sábado, 9 de marzo de 2024

RootedCon 2024: Crónica tercer día

 Hoy he llegado pronto al Kinépolis. Después de arreglar algunos correos personales Andy, de DXC, me ha ofendido probar a hacer un poco de lockpicking. La verdad que sin mucho éxito, pero lo he disfrutado un montón intentándolo.

Ciberguerra: ciberataques a infraestructuras críticas

Andrés Soriano ( @osintares ) y Javier Rodríguez ( @javiover ) han presentado "Ciberguerra: ciberataques a infraestructuras críticas en el conflicto de Oriente Medio".

RootedCon 2024 - Andrés Soriano y Javier Rodríguez
RootedCon 2024 - Andrés Soriano y Javier Rodríguez 

Han hecho una introduccón de qué van a hablar: TTPs (tácticas, técnicas, procedimientos híbridos) Hay dos bloques de países, Irán e Irak y los aliados de ambos bandos. Han explicado tanto las capacidades de inteligencia israelí como de la iraní. Entre algunos de los ataques israelíes están las infecciones de móviles a través de publicidad. También han explicado las capacidades de Irán a través de varias fases, tanto en remoto como presencial. Han hablado de la relación entre Irán y latinoamérica, las actividades realizadas al otro lado del charco  tales como entrenamiento militar y técnico, lavado de dinero, identidades falsas, criptomonedas, etc. Justo después han hablado de los ataques a la infraestructura eléctrica utilizando lo que han llamado "la doctrina iraní". Han mostrado los logos o señas de casi 230 tipos de empresas eléctricas de Israel. Han hablado de la captación de personas como la de un ministro de energía israelí en Nigeria en 2012. Se identificó su implicación porque cometió el error de ir dos veces a Irán despertando las sospechas del servicio secreto Israelí. Necesitaban la información del sistema eléctrico Israelí. Han explicado un ataque que se realizó con un DDoS. Otras operaciones: captación de personas judías que trabajaban en infraestructuras críticas y manipuladas para hacer cosas dentro de las mismas. Y la tercera operación: la captación a través de redes sociales con las famosas redes sociales utilizando la seducción hacia el objetivo del que querían obtener información. Han mostrado varios perfiles de redes sociales de captadores y captadoras. Ya casi acabando han contado las capacidades iraníes: utilizando zerodays, bypass EDR y paciencia. Han finalizado con las conclusiones.

Hardware Implant Revolution

Victor Fernández Minguillon ( @vickfedez )  ha presentado "Hardware Implant Revolution: Bands on hardware Implants for read team operations"

RootedCon 2024 - Victor Fernandez Minguillon
RootedCon 2024 - Victor Fernandez Minguillon

Ha descrito varios implantes físicos, cómo funcionan y algunos problemas que tienen: rubber ducky, keycroc, pwn plug, etc. Nota: por "implantes físicos" pensaba que eran trastos que se les ponían a humanos tales como marcapasos, bombas de insulina... El objetivo: implementar una alternativa de largo alcance cuando no llega internet al aparatito con el que se quiere interactuar. Ha explicado un proyecto como solución al problema planteado usando LoRa con un microprocesador y un microcontrolador (como una Raspberry). Primero ha contado la implementación del diseño ideado. Después ha contado las capas de red para continuar mostrando unas demos en video de cómo se produciría la comunicación. Posteriormente ha continuado con las conclusiones y las mejoras futuras que tiene en mente desarrollar. 

Cuando terminó hicimos un descanso con un pequeño tentempié.

Crazy {Web|Gen|AI|Net}: Cybersec ideas

Un año más, Chema Alonso ( @chemaalonso ) ha expuesto otra ponencia más de "crazy ideas". Este año se ha llamado "Crazy {Web|Gen|AI|Net}: Cybersec ideas".

RootedCon 2024 - Chema Alonso
RootedCon 2024 - Chema Alonso

Ha agradecido al equipo de RootedCon lo que han conseguido en todos estos años y a su equipo por lo que han alcanzado a hacer con las ideas locas. Ha comenzado contando cómo empezó estudiando bases de datos pasando por la ciberseguridad (algo que no se había planteado) y llegar a convertirse en CDO de Telefónica. Todo lo aprendido paso a paso. Ha seguido contando cómo cuando iban haciendo proyectos se quedaban pequeñas ideas en espera y tarde o temprano que acababa trabajando en ellas. Ha seguido contando cómo crearon la Foca y Metashield Extractor. El siguiente proyecto fue "prefeching web browser". Otro proyecto fue el de "Owning bad guys" en RootedCon 2012 (me acuerdo de aquella!!). Ha seguido con el proyecto Dust RSS presentada en RootedCon 2011. No se dejó "Make this last forever", un proyecto relacionado con webs y cadenas de bloques. Uno más ha sido Latch y sus muchas implementaciones y aplicaciones. WebscalerAI y LeakguardIAn han sido los siguientes proyectos que ha mostrado que han conseguido terminar. A posteriori ha hablado de deep fake y se ha recordado que yo salí al escenario a hacer una demo en directo (de esa también me acordaba!!) y relacionado con ese tema ha mostrado las herramientas Deep Fake Detector, VerifAID y AutoVerifAID. NewsBenderb Project es el nuevo proyecto: un portal de noticias falsas. Crean con GenAI los autores que serían los encargados de publicar esas noticias falsas, buscan fuentes de noticias, les asignan las noticias a alguno de los periodistas falsos que se ha creado el sistema y que se pongan a publicar. Ha hecho una demo. En paralelo han hecho Fake News Detector as a Service: FNDaaS, que se encargaría de intentar identificar si una noticia está construida con IA o no. Ha finalizado con las conclusiones. También decir que Chema en llevaba una camiseta de X1Red+Segura en la que en la espalda ponía "Angelucho". 

Libros y bits...

La ponencia "libros y bits: cuando la IA se convierte en tu librero personal" la hicieron Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo.

RootedCon 2024 - Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo
RootedCon 2024 - Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo

Empiezan hablando del proyecto Yoleo. Es una herramienta de recomendación de libros a través de IA. Han enseñado cómo funciona mostrando lo que recomienda ChatGPT según unos parámetros determinados y consiguen un enlace al libro a través del API de Google Books  tanto para conseguir el libro como para identificar si el libro existe. Han contando de dónde viene la idea inicial, si bien vino hace 10 años, esta ha ido evolucionando hasta llegar a lo que se ha convertido ahora, aprovechándose entre otras cosas de la aparición de ChatGPT. También han explicado los distintos intentos y pruebas  que tuvieron que hacer para conseguir su objetivo final. Han ido describiendo todos los problemas que surgieron, las soluciones que encontraron y las mejoras que fueron implementando. Han finalizado con las ideas futuras para próximas versiones.

Con esta última charla el Equipo de RootedCon se ha despedido, con Arantxa a la cabeza, hasta el año que viene:

Equipo RootedCon
Equipo RootedCon

Y con todas estas charlas ha finalizado la RootedCon 2024. Espero que el año que viene pueda volver.

viernes, 8 de marzo de 2024

RootedCon 2024: Crónica segundo día

Hoy hemos empezado muy bien el día. He llegado al Kinépolis y me ha dado tiempo a tomarme un té y un croisan. Después ha llegado Iván y hemos estado buscando la opción de otro café que nos hemos acabado tomando en uno de los estands. 

BSAM: Seguridad en bluetooth 

La primera charla, BSAM: Seguridad en bluetooth, la dieron Antonio Vázquez Blanco y Jose Mª Gómez Moreno 

RootedCon 2024 - Antonio Vázquez Blanco y Jose Mª Gómez Moreno
RootedCon 2024 - Antonio Vázquez Blanco y Jose Mª Gómez Moreno

Han descrito ejemplos de dispositivos bluetooth, tanto normales como médicos (marcapasos, bombas insulina...) como básculas y demás dispositivos domésticos. Y pasan desapercibidos a la vez que se deja de lado su seguridad. Y habría que auditorios, pero es complicado. El estándar es complejo de estudiar y no hay muchas auditorías ni herramientas genéricas o la implementación del protocolo es incompleta. La solución es crear una metodología para solucionarlo, y esa es la que han creado: BSAM, solucionando todos los problemas actuales. Entre cada sección fueron poniendo ejemplos. Las fases que contaron están comprendidas en:: búsqueda de información de especificaciones internas (circuitería, chips,  implementación capa bluetooth, versión, etc),  descubrimiento (con los mensajes de anuncio: que tienen datos necesarios para la conexión como los que no lo son como puede ser un nombre de usuario), emparejamiento (es importante identificar que no se estén usando métodos obsoletos o que no nos puedan robar la clave, que no nos puedan desemparejar un dispositivo...), autenticación ( hay que asegurarse de que la autenticación sea mutua), cifrado (hay que verificar que los tamaños de cifrado sean adecuados y no pequeños), servicios (descubrimientos de qué servicios ofrece el dispositivo porque no debería de haber servicios ocultos que, por ejemplo, tenga permisos rw), aplicación (verificar que las aplicaciones cliente estén bien implementadas, mecanismo de actualización bien implementada). Han mostrado las contribuciones que han hecho en la investigación con wireshark y skapy. Después mostraron una demo 

La policía hace cosas

Inmediatamente después, Manuel Fernández nos expuso La policía hace cosas.

RootedCon 2024 - Manuel Fernández
RootedCon 2024 - Manuel Fernández

Policía de los mossos d'esquadra, participó con la guardia civil para investigar un caso de estafa, el caso Forex. La charla tuvo tres partes. 1) qué pasó y cómo empezó la investigación, 2) cómo se coordinaron las distintas FCSE (mossos, guardia civil, etc), jueces, fiscales... Entre otros Europol y Eurojust, con distintos países colaborando juntos. Contó los problemas que tuvieron, pero también los éxitos (como la investigación de las comunicaciones VoIP o el email tracking) 3) Y por último, la coordinación para irse a Albania entre distintos cuerpos de policía europeos para llevar a cabo una operación conjunta. A la hora de identificar qué máquinas requisaban porque había demasiadas para poder investigar sin dedicarle años a recopilar todas las evidencias tiraron de ruby duckers

Ya en este punto hicimos un pequeño descanso antes de ir a la siguiente ponencia en la sala 17. 

¿Quién vigila a los que vigilan?

Borja Adsuara Varela ( @adsuara ) presentó su charla: ¿Quién vigila a los que vigilan?

RootedCon 2024 - Borja Adsuara Varela
RootedCon 2024 - Borja Adsuara Varela

Empieza explicando un meme. Los abogados son como hackers: trabajan con código jurídico y seguridad jurídica. Se detectan vulnerabilidades, como por ejemplo, en el RGPD. Los reglamentos en la UE son de directa aplicación y no debería de hacer falta una transposición a leyes en los estados miembros. Habla de distintos artículos y régimen sancionadores del RGPD. Para hacer el análisis de las leyes se hace un análisis sintáctico de cómo está escrita la ley. Uno de los artículos del RGPD establece que los estados podrán establecer normas para sancionar a administraciones públicas. Uno de los problemas está en que a día de hoy no se puede sancionar a ninguna administración pública. Otro problema está en el Reglamento de IA que se va a aprobar el 13 de marzo. Ha contado el régimen sancionador, mayor al del RGPD, para personas y empresas. Pero también está el mismo epígrafe sobre las administraciones públicas. Una de las conclusiones es que parece que hay una doble vara de medir entre las sanciones de las administraciones públicas y otros porque en lo que respecta a las administraciones públicas en España no tienen consecuencias sancionadoras si se saltan las leyes de protección de datos y aparentemente tampoco las tendrán con respecto a la IA.

La Cartera Europea de Identidad Digital

En la misma sala 17 continuamos con otra ponencia más, La Cartera Europea de Identidad Digital: ¿Garantía de identidad digital o herramienta de control estatal?, por Ignacio Almanillo Domingo ( @ )

RootedCon 2024 - Ignacio Almanillo Domingo
RootedCon 2024 - Ignacio Almanillo Domingo

Habla sobre cómo se ha iniciado en Europa la cartera digital de identidad: EUDI wallet. ¿Hay garantías o es mentira? Hubo dos secciones, la jurídica y la técnica. El tercero que no entra es el problema de los ciudadanos que no estén muy duchos en la tecnología y entreguen más datos de los realmente necesarios. Este reglamento se llama elDAS2. Se busca que haya un nuevo medio de identidad digital, que es un derecho, con control del ciudadano. También se quiere que se tenga una identidad basada en atributos, como podría ser la edad (ej:  ser mayor de edad). También puede facilitar abrir cuentas en otros bancos de la UE. Aunque ha explicado algunos problemas de acceso a la sociedad digital. También es importante poderse identificar tanto en local como remotamente. Se puede firmar solo por trocitos o la posibilidad de entregar unos pocos datos sin tener que enviar todo el conjunto entero. Además, tiene ser garante de la privacidad: pseudonominizar la identidad. Se puede poner un mecanismo para que quien quiera acceder a la cartera se tendrá que identificar y que el propietario de la cartera vea quién ha accedido a qué. Después ha hablado de la parte técnica, para que las wallets sean seguras e interoperables entre distintos países. Entre otras cosas también ha hablado de la posibilidad de tener que revocar la app en caso de necesidad.

En cuanto terminó nos fuimos a comer para después volver a la sala 18.

NightClubMare; hackeando dispositivos de DJs

David Cuadrado ha hablado de su herramienta NightClubMare.

RootedCon 2024 - David Cuadrado
RootedCon 2024 - David Cuadrado

Ha estado describiendo aparatos específicos para DJs, sus características y precios. Después ha explicado distintos términos que usan los DJs. Posteriormente ha descrito las conectividades que tienen estos aparatos: protocolos (UDP), puertos (tanto de protocolo como físicos), direccionamiento IP, ARP, etc, para después hablar de su herramienta, las tripas de la misma y su funcionamiento. A continuación ha mostrado un vídeo a modo de demo que explica el funcionamiento completo. Posteriormente ha contado qué nos haría falta para reproducir lo que ha hecho. 

Seguridad en sistemas de videoconferencia

La siguiente charla, en la sala 20,  la dio Jose Luis Verdeguer ( @pepeluxx ): Seguridad en sistemas de videoconferencia.

RootedCon 2024 - Jose Luis Verdeguer
RootedCon 2024 - Jose Luis Verdeguer

Las empresas eran reacias a la teleconferencia. Pero después de a pandemia vieron que permiten cancelar las reuniones con mucho menos riesgo que antes, son un ahorro en muchos desplazamientos, etc. Enumeró las distintas soluciones (tanto comerciales como opensource), su historia, etc. Describió el funcionamiento de WebRTC y sus fases: Señalización, conexión, securización y comunicación. Más adelante explicó varios vectores de ataque, tanto con WebRTC como con Zoom. También habló del caso de Telegram en el que se muestra la dirección IP de la otra persona con la que se está haciendo una llamada. Además de recordar la herramienta que ya explicó hace muchísimo tiempo (SIPPTS), mostró la demo de la herramienta stuncheck. Aún así, hay datos que muestra la herramienta que también se pueden ver desde el navegador con "webrtc-internals'. A continuación habló de los servidores TURN: permiten hacer redirección a localhost. En cuanto hubo explicado los parámetros hizo una demo. En cuanto la finalizó expuso formas de mitigar el ataque por TCP, pero tampoco se olvidó de UDP, mostrando los problemas que surgen a través de ese protocolo y las posibles mtigaciones.

Ya en este punto de la jornada volvimos a hacer otro descansito.

Dr. Jekill & Mr. Hide

Volviendo a la sala 25, Mark Rivero ( @seifreed ) y Sandra Bardón Moral expusieron Dr. Jekill & Mr. Hide: las dos caras de un incidente.

RootedCon 2024 - Mark Rivero y Sandra Bardón Moral
RootedCon 2024 - Mark Rivero y Sandra Bardón Moral

Lo primero que han hecho ha sido darle un disfraz a Román, siendo la broma de la jornada. Después, se han presentado y han empezado a explicar en 10 segundos (contados) el cuento de Dr. Jekill y Mr. Hide. Mark hará la parte racional o de inteligencia y Sandra la parte más "crazy", la parte más ofensiva. Han explicado qué es el grupo Muddywater. Mark ha descrito su procedencia, las herramientas que usan y la victimología, ya que estudian mucho a quién atacar y cómo hacerlo. Son muy adaptativos ya que van cambiando mucho para pasar lo más desapercibidos posibles. Después Sandra ha explicado las herramientas y técnicas utilizadas. Entre otras características, son muy buenos ingenieros sociales. Uno de los C&C que usan es Phony X2, hecho en Python 3. También ha explicado varios ataques realizados en su historia y un resumen del arsenal de herramientas que tiene esa organización. Justo después Mark ha enumerado distintas campañas, ataques y operaciones por ese actor. Ciertas partes de Sandra también se complementaban con las de Mark. Más adelante nos han contado los epic fails que han tenido en ese grupo: acciones que no parece que se correspondan con la experiencia que demuestran como si tuvieran becarios o juniors participando en sus operaciones. Han acabado cerrando con las conclusiones. 

MiTM en puntos de recarga de vehículos eléctricos

La última charla, también en la sala 25, la hizo Javier Jarauta Gastelu y Gregorio López con MiTM en puntos de recarga de vehículos eléctricos.

RootedCon 2024 - Javier Jarauta Gastelu y Gregorio López
RootedCon 2024 - Javier Jarauta Gastelu y Gregorio López

Lo primero que han hecho ha sido presentar al equipo que ha participado en la investigación y a ellos mismos. Por lo que he entendido, una de las entidades que ha participado ha sido Cesvimap que les prestó un vehículo para hacer las pruebas. La primera parte ha sido una investigación con IoT poniendo de ejemplo el incidente que hubo hace unos años en los que los dispositivos IoT fueron utilizados para hacer un DoS con el protocolo UDP. Aquí lo que buscan es mejorar la seguridad del tendido eléctrico. El problema está en que dispositivos aparentemente inofensivos para la red eléctrica (como parecía que eran los IoT), podrían tumbarla como por ejemplo una cantidad ingente de aires acondicionados conectados a la vez. Se hicieron simulaciones en las cuales podía haber más o menos éxito según el conocimiento del atacante de la red eléctrica y cómo está construida. Los cargadores son unos elementos que la podrían tumbar si hay muchísimos trabajando a la vez. La pregunta que se hicieron era si es posible controlar la carga de un vehículo eléctrico de forma maliciosa. Ahí explicaron los tipos de carga, según los kW que se estén usando y el tiempo que se esté realizando esa carga. No querían modificar ni el coche ni el cargador, por lo que montaron su propio cable con los conectores para ponerlos entre el coche y el cargador. Explicaron el funcionamiento interno de ese dispositivo en cuanto a potencias y circuiterías. Después mostraron las pruebas de laboratorio. Para el atacante la bentaja de ese cable customizado es que nadie se entera de la manipulación que se ha realizado. Han continuando dando unas conclusiones. No sólo hay riesgo para la red eléctrica, sino también para el vehículo y el punto de carga. Casi acabando han ido contando algún ataque más para verificar los datos de protocolo de red que navegan entre el coche y el cargador. Y hasta ahí pudieron hablar para empezar la hacker night.

Y así con estas ponencias finalizamos la segunda jornada de RootedCon 2024. Que la he disfrutado muchísimo. 

jueves, 7 de marzo de 2024

RootedCon 2024: Crónica primer día

Un año más hemos podido ir a la RootedCon. Como de costumbre he llegado poniendo la carretera. 

Al llegar he podido saludar a todo el equipo de la organización y de Eventos Creativos. Además, he conocido a algunas personas y he podido encontrarme con compañeros del trabajo, tanto con los que trabajo ahora como con los que estuve trabajando hace muchos años, algo que me ha hecho mucha ilusión.

Keynote

Empezamos con la keynote. En la que nos contaron que esperaban más de 6.100 asistentes y presentaron a los patrocinadores.. Además explicaron cómo han organizado este año el evento. Después presentaron "el círculo.io" y los premios "Raúl Jover 2024", que se lo dieron a título póstumo a Angelucho, que tristemente falleció el año pasado. Román, que era el encargado de hacer esta keynote, no ha dejado de tener palabras de elogio para Angelucho y todo lo que hacía, tanto por la comunidad como la asociación que creó de X1Red+Segura con otros compañeros del sector o las prácticas que conseguía para jóvenes "delincuentes" para conseguir que fueran por el buen camino y no entrasen en un centro penitenciario donde acabarían saliendo peor.


ZTNA VS ZTNA

Cristina Crespo y Sonia Cancha
RootedCon 2024 - Cristina Crespo y Sonia Cancha

Empezaron explicando la integración de Accenture con Innotec. Han explicado los retos de la imprevisibilidad del comportamiento humano y los problemas que ello conlleva, siendo un reto casi inalcanzable evitar los problemas que se producen. La idea es descargar la responsabilidad de la solución en la tecnología. De las amenazas internas se ha hablado que está subestimada, ya sea por errores de los empleados o por malicia. Han hablado de los derechos de mínimo acceso a los datos, el de monitorización y la necesidad de aislar un dispositivo si hace algo no esperado. También nos han explicado cómo abordan el reto desde Accenture.

En cuanto se acabó la ponencia nos fuimos a hacer un descanso. Allí me encontré con Lorenzo ( @lawwait ) y Longinos ( @l0ngin0s ).

DFIR en el gobierno de la Rioja 

RootedCon 2024 - Miguel Ángel de Castro y Tomás Gómez
RootedCon 2024 - Miguel Ángel de Castro y Tomás Gómez

Nos hablaron del contexto; 7 consejerías, el Servicio Riojano de Salud y fundaciones públicas. Nos describieron el tipo de infraestructura con la que trabajan como el número de usuarios, dispositivos, servidores, aplicaciones, etc y las posibles amenazas y estadísticas de las mismas. Después han hablado de distintos incidentes que detectaron: ataques de identidad, sobre una tarjeta SIM 3G expuesta y un servidor expuesto a través de un API. Más adelante contaron las lecciones aprendidas: ser conscientes de la superficie de exposición, que de ella también forman parte los usuarios. Además las APIs y los servicios web de deben de proteger igual o más que las aplicaciones. Y los sistemas hay que parchearlos en una ventana de tiempo razonable. Además es imprescindible usar 2FA y estudiar las consecuencias de añadir tecnología sin control. Sin olvidarse de compartir secretos de manera segura o tener la seguridad de que el SIEM ingesta casi todos los logs. Para finalizar contaron lo que creían que habían hecho bien.

Aegis: aproximación a la ciberseguridad dirigida a datos y machine learning

RootedCon 2024 - Iván Fernández Mora
RootedCon 2024 - Iván Fernández Mora

Nos habla de los objetivos críticos por los que una empresa puede ser atacada. Después nos ha contado por qué y para qué se usa machine learning en ciberseguridad. Además, también ha contado por qué han desarrollado su propia herramienta de análisis con machine learning y cómo decidieron organizarse para desarrollarla. Sobre todo porque es más versátil y además pueden usar sus propios datos, si buen en ocasiones hay problemas: que no lleguen todos los logs del SIEM, quién es el responsable de los mismos, etc. También es importante las regulaciones legales sobre la categoría de los datos en relación a cómo se pueden publicar, si son personales, etc. Después ha explicado propiamente el fundamento de la herramienta AEGIS. 

Después me fui a comer, encontrándome con mi compañero de trabajo Iván con el que estuve comiendo y vi las dos siguientes charlas.

Dark territory: paralizando la red ferroviaria de un país entero

Tras la comida, fuimos a la siguiente charla, por David Meléndez ( @TaiksonTexas ) y Gabriela García ( @constrainterror ) ; "Dark territory: paralizando la red ferroviaria de un país entero"

RootedCon 2024 - David Meléndez y Gabriela García
RootedCon 2024 - David Meléndez y Gabriela García


Concepto ferroviario: zona ferroviaria sin controles eléctricos. Más adelante han conceptos ferroviarios como "cantón ferroviario", "contador de ejes", "bloqueo de vía", "control de trafico centralizado", etc. Han explicado el sistema de balizas ASFA. Han puesto ejemplos de accidentes como el de Uharte Arakil en Navarra o el accidente de Angrois. También han descrito cómo están construidas las balizas. Más tarde puesto un ejemplo de manipulación de la baliza con una pila de petaca. O la opción de hacerse con un testeador de balizas, que permitiendo hacer algún tipo de ataque a las balizas: replicación de balizas, denegación de servicio, etc. Han mostrado una posible forma de crear una baliza falsa. 

First rule of CLR is you do not simply inject the CRL

Al finalizar hemos podido disfrutar de la siguiente ponencia: first rule of CLR is you do not simply inject the CRL, por Marcos González y Antonio Pérez

RootedCon 2024 - Marcos González y Antonio Pérez
RootedCon 2024 - Marcos González y Antonio Pérez 

Explican qué es CRL y el intermediate language, de qué se encarga y cómo funciona. También han contado algunos lenguajes que usan CRL: C#, .Net... Y medidas y contra medidas para controlar la ejecución de los programas que están hechos en esos lenguajes. Han explicado qué es herramientas thunderstrike. Han explicado cómo hay que organizar el ataque para evitar que un EDR no detecte que está thunderstrike atacando. Después de la teoría han hecho una POC.

En cuanto acabaron nos fuimos a un descanso y al finalizarlo ya me fui yo a la sala 19.

My mobile is screwing me up

Esta charla la dieron Ofelia Tejerina ( @OfeTG ) , Pablo Fernández ( @pablofb ) y Luis Diego de Aguilar ( @h3st4k3r ) hicieron la charla my mobile is screwing me up. Pedro Candel ( @NN2ed_s4ur0n ) formaba parte del equipo que la montó pero no pudo venir.

RootedCon 2024 - Ofelia Tejerina, Pablo Fernández y Luis Diego de Aguilar (y Pedro Candel)
RootedCon 2024 - Ofelia Tejerina, Pablo Fernández y Luis Diego de Aguilar (y Pedro Candel)

Luis ha hablado de los sistemas callback tanto desde el punto de vista técnico como legal. Han mostrado código fuente de una web real (Jazztel) mostrando cómo se podría activar pero tiene sus protecciones. Con el plugin selenium ha grabado qué se ha ejecutado al introducir los datos para que nos hagan una llamada. Con un scripts se categorizan las webs que permiten hacer ese tipo de llamadas. Nos ha mostrado cómo ha funcionado en node y ha hecho una demo real con Python y una tarjeta SIM completamente nueva y desprecintada en directo. Después ha explicado qué hace el script original. Después ha hablado Ofelia, una de los abogados que han explicado qué puede suceder por usar de mala manera esos sistemas como por ejemplo las llamadas no solicitadas. Entre otras cosas también han incluido artículos del BOE. Más adelante Pablo también ha explicado los distintos tipos de llamadas comerciales y cuándo pueden y no pueden hacernos esas llamadas.


Tu robot ha perdido una tuerca

La Dra. Claudia Álvarez ( @claudiacataplau ) y el Dr. Adrián Campazas ( @gripapc ) han expuesto Tu robot ha perdido una tuerca 

RootedCon 2024 - Claudia Álvarez y Adrián Campazas
RootedCon 2024 - Claudia Álvarez y Adrián Campazas

Han hablado de dónde trabajan y a qué se dedican. Ciberseguridad, hápticos (transmisión de sensaciones, relacionado con el tacto), visión por computación y robótica de servicio (que ayuda a las personas).  Después nos han enseñado algunas fotos de robots con los que trabajan. Han hablado de riesgos y amenazas en sistemas industriales, entre otros algunos accidentes mortales en industria. Después han hecho dos demos atacando a unos robots (con un simulador gráfico, simulando el robot UR3 y Unitree A1 en "persona"). Y han dado sus conclusiones: que el cifrado no se usa aunque esté disponible porque quita eficiencia en entornos de tiempo real. Tiene un servicio SSH que se puede atacar por fuerza bruta y servidor web sin autenticación pudiendo ver por su cámara. Lo que pasa es que el atacante puede hacer un MITM para redirigir al operador a otro servidor web para que vea otra cosa. De las cosas que han hecho les han dado sus Caves. 

Y ya con esta última charla finalizamos la primera jornada de RootedCon 2024.