jueves, 5 de marzo de 2015

Crónicas: RootedCon 2015, día 1

Hoy ha sido el primer día de la RootedCon 2015.

Después de decidir ir en transporte público, la mejor opción ha sido tirar para la estación de tren de San Fernando desde Atocha. Una vez en San Fernando, iba a buscar un taxi cuando he visto un autobús. Después de preguntar, me han comunicado que con el bus 281 llegaría al hotel Auditorium, donde se celebra el evento por segundo año consecutivo. Ha sido subirme al autobús, y en unos 5 o 7 minutos estaba en el hotel. Ha sido casi visto y no visto.

Lo bueno de estar en este hotel es que el aforo de la sala es muchísimo mayor, por lo que habrá mucha menos gente de la que quiere asistir que se quede en tierra sin posibilidad de conseguir una plaza. Lo malo: que está un poco a desmano de todo. Hay una autopista (o autovía, lo mismo da) en medio, y no es que se tengan muchas posibilidades o facilidades para la comida. A ver, nos han conseguido unos tickets para poder comer allí mismo en el hotel (****) por 20€, si no recuerdo mal, en bufet. O la posibilidad de llamar a comida a domicilio, que te la llevan casi, casi hasta adentro del hotel (el año pasado, unos cuantos lo hicimos). Mi posibilidad ha sido llevar unos bocadillos y me los he comido mientras que los compañeros pedían el suyo en el sitio del año pasado.

A lo largo del día te vas encontrando con todos los compañeros de los demás años. Que eso está muy bien.

¿Qué hemos podido ver en este primer día?

Como de costumbre, lo primero de todo es la keynote. Además de darnos la mala noticia de que Aladdin había fallecido, Román (@patowc) nos ha detallado, en la medida de lo posible, en qué se destina la cuantía de las entradas. Parece ser que hay intentos de conseguir las entradas al precio reducido sin realmente tener "derecho" o sentido para ello. Ejemplo: Pedir entrada de estudiante y después emitir factura. ¿Estudiante o profesional? Además, nos han dado las estadísticas de las visualizaciones de los vídeos, tanto en Vimeo como en Youtube. Y la importancia de que, con la traducción simultanea, ya está el doblaje hecho, por lo que llega antes a otras partes del mundo y no es tan sencillo que se fusilen los trabajos hechos en la península.

Con la keynote terminada, empezó su charla David Barroso (@lostinsecurity). Su charla ha tratado sobre los distintos sistemas de arranque de los ordenadores (en general): la BIOS y la UEFI. Ha dado un repaso a la historia de la BIOS. Por ejemplo, cómo se pudieron infectar las primeras BIOS y para resolver el problema, se añadió una de reserva, para sobreescribir la principal si se veía corrupta. Y cómo se pudo saltar esa protección (dual BIOS), por lo que se saltó a lo que llamaron quad BIOS (además del anterior sistema, tirar de un CD con la flash y un software para sobreescribirla si fuera necesario). Como ejemplo de "ataque" a la BIOS nos ha puesto un fragmento de una serie en la que muestra cómo la empresa Phoenix hizo ingeniería inversa para sacar el código de la BIOS de IBM. Nos ha dado una visión que tiene con respecto a los rings del sistema. Como sabréis, se suele hablar de anillos para las zonas del sistema donde se puede acceder. El ring 0 (cero) es kernel. Pues ha pasado a hablarnos en números negativos (-1 [hypervisor], -1,5 [los botkits entrarían aquí], -2 [modo SMM de los microprocesadores], -2,5 [ls infección de estas PROMS va aquí] y -3). Ha pasado por la historia de las distintas infecciones de estos chips, desde el 94, pasando por el 2007, incluso llegando a finales del año pasado.

Después de un buen descanso, y con unas cuantas conchas Codan en el cuerpo, el fiscal Jorge Bermúdez (@ender_halon) nos ha dado otra ponencia estupenda sobre leyes y hácking ético. Ha recalcado que ha hablado de temas sobre la ley de enjuiciamiento criminal, no la penal. En estos temas siempre insisten en la desactualización de la ley: 1882. Y todos los parches que se le han ido haciendo. Sobretodo en la posibilidad de abrir las cartas por parte de un juez y en presencia de su secretario, como primera versión. O su primer service pack, autorizar a escuchar las conversaciones telefónicas (¿o eran telegráficas?), como un primer SP. El siguiente punto es el anteproyecto de ley, de lo que ha tratado el resto de su ponencia. Sobretodo ha recalcado distintos ejemplos y el problema de que las leyes anteriores siempre hablaban de temas físicos. Como ahora en las comunicaciones también influyen los ordenadores, software, etc, se ha incluido en el anteproyecto la posibilidad de interceptar, no sólo lo que involucra el tema físico, sino también lo lógico y virtual. Este tema permitiría pinchar, por ejemplo, la telefonía VoIP. O cómo legislar el uso de bichos por parte de la policía. O cómo gestionar la "identidad fingida" por parte de un agente en internet. Y muchos más supuestos, pero estos son bastante descriptivos.

El siguiente ponente, que era Christian López, no ha podido hacer su ponencia.

Andrej Dereszowski, (@deresz666) nos ha hablado, en un perfecto inglés, del que he podido entender bastante a oído descubierto (sin pinganillo para la traducción simultánea), nos ha hablado de un rootkit llamado Turla. La problemática al principio (y muy típica), de que las casas antivirus lo llamen de una manera o de otra. Nos ha hablado de distintos nombres que ha recibido a lo largo del tiempo (AgentBTZ en 2006, Pfinet en 2009 y Snake en 2011). Pero también, me ha parecido entenderle que para él, son bichos distintos, ya que funcionan de manera diferente, y nos ha enseñado esas diferencias. De hecho, parece ser que había un sistema de repositorios en los que se pudieron encontrar nombre de desarrolladores del bichito. Los ataques empleados solían tener 4 fases, de la 0 a la 3. Mmmh... Como curiosidad: un amigo suyo fue infectado este APT. Le daba un pantallazo azul. Cuando fue a hablar con la casa de antivirus, le dieron un parche... Y así, este rootkit se hacía estable en sus sistema.

Yaiza Rubio (@) y Féliz Brezo (@febrezo) nos han habado de distintos tipos de carteras para las criptomonedas y sus distintos tipos de ataque. Los tipos de carteras: Genéricas/Random, validity, mentales y multifirma (varias personas firman para realizar la transferencia). O el almacenamiento: local, mental y en la nube. También han pasado por los distintos criterios para dar prioridad a la transferencia: la cantidad elegida (a más cantidad, más prioridad), el tiempo que lleva en la cartera (cuanto menos tiempo, más prioritario), Han propuesto tres retos, de los que parece, según he podido leer, que ya se ha resuelto como mínimo, uno de ellos.




Y después hemos tenido la mesa redonda, que como de costumbre, ha tenido mucha chicha. De lo más importante que se ha hablado, además de preguntar a los que la componían, si eran hackers (cada uno ha dado su opinión), el tema candente ha sido si hace falta tener un carnet o autorización especial del gobierno para serlo. El problema viene porque el lobby de las empresas de seguridad privada quieren que se tenga que pedir un permiso especial por parte de la empresa que quiera realizar las auditorías de seguridad, y que cueste una pasta. Además, no se podrían hacer siendo autónomo. Y haría falta que hubiese en la empresa un director de seguridad con nosecuantas certificaciones y cada empleado tiene que tener el carnet... Son varias cosas más, pero, así, en síntesis, es eso.

Así, lo más sintetizado posible, es lo que nos han contado hoy. Mañana viernes, más, y seguro que, como mínimo, igual si no mucho mejor.

No hay comentarios:

Publicar un comentario