Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

05 marzo 2016

Qué hemos visto en la RootedCON7

Jueves:

https://pennyofsecurity.blogspot.com.es/2016/03/que-hemos-visto-en-la-rootedcon7-jueves.html

Viernes:

https://pennyofsecurity.blogspot.co.ke/2016/03/que-hemos-visto-en-la-rootedcon7-viernes.html

Sábado:

Hemos visto a Daniel García (@cr0hn) explicándonos un concepto de nombre por él inventado (solo el nombre, el ataque ya existía): el de Broker and MQ injection. Lo demostró en directo: cómo podía interceptar las tareas del Broker e, incluso, inyectarle otras nuevas para, por ejemplo, envíar un mensaje de correo falsificado o envenenar la caché de una web. No es un problema del broker en sí, sino de cómo se configure: si se pone expuesto a internet y sin estar debidamente "securizado". Presentó una herramienta para automatizarlo todo: "enteletaor" (palabro albaceteño).


Después hemos visto a Daniel Martínez (@Dan1t0) abusando de las funcionalidades del Whatsapp Web (que no hackeándolo) para construirse una web de descargas multimedias.

Este año también hemos podido volver a ver al brillante equipo de @Layakk (José Picó y David Pérez) atacando 3G (eso sí: dentro de una jaula de faraday). Los cuatro ataques que explicaron y demostraron en directo fueron: IMSI Caching, geolocalización de terminal, DoS persistente y downgrade selectivo a 2G.


Después hemos visto a Román (@patowc), organizador de la Rooted, conectándose a un canal de IRC para hablar con los hacktivistas de la 9 (@La9deAnon), quienes enviaron una carta por ese medio y contestaron a las preguntas que él les transmitía del público.

Por la tarde, Raúl Siles (@raulsiles) dio una masterclass sobre cómo hackear los dispositivos del Internet of Thing que se comunican por radiofrecuencia por debajo de 1 GHz. Para ello, utilizó herramientas como HackRF, inspectrum y GNURadio.



Después, Chema Alonso (@chemaalonso) y Pablo González (@pablogonzalezpe) explicaron los peligros que puede haber con los token OAUTH si los usa un atacante, en conjunción con el spear phishing para hacerse con el acceso a tu cuenta (sin necesidad de pillarte la contraseña y sin que haya 2FA que te salve).

Y, para terminar, Pablo San Emeterio (@psaneme) y José Miguel Cañete contaron cómo se podría montar un dispositivo de vigilancia autónoma con un drone y un vehículo terrestre, por menos de 600€. Construido y programado por ellos.

Eso ha sido todo por este año. Si tenéis interés en alguna charla en particular, podéis pedir más información a los ponentes; que, de todos modos, acabarán subiendo las diapos y los videos a la web de la rooted. También tenéis los comentarios que hemos ido poniendo los asistentes en Twitter con el hashtag #rooted2016.

El próximo año, más.





No hay comentarios:

Publicar un comentario

A penny for your thoughts