lunes, 3 de noviembre de 2014

Crónicas: No Con Name 2014

Un año más, he tenido la posibilidad de visitar Barcelona para ir a la No Con Name. 

Como de costumbre, me lo he pasado muy bien, y he podido  encontrarme con unas magníficas personas. Por ejemplo, en la sobremesa del primer día, nos hicimos esta foto:

En la sobremesa del primer día de la No Con Name 2014
En la sobremesa del primer día de la No Con Name 2014
Ahí estábamos, Pablo (@pablogonzalezpe), Edu (@eduSatoe), Miguel (@Miguel_Arroyo76), Valentín... 

La verdad es que me lo pasé muy bien. Y disfruté mucho de las charlas. Teníamos de todo:

  • La HackStory por parte de Mercé (@mercemolist), 
  • Daniel O'Grady nos habló del área de servicio de los discos duros y cómo con su driver es posible ver la información que hay en ella o, incluso, ocultar algún fichero ahí dentro. 
  •  Jordi Serra nos habló de comunicaciones ocultas. Sobretodo se habló de esteganografía, tanto en imágenes como en ficheros de audio.
  • Ruth (@ruth_legal), se la que ya os he hablado unas cuantas veces, y Selva (@selvaorejon) nos hablaron de cómo se debía llevar un caso de extorsión por internet. Entre otras cosas, nos dieron su punto de vista de cuándo denunciar y cómo. Pusieron un ejemplo real de un caso bastante grave. 
  • David Meléndez (@TaiksonTexas) nos habló de cómo implementó su propio protocolo de gestión de señales wifi, con el fin de que un ataque de deauth no le haga perder el control de su drone construido por él mismo.
  • Sergi Casanova y Pol Matamoros nos hablaron de ataques a java security cards (smartcards). 
  • Albert Puigsech (@apuigsech) y Albert Sellares (@whatsbcn) nos contaron el funcionamiento de criptomonedas poniendo el ejemplo de los bitcoins como base. Se enfocó en posibles ataques al sistema: robo de claves privadas, romperlas, hacer una técnica que denominaron "doble gasto"...
  • En el coloquio sobre "La necesidad de profesionales de la seguridad" se estuvo haciendo incapie en si hacía falta una formación específica en materia de seguridad, cuántos de nosotros somos autodidactas, qué hace falta para ser un buen profesional de la materia o si es necesaria una base. 
  • David Sancho (@dsancho66) nos habló de cómo una banda criminal consiguió saltarse el factor de doble autenticación de un banco suizo. El resumen es que consiguieron que las victimas ejecutasen un bicho, que les hacía un pequeño cambio en el sistema (añadir un certificado nuevo al almacén y cambios de DNSs). La página a la que llegaba al introducir la URL del banco le indicaba que tenía que instalar un programa en el móvil. A pesar de todas la advertencias de los sistemas, las víctimas terminaron picando. 
Este fue el primer día. Eso sí, el segundo tampoco estuvo nada mal:

  • Alfonso Muñoz (@mindcrypt) y Ricardo (@ricardo090489) nos hablaron de cómo se podía montar una especie de nmap contra una víctima, haciendo que ésta visitase una página web montada a tal efecto, usando sólo etiquetas HTML de toda la vida.
  • Pau Oliva (@pof) nos contó cómo funcionan las distintas ROMs del Street Fighter y nos mostró cómo había modificado una para añadirle más funcionalidades, como, por ejemplo, un modo entreno. Incluso traía su propio joystick y parafernalia para jugar como antaño. 
Street Fighter II Turbo - Mod de Pau Oliva aka Pof
Street Fighter II Turbo - Mod de Pau Oliva aka Pof
  • Juan Carlos Ruiloba, (@juancrui) nos mostró cómo se podía ir ocultando información en cada una de las evidencias que se van encontrando. Al final, tirando del hilo, una a una, llegó a sacar como mínimo 11 claves a medida que iba encontrando más información. Entre otras técnicas, tiró de esteganografía. 
  • Vicente Aguilera (@VAguileraDiaz) nos habló de cómo conocer el comportamiento que una persona puede tener de acuerdo a los rastros que deja al utilizar sus redes sociales. Se basó en los resultados obtenidos a través de la cuenta de twitter empleada por la víctima. De hecho, nos enseño su herramienta tinfoleak, hecha en python
  • Lorenzo (@lawwait) nos habló del forensics que hizo a una clínica donde un ruso, un chino y otro ruso se metieron hasta la cocina para sacar pasta de la víctima. Es el caso que nos contó en las Navajas Negras de este mismo año. 
  • Isaac Sastre (@isakitohf), Fidel Paniagua (@Fidelpd) y Diego Suarez nos hablaron de cómo controlar los perfiles de un dispositivo android (una tablet) utilizando smartcards para evitar que un usuario entre en las carpetas de otro.
  • Albert Pugsech volvió a hacer otra charla. En esta ocasión, sobre cómo conseguir que un paquete que queremos que llegue al destino, que tendrá que estar en el mismo segmento de red, y que se componga como es debido para que se ejecute el exploit. La historia estaba en que al fragmentarse de cierta forma no terminaba de funcionar, por lo que forzó el orden en el que quería que llegasen los paquetes al destino. 
Por desgracia, tenía el tren y me perdí las dos últimas sesiones. La penúltima, parece ser que era un coloquio sobre "neutralidad en la red". La última, la de Abraham Pasamar, era la misma que hizo en las Navajas Negras sobre "Desmitificando el AntiVirus". 

Como ya dije por twitter, espero poder asistir el año que viene otra vez. 

Mi enhorabuena a la organización y a los ponentes. ¡Seguid así!

2 comentarios:

  1. Gracias por la crónica, creo que te vi por allí. Me gusta el blog por las menciones a las diferentes charlas... ¡Un saludo!

    ResponderEliminar
    Respuestas
    1. ¡¡¡Hola!!!

      ¡Muchas gracias por pasarte! Me alegro de te guste. Espero que también disfrutes del resto de los posts. :D


      Eliminar