Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

05 marzo 2016

Qué hemos visto en la RootedCON7

Jueves:

https://pennyofsecurity.blogspot.com.es/2016/03/que-hemos-visto-en-la-rootedcon7-jueves.html

Viernes:

https://pennyofsecurity.blogspot.co.ke/2016/03/que-hemos-visto-en-la-rootedcon7-viernes.html

Sábado:

Hemos visto a Daniel García (@cr0hn) explicándonos un concepto de nombre por él inventado (solo el nombre, el ataque ya existía): el de Broker and MQ injection. Lo demostró en directo: cómo podía interceptar las tareas del Broker e, incluso, inyectarle otras nuevas para, por ejemplo, envíar un mensaje de correo falsificado o envenenar la caché de una web. No es un problema del broker en sí, sino de cómo se configure: si se pone expuesto a internet y sin estar debidamente "securizado". Presentó una herramienta para automatizarlo todo: "enteletaor" (palabro albaceteño).


Después hemos visto a Daniel Martínez (@Dan1t0) abusando de las funcionalidades del Whatsapp Web (que no hackeándolo) para construirse una web de descargas multimedias.

Este año también hemos podido volver a ver al brillante equipo de @Layakk (José Picó y David Pérez) atacando 3G (eso sí: dentro de una jaula de faraday). Los cuatro ataques que explicaron y demostraron en directo fueron: IMSI Caching, geolocalización de terminal, DoS persistente y downgrade selectivo a 2G.


Después hemos visto a Román (@patowc), organizador de la Rooted, conectándose a un canal de IRC para hablar con los hacktivistas de la 9 (@La9deAnon), quienes enviaron una carta por ese medio y contestaron a las preguntas que él les transmitía del público.

Por la tarde, Raúl Siles (@raulsiles) dio una masterclass sobre cómo hackear los dispositivos del Internet of Thing que se comunican por radiofrecuencia por debajo de 1 GHz. Para ello, utilizó herramientas como HackRF, inspectrum y GNURadio.



Después, Chema Alonso (@chemaalonso) y Pablo González (@pablogonzalezpe) explicaron los peligros que puede haber con los token OAUTH si los usa un atacante, en conjunción con el spear phishing para hacerse con el acceso a tu cuenta (sin necesidad de pillarte la contraseña y sin que haya 2FA que te salve).

Y, para terminar, Pablo San Emeterio (@psaneme) y José Miguel Cañete contaron cómo se podría montar un dispositivo de vigilancia autónoma con un drone y un vehículo terrestre, por menos de 600€. Construido y programado por ellos.

Eso ha sido todo por este año. Si tenéis interés en alguna charla en particular, podéis pedir más información a los ponentes; que, de todos modos, acabarán subiendo las diapos y los videos a la web de la rooted. También tenéis los comentarios que hemos ido poniendo los asistentes en Twitter con el hashtag #rooted2016.

El próximo año, más.





04 marzo 2016

Qué hemos visto en la RootedCON7 (viernes)

El resumen del jueves se puede consultar aquí: 

Viernes:

Hemos visto a Pedro Cabrera (@PCabreraCamara) "secuestrando" un drone pilotado por un voluntario del público:



Algo para tener en cuenta. Sobre todo, considerando los incidentes recientes con drones

Más tranquila la charla de Juan Garrido (@tr1ana) sobre seguridad defensiva: cómo utilizar las propias herramientas de Windows (como el FSRM) para protegerse (o mitigar los efectos) de problemas como el ransomware o los exploits.

Laura García (@lainn_) y Ricardo J. Rodríguez (@RicardoJRdez) hablaron del malware para iOS, mucho menos extendido que para Android, pero todavía presente, incluso para dispositivos sin jailbreak (aunque menos). En total, han contado 35 familias distintas de malware.


Después, Hicham Tolimat (@Hi_T_ch) explicó la herramienta Docker y sus ventajas frente a las técnicas habituales de virtualización. Hizo una llamada a la comunidad hacker para que colaboraran en la seguridad de dicha herramienta.


Tras la comida, Matías Katz (@MatiasKatz) nos mostró un código que permite bloquear un equipo utilizando un elemento hardware y también otro (usado a modo de backdoor) que permite desbloquearlo mediante los audiojacks o la pantalla. Ambos usan DBUS y funcionan para portátiles con Linux.  Las demos las hizo en directo. Aquí podéis ver el código:


Y después, pudimos asistir a un Panel hecho expresamente para aquellos que están interesados en poner en marcha sus proyectos de startups de ciberseguridad.

Tras el Panel, la última charla, de Andrés Tarasco (@atarasco) versó sobre la piratería de TV por satélite y los protocolos nagra. Quedó claro que España ocupa el puesto número uno en la escala mundial de piratería.

Y eso es todo por hoy. Hasta mañana. Sweet dreams and happy hacking!

Qué hemos visto en la RootedCON7 (jueves)

Jueves:

Federico Dios (@DiosFederico) nos ha explicado cómo Akamai elebora el informe sobre el Estado de Internet: Akamai cuenta con cuatro tipos distintos de plataformas y, por algunas de ellas, pasa entre un 15% y un 30% del tráfico de internet; entre algunas cosas curiosas que se ven en el informe está el hecho de que haya muchas botnets alojadas en raspberries pies.



Jorge Hurtado nos ha hablado de la estupidez de las amenazas que nos cuelan los fabricantes: en los portátiles, los antivirus, el IoT... En vista de lo cual, ¿por qué no desarrollar un sello que sea garantía de unos mínimos niveles de seguridad?


Abel Valero (@sanguinawer) ha hecho una excelente exposición de cómo hacer un análisis estático y dinámico del bootkit rovnix y ha explicado un poquito como logran la persistencia en arranque estos bichos. Ojo: que el mismo ejemplar sirve para 32bits y para 64bits. Radare2 (@radareorg) ya incluye un plugin para analizar cómodamente estas metamorfosis de código ensamblador.



Jonathan Shimonovich ha explicado el problema existente con los certificados con los que ciertas app de control remoto de móviles (mRST) cifran sus plugins. El resultado es que cientos de miles de dispositivos son vulnerables. Si quieres saber si el tuyo lo es, puedes descargar en Google Play el "Certifi-gate scanner" de Check Point. Y, por si fuera poco, el servidor de control se puede cambiar con un simple SMS.



Rafael Sánchez (@R_a_ff_a_e_ll_o ) y Francisco J. Gómez (@ffranz ) han presentado la herramienta MrLooquer para el escaneo de direcciones IPv6. Qué sí: que hay más de las que crees (si hasta llegan spams con origen v6) y la seguridad por oscuridad no es buena. ¿Quizá tú también tengas IPv6 expuestas sin saberlo? Búscate.



Alfonso Muñoz (@mindcrypt) ha salido con un lector de ondas cerebrales para mostrarnos cómo se pueden utilizar éstas para, por ejemplo, controlar un videojuego. También existe la posibilidad de utilizarlas como un medio de autenticación o como cifra. Pero la "lectura de la mente" también presenta problemas de privacidad: ¿qué pasa si, mientras lo usamos, nos leen información no deseada? ¿acabaremos todos con un gorro de aluminio?



En el RootedPanel se presentó una mesa redonda sobre el papel de los francotiradores cibernéticos y los problemas que esto plantea.


Y, por último, Elias Grande presentó su herramienta de Footprinting, Odin, que incluye análisis de DNSSec y crawdler de redes sociales. Puede usarse para controlar el shadow IT de las organizaciones antes de que se convierta en un problema.



¡Mañana, más!