19 septiembre 2011

Resumen de NoConName 2011 #ncn2k11


Al igual que el año pasado, la segunda edición después de la resurrección de la NoConName, la primera de las Cons españolas, organización presidida por José Nicolás Castellano, se ha celebrado en Barcelona. Como ya comunicamos en SbD, tuvimos el placer de estar presentes a lo largo del evento, disfrutando de las charlas e incluso moderando una interesante mesa redonda del segundo día.

En el artículo de hoy, voy a aunar las notas que tomé de cada una de las charlas a las que pude asistir.

Día 1:

  • Show me your Kung Fuzz: Iñaki Rodríguez expuso de una forma muy muy divertida qué es el fuzzing así como diferentes herramientas y entornos a utilizar para lograr fuzzear diferentes aplicaciones, dependiendo del tipo que éstas sean. "La frase" que caló hondo entre todo el público fue: "Cuando los padres de las compañeras de mi hija me preguntan qué es eso del fuzzing al qué me dedico les contesto:  Hacer fuzzing es meterle mierda a una aplicación hasta que revienta".
  • Seguridad en el diseño: desde el principio: En esta charla, Ricardo Rodriguez de la Universidad de Zaragoza, nos hizo una propuesta con modelado UML, para incorporar seguridad a las propias metodologías de desarrollo de aplicaciones para sistemas, evitando el "Fix it later". Nos recomienda lo que muchas veces hemos comentado desde SbD, que es mejor hacer las cosas bien desde el principio, pensando en la seguridad desde el minuto 0.
  • Geolocalización wifi basada en API: El conocido Yago F. Hansen, especialista en seguridad de Diario de un Hacker, relató en una muy entretenida charla las diversas posibilidades que ofrece la geolocalización en el mundo actual. Comenzó hablándonos de las necesidades de saber dónde estamos desde un punto de vista histórico, que desde muy antiguo se hacía un análisis de la posición de las estrellas, la utilización de astrolabios y otras herramientas, hasta llegar al actual protocolo GPS, el A-GPS (con las mejoras que se introducen al GPS para optimizar el Time to First Fix utilizando red de Telefonía móvil en Tierra). Habló igualmente de otras técnicas utilizadas por los dispositivos móviles para identificar mediante GSM/CDMA la celda más cercana a la que estás conectado. Asimismo nos indicó cómo se utiliza la API de Google para, introduciendo como parámetros el LAC, Cell ID, MNC, MCC, nos sitúe en Google Maps con una muy buena precisión. Habló igualmente de la aplicación Signal para Iphone para conocer los datos de los diversos puntos de telefonía de nuestro alrededor, así como de la existencia de troyanos incorporados en juegos y aplicaciones móviles que roban información de geolocalización para ser utilizada en botnets; otros para espiar la localización de la gente como SpyYourWife. Como podéis ver, el tema y la charla en sí, me encantó, además por la gracia y fluencia de Yago exponiendo las cosas, que es un valor añadido.
  • Terminal Hackpplications: Chema Alonso y Juan Garrido Silverhack nos desvelaron a primera hora de la tarde, de una forma muy divertida, las inseguridades de la ejecución de programas en servidores de aplicaciones remotos mediante protocolos como ICA de Citrix o Terminal Server. En este caso utilizaron Excel en un escritorio remoto para ejecutar comandos de sistema, e incluso saltándose políticas de protección de dominio. Fue una charla muy muy muy sorprendente y recomendable que ya fue expuesta en la BlackHat USA de este año. Tiene que haber sido divertido verles dar esta charla en la Defcon en Las Vegas, por las alusiones a sitios americanos… Estoy seguro que tiene que haber habido momentos de sudor frío en la aduana del aeropuerto por saber si salían del país dirección Barajas o si les ponían un traje naranja!
  • Ejercicios de demostración JWID (Joint Warrior Interoperability Demonstration): Pedro Sanchez del conocido blog de seguridad Conexion Inversa, nos habló de ciberguerra, con ejemplos de corte muy militar, mencionando prácticas llevadas a cabo entre grandes superpotencias como China, Israel o USA. CWIX son eventos anuales de la OTAN en los que los asistentes, todos militares, participan en una especie de CTF o wargame simulado con un laboratorio de máquinas virtuales con entornos vulnerables a fin de efectuar lo más parecido a "maniobras militares" pero con un teclado en vez de un fusil.
  • Medical Device Security: State of Art: Shawn Meringer, expuso los actuales riesgos de seguridad en dispositivos médicos como marcapasos, monitores de glucosa, oxígeno, etc,…  poniéndolos como ejemplo de sistemas SCADA conectados a seres humanos, contó cómo podrían integrarse con la red wireless de casa para enviar información en tiempo real al médico. Sin embargo, esos datos, al no ser recolectados de forma directa por el médico, podrían ser interceptados e incluso alterados. Otros riesgos observados por él son la utilización de los mismos ordenadores de propósito específico médico (para analizar datos de los pacientes) para propósitos generales, como mirar hotmail, yahoo o gmail por parte de médicos o secretarias. Asimismo, existe otros riesgos que pueden generar problemas derivados por fallos de suministro eléctrico (en caso de un ataque SCADA que afecte a la ciudad completa o a los sistemas de suministro eléctrico del propio hospital, por ejemplo); ingeniería social por parte de gente que suplantaba la identidad de médicos, empleados maliciosos,… Contó una anécdota en la que por un fallo en el software de los antivirus McAfee que es el que tenían desplegado de forma corporativa en el hospital, hacía que se reiniciaran todos los PCs nada más arrancar, haciendo que nadie pudiera trabajar.


Día 2:

  • Técnicas oscuras para combartir la pedrastia en Internet: Desfortunadamente llegué tarde a esta charla (pillé un poco de atasco entre las sábanas de la cama). Sin embargo, por lo que he leído en Twitter, Juan Antonio Calles y otro compañero de FluProject contaron cómo, desde el gobierno de Colombia, les pidieron ayuda para capturar a un escurridizo pedrasta utilizando el troyano de The Flu Project para controlar remotamente el PC del pedrasta.
  • The Sibyl (La Sibila): Pedro Fortuny, matemático de la Universidad de Oviedo muy amenamente, nos habla sobre la (in)seguridad/debilidad de algunos tipos de hashes, así como la inutilidad de no hacer nada y guardarlo en texto claro. Si la máquina es comprometida, es posible llevarse los hashes y terminarlos reventando con ataques de fuerza bruta o diccionario. Así pues, nos presenta una herramienta, The Sibyl, como mecanismo de autenticación más segura (según sus palabras textuales, "inhackeable") utilizando PKI añadiendo una clave aleatoria RSA de (creo) 160 bits corriendo en un tercer servidor. Además presentaron un módulo PAM para poder integrar la autenticación a otros servidores con The Sibyl.
  • (In)seguridad para jugones: Rafael Rodríguez de Deloitte nos "deleitó" con una genial presentación sobre los mecanismos actuales para vulnerar controles de seguridad en casinos físicos. Entre otras cosas nos detalló cómo se alteraban dispositivos como máquinas tragaperras, ruletas, barajas de cartas, etc,…  así como los riesgos de las máquinas actuales al formar parte de una arquitectura PC interconectadas; también la colaboración de técnicos internos, hasta grandes golpes del estilo Ocean's. Además nos habló de los riesgos del juego online: aplicaciones hechas en Flash, gente compinchada hablando por otro canal…. así como las medidas de seguridad empleadas: operadores humanos, interacción con jugadores, listas negras de jugadores compartidas entre casinos, aplicacaciones cliente nativas con sus propias medidas de seguridad (como fingerprinting hardware, IP, etc,...)
  • Debugging (Exploit) Payloads: Nuestro buen amigo José Selvi, del blog Pentester.es nos ayuda en la problemática sobre qué hacer, cuando al lanzar un exploit, éste no funciona, como le llegó a pasar a él en una auditoría por un problema del idioma de la máquina a atacar. En ese caso, cuando un exploit de metasploit utilizado para Internet Explorer, fallaba con las rutas de una máquina en español. Muy interesante también el trabajo que hizo Jose en descomponer el exploit de Comex para hacer un jailbreak de Ipad mediante la visualización de un fichero PDF. Así pues, lo que hizo fue modificarlo con su propio payload, re-crear un PDF nuevo para que al abrirlo con el Ipad, envíe una shell a una máquina remota con privilegios de root.

  • Retorno de Inversión en la adecuación a la normativa PCI-DSS: Javier Moreno Molinero de Internet Security Auditors nos trajo una conferencia, que por el tipo de tema que es, podría haber sido poco apetecible. Sin embargo, la amena forma de exposición, así como los ejemplos puestos, nos dió las pautas para justificar la compra de un equipamiento nuevo (antivirus, firewalls, etc, etc…), o enseñarnos por qué muchas veces las empresas preferen asumir el riesgo de no protegerse o no cumplir una determinada normativa y finalmente resultar sancionada en caso de una incidencia. En sus ejemplos, salía más rentable prevenir, haciendo lo necesario para certificarse en PCI-DSS, antes que curar.
  • Reversing/Forensic Android: Nuestro colaborador habitual Sebastián Guerrero, dio una excelente conferencia. En ella, detalló qué infraestructura se necesita para analizar aplicaciones Android a través de un emulador, simular el envío de pulsaciones de teclas, para lanzar la ejecución de malware hecho para Android. Identificó de una forma brillante las dificultades que se introducen en los distintos tipos de malware para evitar los análisis, como por ejemplo, hacer que vibre el móvil (si detecta que no ha vibrado, es que se ejecuta en un emulador y el programa no hace nada). Fue muy interesante igualmente la exposición del análisis forense realizado por Sebastián de un malware realizado por una empresa china, en la que incluso el desarrollador publicaba, con su nombre, cómo extraer las conversaciones de audio desde Android porque no le funcionaba!!!!   
A nivel personal, quiero decir que me lo pasé genial en este par de días en los que asistí a la NCN, por primera vez. Además de lo interesante de las charlas, fue para mí muy gratificante desvirtualizar a unos cuantos de vosotros, lectores, y animarme mucho más a mí y al resto de mis compañeros gracias al positivo feedback que manifestasteis.

Quiero dar las gracias a la organización de NCN por la oportunidad, en especial a @jncastellano por el excelente trato recibido estando allí.  

Fue para mí un placer también volver a ver a los ya fieles de estos eventos de seguridad: @ZXLain, @Chemaalonso, @wzzx, @joseselvi, @BBerastegui (que además realizó un SOBRESALIENTE coverage del evento vía Twitter), @mgesteiro, @trufae, etc, etc,… 

Nos vemos en el siguiente sarao, que será pronto!

6 comments :

Anónimo dijo...

Se sabe cuando se publicarán las presentaciones?

Nico dijo...

Hola,

En cuanto nos recuperemos del sueño atrasado y algunos ponentes no se olviden de enviarnos las presentaciones, las colgaremos lo antes posible.

Los videos se presentarán algo más tarde por respeto a los que vinieron.

Salu2

-Nico

Avaes dijo...

pedrastia? esa palabra existe?

4v4t4r dijo...

Un saludo...
Recién el equipo de Flu-Project publicó las slides de su presentación...
Muy grato saber que de alguna manera estuve allí...
Técnicas oscuras para combatir la pederastia en Internet > http://t.co/E1jYGeqQ

Osfjgsg dijo...

Hola,

Pues no tengo claro eso del respeto por los que vinieron. Yo fui y me encantaría tenerlo cuanto antes para poder repasar algunas cosas y para poder enseñárselo a unos amigos que no pudieron venir por temas de trabajo.

Saludos!

Jordi

Zerial dijo...

http://buscon.rae.es/draeI/SrvltGUIBusUsual?LEMA=pederastia