Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

12 marzo 2014

Crónica Rooted CON V (Viernes)



Enlace permanente de imagen incrustada

El segundo día comenzó con una charla de José Luis Verdeguer (@pepeluxx) y Victor Seva (@linuxmaniac) en la que nos hablaron de las técnicas de escucha bien conocidas (SITEL, PRISM, etc.) y de las distintas soluciones ensayadas (Cryptophone, Redphone...). Como no se fían de ninguna han desarrollado su propia herramienta de cifrado de comunicaciones: Securecall. Ejecutada en un servidor, pudimos comprobar cómo el rastro que las llamadas realizadas dejaban en éste solo era un ruido. Totalmente seguro. ¿Te lo crees? ¿Usarías tú esa herramienta? Esa fue la pregunta que lanzaron al auditorio. Os aseguro que le dije a mi compañero "si la prueba la han hecho ellos, me pueden engañar al demostrarme que es segura"; aún así, levanté la mano, como muchos. Entonces fue cuando ellos nos hicieron un gran Bazinga! reproduciendo la llamada totalmente en claro. El truco: había otro servidor en el que se estaban guardando sin cifrar. La solución: implementarla en tu propio servidor. La conclusión: nada es seguro salvo que lo controles tú todo (y aún así).

Después Joaquín Moreno Garijo presentó Plaso, herramienta forense de bajo nivel para Mac OS. Aquí casi me metaexplota la cabeza. Me gustaría poder daros detalles técnicos, pero fue algo que me superó.

Y Jorge Ramió (@criptored) nos habló del algoritmo RSA y los posibles ataques contra su cifrado. El cifrado no está roto, pero pueden estarlo sus implementaciones si se realizan ataques laterales. El más famoso que ha salido a la luz recientemente es el de escuchar los ultrasonidos que genera el procesador al descifrar la información: un 1 no hace el mismo sonido que un 0. Son necesarias soluciones tempest para el sonido, lo mismo que se aplican para las radiaciones.

La ciberguerra volvió a salir a la palestra con José Luis Quintero y Félix Estrada. Aunque no están claros los límites entre ciberguerra y ciberdelincuencia, todos los ciberataques tienen las características de anonimato, asimetría de fuerzas, ubicuidad y alta velocidad de propagación. Los ciberataques han jugado un papel fundamental en la caída de gobiernos árabes. Es de señalar también la importancia de las RR.SS. en los ciberataques.

La segunda charla en inglés de la rooted fue la de Jeremy Brown y David Seidman, del MS Vulnerability Research. El MSVR se presentó en la Black Hat de 2008 y, desde entonces, ha estado gestionando el proceso de búsqueda de vulnerabilidades propias y ajenas. Algo que no me interesó mucho porque yo no voy a buscar ninguna.

Y después pude ver a @chemaalonso en vivo y en directo, con su gorro, hablándonos de su última herramienta: Latch. Si leéis www.elladodelmal.com o www.elevenpaths.com quizá sepáis de qué se trata, porque ha escrito mucho al respecto. Por si no, os resumo la idea: si quieres asegurarte de que no entren en casa, a lo mejor decides poner un pestillo; así si alguien hace copia de tus llaves, no podrá entrar de todos modos. Pues bien: si las credenciales (usuario y contraseña) son la llave de nuestras identidades digitales, el pestillo es Latch. Una herramienta que puedes instalar en tu móvil para desactivar cualquiera de tus identidades, de manera que si alguien quiere entrar con tu usuario, este no sea reconocido en la misma. Explicó que el servidor Latch no guarda información del usuario y contraseña, sino un token de pareado para enviárselo al de la identidad. Puso un ejemplo de cómo integrarlo con Shodan y con eGarante (yo lo he probado con éste, es muy fácil). Todo eso yo ya lo sabía. Para mí, la sorpresa de la conferencia fue saber que el uso de Latch va más allá de las credenciales: allí mostró cómo integrarlo con los eventos de Windows para quitar lo que no queramos que se usen y prometió que lo pondrá en más cosas como los sistemas biométricos. ¿Será capaz?

Enlace permanente de imagen incrustada 

Los hermanos Tarascó hablaron, primero, de Acrylic, una herramienta para hacer análisis de Wi-Fi de forma nativa en Windows, y después de Acarus, para tests de ataques dirigidos con APT Wi-Fi. Acrylic sirve para detectar ataques Acarus: todos a jugar y a probar la seguridad de nuestras redes Wi-Fi.

Después, Roberto Baratta () explicó cómo conseguir más en seguridad con menos o incluso nada: se tiene que ver el valor económico de la seguridad, el factor de riesgo en sí mismo no justifica un gasto, pero sí lo hace el impacto. Siempre es necesario hacer un análisis de riesgos.

Y ya para terminar, el entretenido relato de Javier Rodríguez (@Javiover) y César Lorenzana, del @GDTGuardiaCivil sobre cómo descubrieron que detrás de una presunta APT a una operadora de telefonía lo que había era tres delincuentes de un locutorio que se dan de alta tarjetas gratis para hacer dinero. La investigación tecnológica, apoyada por la tradicional y aplicando el Follow the Money, llevaron a una resolución magistral de caso, digna de la mejor serie de investigación policial.

¡Mañana, más!

No hay comentarios:

Publicar un comentario

A penny for your thoughts