Crónica de la RootedCON · Día 1

Como cada año desde 2010, ha tenido lugar una de las conferencias más importantes (si no la más) del panorama de la seguridad española. Imagino que si sois asiduos al blog no hará falta que explique qué es RootedCon, pero por si hay algún despistado, decir que son unas conferencias de seguridad de 3 días de duración con contenidos altamente técnicos que se celebran en Madrid.

Security ArtWork estuvo allí y nos gustaría comentar nuestra experiencia para los que no tuvieron la suerte de poder asistir.

El jueves por la mañana, después de hacer la larga cola de registro y la keynote, empezó la jornada con la charla de Guillermo Grande y Alberto Ortega titulada Building an IP reputation engine, tracking the miscreants. En esta charla nos presentaron una herramienta para determinar la reputación de una IP basándose en un sistema de scoring. Para alimentar la herramienta utilizaron entre otras fuentes una SandNet basada en la herramienta Cuckoo SandBox.

Después de esta charla le tocó el turno a Luis Delgado con la charla XMPP, algo más que chat donde nos habló de este extendido protocolo. Por ejemplo, habló de Tuenti e indicó que aunque la web funcione con HTTPS, era posible obtener el SID a través del chat y este SID era compartido por la web y la API. También habló de Google Talk y explicó las diferencias ente conectarse mediante el cliente de Android a través de la web y mediante la aplicación de escritorio. En las dos primeras, el tráfico iba cifrado, pero en la última no.

Después de esta charla y de la batalla campal por las conchas Codan, José Miguel Esparza y Mikel Gastesi llegaron con su ponencia Social Engineering in Banking Trojans: Attacking the weakest link y analizaron todos los tipos de troyanos bancarios y demás malware. Empezaron con Ransomware que utilizaba ingeniería social, comentaron los troyanos de origen brasileño para terminar hablando de una de las técnicas más usadas en la actualidad por troyanos como Zeus y Spyeye: las inyecciones HTML, donde se cambia el contenido HTML de las páginas web de los bancos por contenido HTML malicioso. Por último nos demostraron como en foros Rusos se pueden alquilar botnets, comprar tráfico, exploits y hasta las propias inyecciones HTML utilizadas para ataques personalizados.

El último ponente de la mañana fue Juan Garrido con Corporate Forensics. Saca partido a tu arquitectura, que trajo un enfoque novedoso y barato para realizar análisis forenses en grandes infraestructuras. Basó su método en tres pilares: i) Controladores de Dominio para gestionar, ii) BBDD para almacenar la información y iii) script en Batch y PowerShell (ó PowerChel según como lo digas ;). Juan abogaba por poder hacer copias remotas de los archivos más importantes como el registro, la SAM… para no tener que enviar a un técnico a realizar el clonado bit a bit del disco duro.

Después de una comida con viejos y nuevos amigos, empezaron las charlas de la tarde con Epsylon y su XSSer – the cross site scripting Framework. XSSer, como ya comentamos hace relativamente poco en Security ArtWork es un framework para buscar y explotar vulnerabilidades XSS. Según comentó Epsylon en la misma charla, la motivación que le había llevado a desarrollar esta aplicación era la de elevar la criticidad que se les da a las vulnerabilidades XSS.

Seguidamente, Yago Jesús con Applied Cryptography Fails presentó una divertida charla donde contra todo pronóstico, no se habló de números primos ni de p y q, sino que mostró los problemas de la criptografía aplicada. Por ejemplo, presentó una herramienta llama SSLCop, que permite bloquear de forma sencilla entidades de certificación. También mostró una prueba de concepto donde un troyano aprovechaba la petición reiterada del PIN en las aplicaciones que usan el DNI-e para robar el PIN y poder suplantar la identidad del atacado.

Por último, llegó una de las charlas más esperadas (1 año de espera ni más ni menos) de la mano de Pedro Sánchez: Hospital Central. Historia de una extorsión. Después de ver la charla, puedo afirmar que la espera valió la pena. Pedro explicó como con una bata de médico y las habilidades verbales suficientes, consiguieron tomar el control de los sistemas de todo el hospital. Pero como donde dan las toman, Pedro se comió un OWNED de su compañero Eduardo Abril al cambiarle este último uno de los archivos de audio de las conversaciones telefónicas por una audio porno. Desde luego, fue uno de los momentos más aplaudidos de la jornada.

Mañana, más. Sigan a la escucha.

Comments

  1. “la batalla campal por las conchas Codan”.

    Y luego mis compañeros de seguridad no quieren que les llame frikis ;)

    Con todo mi cariño.