jueves, 3 de marzo de 2016

Crónica RootedCon 2016: Día 1

Un año más, hemos tenido la oportunidad de asistir a uno de los eventos de seguridad más famosos del país: RootedCon.

Como de costumbre, me he levantado pronto para llegar bien puntual a la cita. Por supuesto, he sido d de los primeros en llegar.

Para celebrar este séptimo año, se ha usado como motivo especial el cine, que, todo dicho sea de paso, es donde lo se han realizado las ponencias: en una sala de cines gigantesca. Y el logo de este año está relacionado con las bolas de dragón.

La keynote la han hecho con un espectacular vídeo simulando aspectos del cine, como, por ejemplo, las entradillas que se ponen en las peliculas: Metro Grolden Mayer, THX, Márvel...

RootedCon 2016 - Keynote con el motivo de Bola de Dragón
RootedCon 2016 - Keynote con el motivo de Bola de Dragón

Para empezar las charlas: Federico Dios nos habla sobre las investigaciones que hace Akamai del tráfico que pasa por sus servicios, una de las empresas por las que circula gran cantidad de paquetes que se generan en Internet. Aproximadamente un 30% del tráfico legítimo mundial.

Después, Jorge Hurtado nos ha hablado de los dispositivos que se permite que se conecten a Internet, pero que no se controla su seguridad. Estos dispositivos se pueden englobar en los que entran en la categoría del IoT (Internet of Things): Muñecas, osos de peluche, frigroríficos. Todos llenos de bugs muy peligrosos para la privacidad y seguridad de los usuarios.

RootedCon 2016 - Jorge Hurtado y uno de los bugs encontrados
RootedCon 2016 - Jorge Hurtado y uno de los bugs encontrados
Incluso se ha nombrado la posibilidad de hacer un sello de calidad tal y como se hace con a eficiencia energética:


RootedCon 2016 - Jorge Hurtado: ¿Ponemos un sello de certificación de seguridad?
RootedCon 2016 - Jorge Hurtado: ¿Ponemos un sello de certificación de seguridad?
Después del descanso, en el que pudimos desayunar un zumo y dos conchas Codan, Abel Valero nos ha hablado de bootkits: Cómo funcionan en general y uno, que ha destripado, en particular: rounix. Para poderla explicar ha tenido que poner mucho ensamblador. Así, pudo mostrar los dos tipos de análisis que hizo: tanto estático como dinámico.

Después tuvimos la oportunidad de escuchar a Jonathan Shimonovich, en inglés, en el que nos explicaba el cómo algunas aplicaciones se descargaban unos plug-ins propios.

RootedCon 2016 - Jonathan Shimonovich y certificados para móviles: CERTIFIGATE
RootedCon 2016 - Jonathan Shimonovich y certificados para móviles: CERTIFIGATE
Estos plug-ins están firmados con un certificado especial para que puedan hacer ciertas acciones que de no ser por ese certificado entregado por Google o los fabricantes no podrían realizarlas. El problema está en que la validación que hacen esos plug-ins no es la adecuada, por lo que éstos se podrían terminar usando en otras aplicaciones que no deberían de poder hacerlo y realizar acciones como, por ejemplo, visualizar la pantalla del móvil en remoto. Entre otras validaciones, nos encontramos, por ejemplo, con comprobaciones de códigos numéricos hardcodeados.

Después de comer, Rafael Sánchez y Federico J. Gómez nos han presentado el estado de IPv6 en Internet y su herramienta especial, que podríamos definirla como un Shodan para este protocolo. Se ha hecho incapie en las afirmaciones de servicios conocidos como Spamhaus que dicen que "IPv6 no está lo suficientemente extendido como para controlarlos". Con su herramienta se ha demostrado que esos servicios se equivocan. Dos servicios que han nombrado: ZoomEye y Censys.

La charla del Dr Alfonso Muñoz ha estado muy interesante: ha explicado cómo se puede usar un dispositivo que lee las hondas cerebrales se puede usar para generar números aleatorios, patrones para autenticaciones, etc. Estos dispositivos pueden ser baratos (80 € NeuroSky, 400 € EPOC Emotiv).

RootedCon 2016 - Dr. Alfonso Muñoz: ¿Qué medir y dónde poner los electrodos?
RootedCon 2016 - Dr. Alfonso Muñoz: ¿Qué medir y dónde poner los electrodos?
El problema está en que al ser unos valores que pueden cambiar con el tiempo (cada 6 meses habría que volver a calibrar o escanear el cerebro otra vez) y en cómo se encuentra en sujeto (muy nervioso, muy relajado, concentrado, etc) tiene ciertas limitaciones que solventar. También he podido apuntar las hondas con las que se trabajan: alfa, beta, gamma y P300. Una pequeña demo de un juego de prueba ha estado muy curiosa:

RootedCon 2016 - Dr. Alfonso Muñoz haciendo una demo con NeuroSky
RootedCon 2016 - Dr. Alfonso Muñoz haciendo una demo con NeuroSky
En la ponencia nos ha mostrado los distintos estudios que ha podido analizar, los resultados que se han encontrado en esos estudios (muchos con personas epilépticas), etc.

Después del último descanso hemos tenido la mesa redonda o RootedPanel:

RootedCon 2016 - RootedPanel 1: Ciberseguridad ofensiva civil y sus participantes
RootedCon 2016 - RootedPanel 1: Ciberseguridad ofensiva civil y sus participantes
Ha tratado de cómo contratar o llevar a cabo la gestión del personal que debería defender (o atacar) en lo que a ciberdefensa se refiere.

Por último, y ya para finalizar el día, Elías Grande nos ha hablado de una herramienta que ha montado que hace footprinting: IPs antiguas (abandonadas) o nuevas ("recien lllegadas") para hacer el análisis. Y poco a poco, según lo que va encontrado, va podando o llenando un árbol con el que se obtienen todos los datos encontrados de la URL o dirección IP que se le pase como parámetro a la herramienta.

Y así es como hemos finalizado la primera jornada de la Rooted 2016. Mañana viernes, vamos a por la segunda, que pinta igual de interesante que esta primera. ¡Hasta mañana!

No hay comentarios:

Publicar un comentario