Resumen de la Rooted – Parte 2

Comenzó el viernes 8 con los hermanos Tarascó (Andres y Miguel) OWISAM – Open WIreless Security Assessment Methodology. Genial la presentación y el proyecto. Muy interesante unificar las metodologías y herraminetas en un único framework. Estoy deseando que liberen una versión para poder jugar con ella. Habrá dos versiones, una gratuíta y otra de pago. Supongo que esta última incluirá la opción de disponer herraminetas ofensivas, por lo que dijeron en la charla, pero es un suponer mío. Habrá que esperar.

La ponencia de David Barroso Un gentil viaje al interior de las extorsiones mediante DDoS estuvo muy bien. Curioso que ya no sólo se vende el programa al cliente y éste es el encargado de infectar equipos para crear la botnet, sino que ahora te dan la opcion de controlar directamente los zombies. Todo fácil y rápido. Llamó mucho la atención de la profesionalización de este tipo de servicios, con este vídeo por ejemplo 😀

Sebastián Guerrero, con la charla Ke ase Android? demostró su conocimiento de la plataforma, y cómo el kernel y las librerías de sistema se quedan fuera del sandboxing, con lo que se puede llegar a cargar un módulo LKM con todos los privilegios disponibles a su alcance.

Por último, Roberto Barata y su presentación eFraude: ganar gestionando la derrota. Fue divertida, amena y muy interesante respecto cómo desde su compañía se defienden del fraude por internet. Explicó cómo a pesar de las medidas que suelen poner para evitarlo, el componente humano lo hace inservible (tarjetas de coordenadas introducidas enteras en páginas de phising) o  cómo las OTP (One Time Passwords) al móvil, debido a lo fácil que es conseguir un clon con cualquiera de las grandes compañías, se puede evadir sin mayores complicaciones.

Saludos a todos

Resumen de la Rooted – Parte 1

Como ya comenté por aqui, la semana pasada se celebró la Rootedcon. En líneas generales, hubo un buen nivel en los temas que se presentaron, quiero hablar de los que más me llamaron la atención. Pero antes, agradecer a la organización que sigan con fuerzas para seguir sacando adelante este evento, que no debe ser nada fácil, buscar emplazamiento, patrocinadores, CFPs, los rootedlabs… Creo que hay mucho trabajo detrás que no vemos los asistentes, así desde aquí mi agradecimiento por ese esfuerzo.

Vamos al lío, el jueves 7 comenzó con la charla de Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar? de David Fuertes. Me pareció interesante el concepto de “señales débiles” para poder detectar si nuestros sistemas han sido comprometidos o no. También, hizo hincapié en un detalle que se suele olvidar, y es que la automatización que nos proveen las herramientas actuales es buena y válida cuando se trabaja mucho en su puesta a punto, en sus configuraciones, adecuándolas a las necesidades particulares de cada caso… No es llegar y colocar los IDS/IPS, UTMs, sondas, o lo que sea. El factor humano y el trabajo inicial es muy importante si se quiere sacar provecho de las herramientas y amortizar el coste de licencia y mantenimiento.

Me sorprendió para bien la charla de Antonio Ramos ¿Y si la seguridad afectara al valor contable de la empresa? El título lo dice todo. Los que, de alguna forma, tenemos cierta responsabilidad en la seguridad de los sistemas, nos encontramos mucho con una asumción de riesgos que nos ponen los pelos de punta. Si la motivación de una empresa es ganar dinero (como la de todos, no nos engañemos), si hay irresponsabilidades en el ámbito de seguridad, eso se debería ver reflejado en las cuentas, donde duele, como se suele decir. Sería una muy buena forma para que se tomara algo más en serio y no se asumieran los riesgos, como actualmente ocurre, de una forma tan ligera (y seguramente irresponsable en algunos casos). En las preguntas al ponente se hizo mención a que era más una utopía que otra cosa, y puede que así sea, estamos lejos, pero no por ello hay que dejar de luchar para mejorar el escenario actual, donde cumplir la normativa de turno suele ser la motivación principal, no el servicio o la calidad del producto en sí.

Juan Antonio Calles y Pablo González presentaron Flu-AD en su charla Metasploit & Flu-AD: Avoiding AVs with Payloads/DLLs Injection. Durante la charla explicaron las nuevas funcionalidades, las técnicas que usan para la evasión de los AV, cómo cargar los módulos, cómo comprimieron el ejecutable por debajo de 50KB… Un grandísimo trabajo.

Por último, los proyectos de DIY me gustan porque siempre son originales e impactantes y David Menéndez con Trash Robotic Router Platform (TRRP) no se quedó atrás. Explicó cómo con algo de conocimiento, ingenio y tiempo, se pueden crear robots de lo más curioso.

Seguiremos con las charlas del viernes proximamente 🙂

Saludos a todos