Resumen de la Rooted – Parte 2

Comenzó el viernes 8 con los hermanos Tarascó (Andres y Miguel) OWISAM – Open WIreless Security Assessment Methodology. Genial la presentación y el proyecto. Muy interesante unificar las metodologías y herraminetas en un único framework. Estoy deseando que liberen una versión para poder jugar con ella. Habrá dos versiones, una gratuíta y otra de pago. Supongo que esta última incluirá la opción de disponer herraminetas ofensivas, por lo que dijeron en la charla, pero es un suponer mío. Habrá que esperar.

La ponencia de David Barroso Un gentil viaje al interior de las extorsiones mediante DDoS estuvo muy bien. Curioso que ya no sólo se vende el programa al cliente y éste es el encargado de infectar equipos para crear la botnet, sino que ahora te dan la opcion de controlar directamente los zombies. Todo fácil y rápido. Llamó mucho la atención de la profesionalización de este tipo de servicios, con este vídeo por ejemplo 😀

Sebastián Guerrero, con la charla Ke ase Android? demostró su conocimiento de la plataforma, y cómo el kernel y las librerías de sistema se quedan fuera del sandboxing, con lo que se puede llegar a cargar un módulo LKM con todos los privilegios disponibles a su alcance.

Por último, Roberto Barata y su presentación eFraude: ganar gestionando la derrota. Fue divertida, amena y muy interesante respecto cómo desde su compañía se defienden del fraude por internet. Explicó cómo a pesar de las medidas que suelen poner para evitarlo, el componente humano lo hace inservible (tarjetas de coordenadas introducidas enteras en páginas de phising) o  cómo las OTP (One Time Passwords) al móvil, debido a lo fácil que es conseguir un clon con cualquiera de las grandes compañías, se puede evadir sin mayores complicaciones.

Saludos a todos

Anuncios

Resumen de la Rooted – Parte 1

Como ya comenté por aqui, la semana pasada se celebró la Rootedcon. En líneas generales, hubo un buen nivel en los temas que se presentaron, quiero hablar de los que más me llamaron la atención. Pero antes, agradecer a la organización que sigan con fuerzas para seguir sacando adelante este evento, que no debe ser nada fácil, buscar emplazamiento, patrocinadores, CFPs, los rootedlabs… Creo que hay mucho trabajo detrás que no vemos los asistentes, así desde aquí mi agradecimiento por ese esfuerzo.

Vamos al lío, el jueves 7 comenzó con la charla de Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? de David Fuertes. Me pareció interesante el concepto de “señales débiles” para poder detectar si nuestros sistemas han sido comprometidos o no. También, hizo hincapié en un detalle que se suele olvidar, y es que la automatización que nos proveen las herramientas actuales es buena y válida cuando se trabaja mucho en su puesta a punto, en sus configuraciones, adecuándolas a las necesidades particulares de cada caso… No es llegar y colocar los IDS/IPS, UTMs, sondas, o lo que sea. El factor humano y el trabajo inicial es muy importante si se quiere sacar provecho de las herramientas y amortizar el coste de licencia y mantenimiento.

Me sorprendió para bien la charla de Antonio Ramos ¿Y si la seguridad afectara al valor contable de la empresa? El título lo dice todo. Los que, de alguna forma, tenemos cierta responsabilidad en la seguridad de los sistemas, nos encontramos mucho con una asumción de riesgos que nos ponen los pelos de punta. Si la motivación de una empresa es ganar dinero (como la de todos, no nos engañemos), si hay irresponsabilidades en el ámbito de seguridad, eso se debería ver reflejado en las cuentas, donde duele, como se suele decir. Sería una muy buena forma para que se tomara algo más en serio y no se asumieran los riesgos, como actualmente ocurre, de una forma tan ligera (y seguramente irresponsable en algunos casos). En las preguntas al ponente se hizo mención a que era más una utopía que otra cosa, y puede que así sea, estamos lejos, pero no por ello hay que dejar de luchar para mejorar el escenario actual, donde cumplir la normativa de turno suele ser la motivación principal, no el servicio o la calidad del producto en sí.

Juan Antonio Calles y Pablo González presentaron Flu-AD en su charla Metasploit & Flu-AD: Avoiding AVs with Payloads/DLLs Injection. Durante la charla explicaron las nuevas funcionalidades, las técnicas que usan para la evasión de los AV, cómo cargar los módulos, cómo comprimieron el ejecutable por debajo de 50KB… Un grandísimo trabajo.

Por último, los proyectos de DIY me gustan porque siempre son originales e impactantes y David Menéndez con Trash Robotic Router Platform (TRRP) no se quedó atrás. Explicó cómo con algo de conocimiento, ingenio y tiempo, se pueden crear robots de lo más curioso.

Seguiremos con las charlas del viernes proximamente 🙂

Saludos a todos

Transcripciones de charlas de diferentes eventos de seguridad.

Hoy en día hay muchas charlas de seguridad, conferencias, congresos, reuniones, donde se expone y trata las últimas técnicas de ataque, defensa, tácticas de evasión… Casi siempre son interesantes, y muchas veces se tratan temas desde puntos de vista cuando menos, originales.

En la web www.privacy-pc.com publican, entre otras cosas, transcripciones de las charlas de los ponentes en distintos eventos. Como es muy complicado ir a todos o estar consultando continuamente las páginas web de los múltiples saraos (Defcon, Blackhat, Brucon, Shmoocon, TroopersHITB-AMS…), creo que es un buen recurso para tener a mano.

Como ejemplo de charlas diferentes de lo que suele ser habitual, os dejo esta, donde se hace una comparación entre lo que es, cómo actúa y cuál es el fin de un virus a nivel biológico respecto a su análogo de bits, con los respectivos métodos de identificación y demás por gente de Fortinet.

Saludos

RootedCON

Comienza el congreso de seguridad madrileño por excelencia, la RootedCON… Este será el tercer año que podremos disfrutar de esta reunión de profesionales de seguridad en Madrid. He asistido a los dos anteriores, y la experiencia siempre ha sido muy buena, tanto en nivel técnico (mejorando cada año) como por la oportunidad de conocer gente que trabaja en el sector de la seguridad en este país, cuyo nivel es realmente bueno, nada que envidiar a nadie.

Yo ya me he registrado ¿Y tú? Si ya has asistido a alguno de los dos anteriores, seguro que ya habrás hecho hueco en la agenda para esta tercera edición, si no, deberías probar.

Toda la información aqui.

Nos vemos allí. 🙂