado en 15 segundos el resultado del scan de redes wifi del edificio.

- Jesús Olmos, aka @sha0coder, nos ha presentado una extensión para Chrome que permite realizar auditorías web: ataques de fuerza bruta para usuarios/contraseña, fuzzing, etc. Nos ha explicado cómo la ha integrado y las razones de tomar una decisión u otra para montarla de una manera o de otra.

En el descanso de la mañana, una vez más, zumos, palmeritas y, ¡cómo no!, las sabrosas... ¡conchas códan!.

- Los ataques de denegación de servicio distribuidos, DDOS, han sido analizados por David Barroso, @lostinsecurity. Hemos podido ver que los ataques se envían a las pymes, aquellas empresas que el hecho de estar fuera de Internet unos días puede ser su ruina. Aún así, también se atacan entre ellos, con el fin de tumbar a la competencia. Algunos datos interesantes pueden ser que la vida media de los paneles de control que manipulan estas bots tienen una vida media de unos 23 días; se han visto afectadas unas 3.500 direcciones. Aunque la mayoría iban contra el puerto 80, no quiere decir que tampoco el 22 (SSH) o el 3306 /MySql) entre otras tampoco lo sufrieran. Se ha hablado del bicho Pandora, sobre cómo funciona... El vídeo de un anuncio de un servicio para tumbar webs con el que nos hemos partido la caja. Un tipo de servicio que ayuda a mitigar este tipo de ataques son los CloudFares. Se ha recordado que la ley "obliga a resistir la extorsión". Y por supuesto, nunca pagar (si pagas una vez, te vuelven a atacar).

- Una vez más, Sebastián Guerrero, @0xroot, nos trae más peligros contra nuestros preciados Androids. Los peligros de tener LKM activado en el sistema operativo puede llegar a hacer que se ejecuten cosas no deseadas. Se han enseñado 4 demos, unas de una forma más rápida que otra (porque el inicio era el mismo y sólo cambiaba el final). Total: que puede conseguir debuguear una app, meter malware, bypasear un antivirus ("menos AVAST,  ninguna comprueba el LKM"). Y si se usa todo esto con algún juego hecho a tal efecto, aplicando el tapjacking, que ya lo explicó el año pasado... Lo tenemos todo... ¿perdido?

Ahora, nos vamos a comer. De hecho, nos hemos encontrado con el miso restau del año pasado. Es la típica casa de comidas con el menú a elegir entre varios primeros, varios segundos, postre... Yo he pasado de ese menú y tanto Longinos como Oscar como alguno que otro más nos hemos pedido unas hamburguesas... ¡Qué buenas! Hala. Ya comidos, otra vez al edificio de la Mutua para empezar la siguiente charla.

- @pepeluxx, Jose Luis Verdeguer, nos ha presentado su charla sobre FreePBX. Lo puedo resumir porque ya contó algo muy similar en la NoConName del año pasado: centralitas PBX con acceso desde Internet. Vulnerabilidades que tienen a la hora de controlar quién está accediendo, qué introducen en los cuadros de texto... Total, que al final se puede llegar a conseguir acceso a la centralita entera y manipularla para hacer llamadas "gratis" (a cosa de la empresa comprometida). Teniendo en cuenta que según qué instalación se queda un usuario "root" sin contraseña en la base de datos. Los ficheros que se instalan en el Apache son del usuario "asterisk", el mismo que está accediendo (por lo que puede abrir los ficheros de configuración de la aplicación web). También podrá llegar a acceder a los ficheros que se encuentran bajo /etc/ por la misma razón... Hay muchos servicios de este tipo accesibles por Internet cuando indican explicitamente que no se haga...

- Después hemos conocido a Roberto Rabatta, con su exposición sobre eCrime: es gestor de fraudes en NovaGalicia.  ¿Qué fraudes? Por ejemplo: phishing. Se ha puesto de ejemplo que si la usabilidad es buena, la seguridad baja y viceversa. Sobretodo a tener en cuenta que "si no hay un empleado atendiendo, cuesta más" (más o menos se ha dicho esto). ¿Qué objetivos se miran: el negocio o la seguridad? Nos ha mostrado ejemplos de denuncias reales (tapando los datos confidenciales), pero se ven ejemplos en que aunque el usuario a tenido la culpa, éste estaba pidiendo al banco que le pagase lo que se sustrajeron. Nos ha explicado que para eso tiran de un seguro contratado para esos efectos. También tienen que mirar lo que les permite hacer la ley, o el negocio... Hay cinco términos a tener en cuenta: prevenir, detectar, detener, corregir y evaluar.

Tras la charla, hemos hecho un descanso (con algo para merendar).

- Ya, la última parte, ha sido la mesa redonda: una vez más, se ha hablado del futuro. En esta ocasión, se ha hecho mucho incapie en lo que es un emprendedor y si se puede o no emprender bien en España, si dejan emprender... Como de costumbre, ha habido opiniones para todo.

Y esto ha sido lo que hemos podido ver en la Rooted2013 en el día de hoy. Mañana más... Además, será la última jornada.

No hay comentarios:

Publicar un comentario