Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

10 marzo 2014

Crónica Rooted CON V (Jueves)

Aquí viene el megapost del primer día:

¿Qué mejor manera de recibirnos que con un regalo del libro de Angelucho, X1Red+Segura, como cortesía del patrocinador Akamai? Gracias :)


A primera hora de la mañana, @ffranz y @ttlexpired nos hablaron de Sinfonier, una herramienta Open Source de inteligencia de seguridad, basada en Apache Storm y formada por tres elementos: spouts (son los que generan la información en forma de tuplas) bolts (procesan la información de entrada y generan una salida) y drains (pueden almacenar la información o enviarla a otras fuentes y son la característica novedosa de Sinfonier. Animaron a registrarse como data tester.

Después, Alfonso Muñoz (@mindcrypt) nos explicó una técnica de ocultación de comunicaciones en lenguaje natural (solo se necesita saber leer y escribir) llamada Jano. Es otra aproximación, distinta a la criptográfica, ya que la gente no siempre está dispuesta a pasar por el aro de los GPG/PGP.

Pau Oliva (@pof) nos contó cómo saltarse los controles de los Hot Spots de las Wi-Fis públicas. Tiene una PoC publicada en Google play.
El sistema consite en robarle la IP y la MAC a otro usuario conectado, por lo que, para solucionar esta vulnerabilidad bastaría con: usar la característica PSPF de los routers para impedir la visibilidad entre usuarios, utilizar VLAN aisladas, usar switches con port-security para evitar que se pueda usar la misma MAC desde distintos puertos.

Luego, Antonio Ramos explicó que la agilidad es la vía a la seguridad. Algunos sesgos habituales en el análisis de riesgos: siempre pueden aparecer cisnes negros, la mente tiende a anclarse en la primera información que recibimos y eso influye en cómo tratamos el resto, lo más típico no es lo más habitual, aunque se tienda a pesar que sí, tendemos a ser optimistas. No caigamos en la trampa de creer que ya hemos hecho algo solo porque tengamos un plan de acción. Por otra parte: en los escenarios simples se aplican las mejores prácticas, pero en los complicados solo las buenas y en los complejos solamente podemos hacer ensayos porque nunca tendremos toda la información. Se debe usar: alerta temprana, respuesta rápida y apalancamiento de incidentes.

Fue una disertación muy dinámica, llena de símiles bonitos que ayudaban en entender estos puntos que solo he podido resumiros. Me gustó mucho.

Y llegó la primera ponencia en inglés: Raj Shah y su "Kill Chain: A day in the life of an APT". Las APT no son algo nuevo: ya al principio de los 80s, los americanos le hicieron una a una empresa canadiense de sistemas SCADA para colarle a los soviéticos un producto falso. Detrás de una APT lo que hay es una persona con determinación y paciencia. Se usan más para espiar que para atacar. The Kill Chain: reconnaissance, weaponization, infiltration, exploitation, C2 and exfiltration.

Después, nuestros amigos de Flu-Project hicieron una entra espectacular, digna de los Goya, con juego de luces y la canción de insonusvita de fondo.

Enlace permanente de imagen incrustada 
A parte de hacer un repaso de las últimas noticias de ciberguerra, nos explicaron cómo era posible que un gobierno usara a los ciudadanos como cibersoldados sin su consentimiento. Bastaría con colar en las tiendas de aplicaciones móviles una app troyanizada. Ya no sería necesario infiltrar agentes en puntos conflictivos: un ciudadano que se encontrara en el lugar podría, mediante su teléfono servirles toda la información que quisieran con fotos, vídeos y grabaciones de sonido. También se pueden usar los teléfonos como una botnet para hacer ataques DDoS contra un objetivo. Y de una manera más sutil que liarse todos a llamar al mismo número: en el establecimiento de llamada, el terminal queda temporalmente fuera de linea; si ésta no se llega a completar y se vuelve a repetir el proceso sucesivas veces, tendremos al pobre usuario desconectado, sin ni siquiera enterarse.

Posteriormente, Alberto Cita hizo un análisis de la seguridad y privacidad en Skype tras su compra por MS: el cifrado propietario ha sido reemplazado por el SSL y no tiene almacén de certificados propio, sino que usa el del S.O. lo que permite colar una CA falsa para hacer un MiTM. También ha observado que envía información a FB y que se baja muchas cosas en Javascript, lo que podría permitir inyectar código malicioso. Skype era único y ha dejado de serlo - se lamentó el ponente.

Y, como broche de la jornada, la extraordinaria intervención del fiscal Jorge Bermudez. Todo el mundo sabe que los hackers son de marte y los jueces son de venus. Pero yo no sé de qué planeta es este fiscal. A lo mejor de Krpton, porque es un superfiscal. Supo ganarse al auditorio hacker poniéndose en su lugar, queriendo tender puentes y explicándoles cómo él también "hackea" la ley para conseguir cosas que el legislador no hubiera imaginado que se podían conseguir con ella.

Si te gustan las pelis de abogados, sin duda habrías disfrutado con la magistral charla de este fiscal especializado en delitos informáticos. Por no alargar demasiado el post no me voy a extender en detalles. Pero tomo nota mental de hacer en un futuro un post dedicado a nuestros amigos de la Ley y el Orden.

Y hasta aquí la crónica del primer día. Espero que os haya gustado y que os haya compensado a los que no hayáis podido asistir. Procuraré haceros disponibles las dos siguientes cuanto antes.

No hay comentarios:

Publicar un comentario

A penny for your thoughts