He podido hacer más networking, conociendo a más compañeros con los que he compartido muy buenos momentos. También me he dado cuenta de que ha habido unas cuantas charlas que me han costado un poco más seguirlas. Supongo que siempre hay alguna que cuesta un poco más que otra.
La primera charla la han dado Roberto Muñoz (@SkyeInTheWild) y Daniel García aka cr0hn (@ggdaniel).
RootedCon 2017 - Daniel García y Roberto Muñoz - Docker puede no ser tu amigo |
La siguiente charla la ha dado Ricardo J. Rodriguez (@RicardoJRdez) y del que también ha formado parte de este proyecto Victor Sánchez (@DonBallabriga) [gracias a Javier (@javifields) por mencionarles con sus cuentas de Twitter]:
RootedCon 2017 - Ricardo J. Rodriguez y Victor Sánchez - DNI 3.0 |
Ha empezado poniendo ejemplos de robos de identidad reales y las distintas consecuencias para los afectados. Las razones por las que se suelen robar esas identidades, que de media obtienen 8.000 €. Después ha continuado contando la historia del DNI, de cómo se diseñó y las distintas evoluciones, llegando a la versión electrónica 2.0 y quedándose en la 3.0. Nos ha desgranado el estándar de NFC que utiliza (13,56 MHz) y varios vectores de ataque. Uno de ellos ha sido que enviando un código de 6 dígitos por fuerza bruta (código impreso en la tarjeta) se pueden conseguir todos los datos que están almacenados en una de las zonas del DNI y que son precisamente los que vienen impresos en éste. Incluyendo las imágenes de la firma manuscrita y la foto. Nos ha hecho una demo de un programilla que se ha montado para lanzarla contra el suyo propio.
Un descansillo con una conchas Codan!!!!
Después de desayunar, Raul Siles (@dinosec) nos ha hablado de cifrados en What's Up:
RootedCon 2017 - Raul Siles - WhatsApp End to End Encryption Desmystified |
Al finalizar Raul, tuvimos la charla de Yihan Lian y Zhibin Hu:
RootedCon 2017 - Yihan Lian y Zhibin Hu - Smarter Peach |
Otra que me ha costado entender (no puedo negar que nosotros los españoles a veces tampoco pronunciamos muy hasta allá). Nos habló sobre las fortalezas y debilidades de un fuzzer llamado Peach.
Después de comer vino Hugo Teso (@hteso) a hablarnos sobre herramientas propias:
RootedCon 2017 - Hugo Teso - Swett Tools O'Mine |
El resumen sería que si queremos hacer algo, ¿por qué no montarnos nuestras propias herramientas? Entre otras que nos ha mostrado, ha sido una GUI para Radare2 que nos va a liberar muy pronto. Y que nos las construyamos a partir de las librerías a las que tengamos acceso en vez de usar herramientas públicas, que ya se sabe cómo se comportan y por lo tanto son más fácilmente detectables. Como por ejemplo, meterpreter, que tiene su propia firma. Poco a poco, a medida que iba pasando la charla, nos ha ido mostrando sus propias creaciones, tanto de software como de hardware.
Después ha venido Pepe Vila (@cgvwzq), que nos ha hablado de loophole:
RootedCon 2017 - Pepe Vila - Loopchole events in Chrome |
Nos ha hablado de algunos problemas que se pueden encontrar en Chrome y de un paradigma de programación: EDP (Event Driven Programing). Algunos ataques a la arquitectura, cuando hay multiproceso cada uno de ellos está sandboxeado y que los iframes comparten proceso. Los distintos ataques que se pueden hacer, con los que se puede inferir información del navegador / usuario se pueden hacer con publicidad maliciosa o algún popup.
La última ponencia nos la dio Pablo San Emeterio (@psaneme) en la que hizo se subiera al escenario a Román (@patowc):
RootedCon 2017 - Pablo San Emeterio y Román Ramírez - Inteligencia Privada |
Y aquí se terminó la octava edición de RootedCon. El multitrack de este año ha podido estar bien, pero la pena es que hay que seleccionar charlas y como norma general me quedaría con las principales. Una vez más, espero poder asistir el año que viene a la novena edición. Y para todos aquellos que he conocido: ¡ha sido un inmenso placer!
¡Hasta la próxima!
No hay comentarios:
Publicar un comentario