Como ya anticipamos en Security By Default, tuve el inconmensurable placer de ser invitado al evento más importante de seguridad informática realizado en Bolivia para participar con un par de charlas y un taller.
El evento, brillantemente organizado por Álvaro Andrade, CEO de la empresa Ethical Hacking Consultores, con el apoyo de la Universidad Autónoma Gabriel René Moreno, UAGRM, se ha desarrollado con una espectacular aceptación por parte del público asistente en la ciudad de Santa Cruz de la Sierra en Bolivia. Tanto por el apoyo de los diferentes sponsors del evento, como por la implicación, difusión y repercusión en medios de comunicación, se ha considerado el evento de seguridad más importante de Bolivia.
El evento ha contado con charlas y talleres a lo largo de una semana de duración. Contrario a lo que suele ser normal en este tipo de eventos, en los que el orden suele ser inverso, los tres primeros días se han dedicado a las charlas y los dos siguientes a los cursos.
Como los talleres se llevarán a cabo hoy y mañana, y como quiero adelantarme para que la crónica del evento salga antes en Security By Default que en la Comunidad Dragonjar (internal joke! ;D) paso a haceros un resumen de las diferentes charlas del evento.
Día 1
Lamentablemente, la mañana de la primera jornada no os la puedo contar puesto que aterricé cuando ésta ya había finalizado. Igualmente, estoy seguro que el contenido de las charlas no pudo ser más interesante.
Después del acto de inauguración, abrió el melón del evento Jaime de la Comunidad DragonJar con una charla que versó sobre \»Análisis Forense de Dispositivos IOS\» que sin duda, debe haber hecho brillar los ojos de más de algún desconfiado de su pareja poseedora de un dispositivo de la marca de la manzana.
Continuó el argentino Leonardo Pigñer con su charla \»La amenaza de los Drones\». Tuve el placer de asistir a esta charla en el ACK Security Conference en Colombia y se te ponían los pelos de punta con la cantidad de información disponible en Internet sobre el funcionamiento de partes tan críticas como la mira láser o el protocolo de comunicaciones utilizado por diferentes tipos de drones.
El siguiente ponente fue Matías Katz, que explicó cómo crear un packer indetectable para los antivirus en 4 minutos. Espero disponer en estos días de charlas y talleres, de 4 minutos con Matías para que me haga un overview de esta charla que debió ser muy interesante.
Después del descanso para comer (y en mi caso para llegar al hotel, ducharme y cambiarme) llegamos de vuelta al auditorio para asistir a las conferencias de la tarde.
El genial orador peruano, afincado en Estados Unidos, Kirk Sánchez, nos explicó, en una amena presentación, como atacar ordenadores que carecen de resistencias y condensadores, el cerebro humano, en \»Penetration Testing to the Human Brain\». El ingeniero social expuso brillantemente las vulnerabilidades comunes y generales a todas las personas, y nos dejó ver cuán animales somos reaccionando de forma instintiva ante dos estímulos principales: Dolor y placer.
El encargado de cerrar el día fue el colombiano Jhon Cesar Arango, editor del blog \»The Hacking Day\», demostró diferentes ataques posibles a infraestructuras inalámbricas, en los que quedó patente cómo con un buen equipamiento es posible reventar muchas de las implementaciones comunmente utilizadas para el cifrado de las redes wireless.La siguiente conferencia vino de la mano de uno de los abogados especializados en derecho informático que trabajan en Ethical Hacking Consultores, Juan Carlos Vargas. Fundamentalmente, la exposición se basó en las líneas básicas a tener en cuenta en un análisis forense para que las evidencias puedan tener validez legal para un proceso judicial. Refrescó conceptos como la conservación de la cadena de custodia, preservación de evidencias, trabajar sobre una copia de los datos, etc,…
Día 2
La segunda jornada del EHConference arrancó con una genial exposición del argentino Matías Katz. Nos presentó la herramienta que ha desarrollado, junto a su compatriota Maxi Soler, HTExploit, que permite bypassear los mecanismos de autenticación implementados por algunos ficheros .htaccess mal configurados en Apache. Curiosamente, la herramienta implementa una vulnerabilidad existente en el motor PHP de Apache desde 1997, que permite hacer peticiones web con métodos no definidos por la RFC 2616, bypasseando la autenticación especificada por directivas LIMIT en la configuración de los ficheros .htaccess. Increíble, pero cierto! Esta herramienta, presentada por Matías en la BlackHat Las Vegas 2012, ha sido incluida en el set herramientas de ataque web en la Release 3 de la distribución Linux especializada en seguridad Backtrack 5. Si además queréis leer un genial análisis de esta herramienta, podéis hacerlo en este post de la Comunidad Dragonjar
Continuó el colombiano Jhon César Arango mostrándonos las potencia de las posibilidades que ofrecenbuscadores como Google, Bing y por supuesto Shodan, para traer a la mesa búsquedas precisas pescadas del gran océano que es la información indexada por los mismos. Muchas de estas técnicas las podéis encontrar en el libro \»Hacking con buscadores\» de la editorial de Informática64.
La siguiente conferencia, \»Buenas prácticas de seguridad en Entornos Corporativos\», corrió a cuenta del más sexy de todos los ponentes: YO mismo, lawwait. Intenté explicar al público, las prácticas comunes de hacer las cosas en las empresas y organizaciones de todos los tamaños, dando unas pequeñas guías de cómo se deben hacer las cosas para tener una consistencia mínima de seguridad. Por los comentarios de los
asistentes, la charla resultó divertida además de académica, por lo que por mi parte cumplí con gran satisfacción el objetivo que me propongo en mis conferencias, que sea amena y que genere una nueva tarea en background en las mentes de los asistentes según el objetivo, en este caso, sobre la seguridad aplicada sobre los datos de los usuarios en las organizaciones.
Por la tarde, comenzó el evento Rafael Revert, un compatriota español afincado en Perú, que nos habló de Gestión Unificada de Advanced Persistent Threat. De esta presentación, me llamó mucho la atención las herramientas de seguridad que utilizaba e integraba Rafa con PFSense para crear un SOC de alto valor añadido.
Siguió el turno de la encantadora panameña Katiuska Hull, abogada especializada en derecho aplicado a comercio electrónico. Expuso un tema sumamente interesante. Dada la lentitud de ejecución de la justicia (esto parece que es igual en todos los países), existen medios alternos de solución de controversias online para poder someter a arbitraje o mediación una disputa. Nos contó las diferencias entre las opciones existentes, su funcionamiento, así como los problemas de seguridad que existen para enviar las pruebas expuestas por ambas partes, preservando las evidencias.
La siguiente charla, sumamente esperada, expuesta por parte de Gabriel Wiese y Álvaro Andrade, versó sobre \»Hacking de cajeros automáticos NCR\». Por petición expresa de los expositores no daré absolutamente ningún detalle sobre la misma en este resumen.
Día 3
El tercer y último día comenzó con una charla de Leonardo Pigñer, quien nos metió el miedo en el cuerpo con varias demostraciones de ataques en el Client-side. Fundamentalmente, en los tiempos actuales, en los que las empresas intentan cuidar más la seguridad de sus infraestructuras a nivel de dispositivos perimetrales, las nuevas formas de ataque involucran técnicas en los que las víctimas son los propios usuarios, mezclando ingeniería social con \»regalitos\» hechos con Metasploit que permitan conseguir una shell inversa o incluso una reproducción vía VNC de la pantalla del usuario.
A segunda hora, como a mí me gusta, fue mi turno de exponer mi charla \»Welcome to your secure /home, $user\», en la que conté una vez más cómo implementé un sistema de seguridad basado en reconocimiento facial con una webcam casera, así como la integración de diferentes elementos que puede haber en un hogar, como una roomba, un sistema de alarma gestionable via TCP/IP, control de aire acondicionado, datos volcados por una estación meteorológica y una centralita Asterisk entre otros. Además finalmente mostré el funcionamiento de una aplicación hecha en perl para controlar unrobot Rovio desde línea de comandos.
Después del break para los asistentes pudieran intentar olvidar la canción de \»El Internet\» de \»Los Alguiens\», fue el turno del profesor universitario boliviano Freddy Ossio, que nos ofreció su visión sobre la interacción entre \»Las nuevas tecnologías de la información y la Protección de datos personales\». Introdujo los grandes problemas de privacidad de los datos personales de los clientes de las organizaciones, tanto privadas como públicas, introducidos por los sistemas tecnológicos que manejan dicha información. Asimismo recalcó la necesidad de crear leyes en Bolivia similares a la LOPD española o la Ley de Protección de Datos de México.
La primera charla de la tarde vino dictada por el abogado argentino Miguel Sumer Elías. El título de la misma era \»El hacker y la delgada línea entre la ética y el delito\». Miguel, ingenioso y simpático ponente, logró mantener la atención de los asistentes venciendo al sopor propio de la hora, con una charla que distaba mucho de lo que se pensaría de un abogado, reforzándonos ciertos conceptos legales con mucho humor.
El siguiente turno era de nuestro buen amigo mexicano Roberto Martínez, al que lamentablemente, por causas de fuerza mayor le fue imposible asistir al evento. Así que aprovechando que Matías Katz apenas se había subido al escenario en todo el evento, le volvimos a ver en acción con una charla que ví en el ACK Security en Colombia: Hackeando con Facebook. Es impresionante ver cómo después de tantos meses en los que Matías y su equipo reportaron a facebook hasta 10 vulnerabilidades y que aún sigan siendo explotables sin problemas. La respuesta de Facebook fue la cada vez más común: \»It\’s a feature, not a bug\».
El siguiente ponente fue el abogado boliviano Ariel Agramont, que nos explicó los detalles de la\»Regulación Jurídica del comercio electrónico y la firma digital en Bolivia\» resaltando las necesidades existentes en el país andino de regular más exigentemente esta materia.
El siguiente ponente fue el abogado boliviano Ariel Agramont, que nos explicó los detalles de la\»Regulación Jurídica del comercio electrónico y la firma digital en Bolivia\» resaltando las necesidades existentes en el país andino de regular más exigentemente esta materia.
El encargado del cierre del evento fue el colombiano Jaime Andrés Restrepo, de la Comunidad Dragonjar, con una charla en la que nos mostró un montón de gadgets, destinados mediante la combinación con técnicas de Ingeniería social, al espionaje desde dentro de las propias empresas. Muchos de estos equipos que se pueden comprar en \»La tienda del espía\» o a través de Ebay o Dealextreame, hicieron que se nos cayera la baba a unos cuantos amantes de la técnica y los dispositivos. Asimismo, demostró con videos, cómo los usuarios actúan de una forma completamente negligente al conectarse a cualquier red inalámbrica, con tal de que ésta sea gratuita.
Para finalizar, os dejo aquí la típica \»foto de familia\» que nos hicimos los ponentes al final del evento, en el cual me lo estoy pasando genial una vez más, pero cuya experiencia relataré en otro post.
Fuente: Security by Default