Crónica RootedCon 2017: Día 1

Como ya va siendo habitual en los últimos años, he podido asistir a uno de los eventos con más afluencia (¿1.300 personas el año pasado? He oído que este año han caído 300 entradas más por lo que si es así serían... ¡1.600 entradas!) y de los más veteranos (¿junto con NoConName?) que tenemos en el panorama nacional.

Tal y como se hizo el año pasado se ha llevado a cabo en los cines del Kinepolis en Pozuelo de Alarcón, Madrid:

RootedCon 2017 - Cines Kinepolis

También lo tradicional es llegar pronto, momentos en los que tuve la oportunidad de hacer la tradicional foto del "rollo" promocional del evento en el hall: 

gMe he cruzado con muchos compañeros de otros años, entre los que estaban Pablo F. Ilesias (@pydotcom), Longinos (@l0ngin0s), Oscar (@dot_Ike), Juanillo (@tr1ana), Javi (del GDT: Grupo de Delitos Telemáticos de la Guardia Civil) además de todo el equipo de RootedCon, que como de costumbre nos ha dado una calurosa bienvenida. Casi me dejo a David (@ESFERARED)

El evento ha comenzado, como de costumbre, con la keynote que la ha presidido Román (@patowc) insistiendo en que Rooted está conformado por un equipo y no sólo él:

Rooted2017 - Keynote - El equipo de RootedCon

También hizo  incapié en que han sido catalizadores de otros muchos eventos en España, un pequeño apunte sobre el coste de las entradas y en qué se ha empleado el dinero de las mismas, o los distintos cambios y evoluciones que va a sufrir el evento. Como no podía ser de otra forma, ha hablado de los patrocinadores que sustentan el evento. Y una sorpresa: un corto realizado y dirigido por Bea Cabrera: Drones Don't Fly When The Sky Is Grey (video).

Rooted2017 - Drones Don't Fly When Sky Is Grey

Tampoco debería de olvidarme de una plataforma de pagos para usar el saldo del móvil para hacer algunos traspasos de dinero. En este caso, lo han habilitado para hacer las votaciones: Coowry.

Finalizada la keynote, los ponentes, los protagonistas del escenario, empezaron a mostrarnos sus trabajos.

Miko Hypponen (@mikko), que ya se había subido al escenario porque estuvo en el corto, empezó su charla World War i.

Rooted2017 - Mikko Hypoonen y World War i

Muchos de los temas que tocó se pueden resumir en que lo que antes se pagaba con dinero ahora se paga con nuestros datos y nuestra privacidad. Una frase recurrente era "data is the new oil". Y que siempre estamos siendo escudriñados: qué hacemos, dónde, cuándo, cómo somos, Dejó caer una pregunta: Si hemos perdido la batallada de la privacidad, ¿lo hemos hecho de la seguridad?  "Es importante entender al enemigo porque está cambiando constantemente" (traducción más o menos libre). También insistió en que si los gobiernos usan bichos contra la delincuencia hay que poder auditar y monitorizar ese uso. O, cómo se puede atacar a una empresa a través del departamento de recursos humanos. O qué se hizo con la BB.DD robada de LinkedIn. Después se pasó a hablar del IoT los PLCs y los ICSs, Entre otros ejemplos puso lo sucedido con Mirae y las responsabilidades de las empresas de no diseñar sistemas más robustos o si debe (o no) haber legislación sobre cómo de robustos tienen que ser los electrodomésticos conectables a Internet.

Después del descanso en el que cayeron unas cuantas conchas Codan, como de costumbre, tuvimos la siguiente charla. 

En esta estuve en dos emplazamientos, cosillas que pasan muy de vez en cuando: en el primero y poco después de empezar cambié (algo que volvería por la primera zona al terminar esta charla de la que voy a hablar ahora).

Paul Vixie nos dio la charla después del descanso, Scaling Properties of Software and System Security:

Rooted2017 - Paul Vixie y Scaling Properties of Software...

Habló sobre cómo se intentan cosas de seguridad que no entendemos. También nos enseñó unas cuantas diapositivas sobre diversos aparatos conectables y sus distintos problemas que tuvieron en algún momento. O que el hecho de que los fabricantes tengan muchos márgenes no ayudan demasiado a la seguridad (o no tienen por qué ayudar). Nos habló sobre la predicción de la superficie de ataque o sobre la necesidad de hacer un diseño orientado a la seguridad. 

Al finalizar su charla se hizo el primer cambio en la organización: un multitrack, por lo que tuvimos charlas en dos salas. Yo me quedé en la principal, en la que Mikael Chala nos habló sobre operadores móviles:

Rooted2017 - Mikael Rodríguez Chala y Seguridad en Operadores Móviles Virtuales

Empezó mostrando de una forma muy simplificada de qué consta la infraestructura de una red móvil. Además, también nos contó de una forma muy resumida algunos ataques para interceptar datos transmitidos en este tipo de redes. Un término que nos dio y que era el que daba casi todo el sentido a la ponencia era HLR. Una BB.DD de las operadoras que no debería de poder accederse a Internet y que nos da muchos datos del usuario (ya sea número de móvil o IMSI).

Rooted2017 - Mikael Rodríguez Chala y datos del HRL

Una herramienta que te permite sacar algunos de estos datos es HRLLOOKBACK (según nos dijo, 100 de forma gratuita por correo). Según la operadora virtual, tienen su propio HLR y devuelven toda la información o capan algunos datos sensibles.

Aquí nos fuimos a comer David, Pablo y sus compañeros. 

Al terminar de comer, que hice de avanzadilla, se hicieron otros dos multitacks más hasta el siguiente descanso, de los cuales me volví a quedar en la sala principal. 

En este bloque la primera la dieron Fernando Rubio y Victor Recuero, de Microsoft (@MicrosoftES). 

Rooted2017 - Fernando Rubio y Victor Recuero, - Advanced Threat Analytics

Hay que conocer al enemigo y ahora toca proteger las identidades. Después de una intrusión las primeras 24-48 horas son las más importantes. Evidentemente, se buscan las credenciales de administración  ya que pueden hacer de todo. Nos han hecho dos demos básicas: Un simple ldap bind con vulnerabilidad y un pass the hash/ticket (para kerberos). Todo esto viene para presentarnos una herramienta (Microsoft Threat Advanced Analytics) preparada para detectar ciertos comportamientos que se consideran que no se deberían de dar y, a su vez, hace un aprendizaje de qué hace cada usuario o perfil con el fin de informar a un administrador en el caso de que haga un comportamiento que no sea habitual (como, por ejemplo, un login desde una sede en la que nunca ha estado).

Después, Alon Meczer nos habló del malware HummingBad, para Android:

Rooted2017 - Alon Meczer y Following HummingBad

Nos habló sobre cómo funcionan los anuncios y la publicidad en Android y los intermediarios que hay entre el que quiere mostrar sus publicidad y el que quiere que su aplicación muestre banners de lo que sea. Además, también nos contó los distintos métodos para monetizar: clicks/taps, impresiones, vídeos, anuncios a pantalla completa o banner... Nos habló sobre cómo paso de infectar un terminal a tener miles controlados.  La publicidad está relacionada con la infección de los dispositivos, entre otros métodos, engañar al usuario para que un botón de cerrar haga la instalación sin que se de cuenta. Además, encontró bastantes más aplicaciones muy similares a la analizada y al destriparlas pudo comprobar que por algunos parámetros que tenía se podría afirmar que pertenecían al mismo desarrollador. 

Al finalizar, se hizo el descanso antes del RootedPanel, en el que tuvimos la oportunidad de ver cuatro jefes del Grupo de Delitos Telemáticos de la Guardia Civil (@GDTGuardiaCivil):

Rooted2017 - Grupo de Delitos Telemáticos (GDT) de Guardía Civil

La mesa redonda, desarrollo histórico de la función de delitos telemáticos en la Guardia Civil. Hemos tenido la oportunidad de ver a César Lorenzana (Comandante), Anselmo del Moral (¿?), Óscar de la Cruz (¿Teniente o Comandante?) y a Juan Antonio Rodriguez Álvarez de Sotomayor (¿?). Cada uno ha contado su experiencia en el departamento y cómo funcionaba en su época de mando en el mismo. Han indicado que en ocasiones hace falta ayuda externa fuera del cuerpo. "El conocimiento lo tiene la empresa". El resumen es que en ocasiones sí hacen falta personas que colaboren con ellos.

Y así es como hemos terminado la primera jornada de la RootedCon 2017. Mañana, segunda jornada, más y seguro que como mínimo igual de estupenda que hoy.