Un año más estamos en la /RootedCON. Este año se inicia con una interesante charla de David Fuertes titulada “Señales débiles, ¿nos protegemos sabiendo que nos van a atacar?“. David nos ha hablado sobre uno de los temas de moda como son las “APT” y el enfoque que le dan actualmente las organizaciones a la hora de protegerse, donde muchas de ellas no asumen que van a ser alguna vez comprometidas. David terminó exponiendo algunas ideas para detectar en las organizaciones esas señales débiles que puedan hacer saltar las alarmas, como puede ser centrarse en la cantidad de tráfico de red.
La siguiente charla corrió a cargo de Vicente Díaz: “Birds, bots and machines – fraude in twitter and how to detect it using machine learning techniques“, donde explicó una investigación que ha llevado a cabo para detectar campañas de bots de twitter que se dedican a enviar spam. Para poder diferenciar si es un bot enviando spam se aplicó machine learning, obteniendo en su estudio unos datos bastantes buenos de detección. También recalcó que una de las fases importantes de la investigación es la definición de los parámetros (públicos o calculados) que permiten después decidir si es un bot o no; un ejemplo de parámetro es el “tiempo medio entre tweet“. Como veis una charla muy interesante y con el mensaje de que no hay que tener miedo a la IA.
Jose Miguel Esparza y Mikel Gastesi “Sopelka vs Eurograbber: really 36 million eur?” nos hablaron de la botnet sopelka y alguna de sus peculiaridades, como por ejemplo que se trata de tres muestras de malware y un solo panel, un dato realmente curioso. Una vez ya habían detallado las funcionalidades pasaron a hablar de un informe que se hizo eco en todos los medios de amplia difusión sobre Eurograbber y las grandes cantidades de dinero robadas. Sobre el informe han hecho una crítica a la falta de rigor del mismo, tras realizar diferentes comprobaciones que han comentado en la misma charla. Su mensaje principal es que cuando leamos un informe debemos ser críticos y detectar rápidamente cuándo se trata de un informe enfocado únicamente al marketing.
Juan Antonio Calles y Pablo González: “Metasploit & Flu-AD: Avoiding AVs with Payloads/DLLs Injection” nos hablaron de Flu-AD, cómo ha nacido y cuál es su estado actual. La herramienta, como muchos de vosotros ya sabéis, es un troyano para que los cuerpos policiales puedan cazar a pedófilos, pederastas, etc. Flu-AD en su origen estaba hecha en .NET y debido a diversos requisitos (por ejemplo, tamaño inferior 50kb del binario) que se les ha marcado por parte de los cuerpos policiales han tenido que desarrollarla en C. Otro punto donde han centrado su trabajo es en hacer que todos sus componentes sean indetectables. También nos mostraron su integración con metasploit, para aprovechar todo su potencial.
Alejandro Ramos “Te pique lo que te pique analiza un SQLite“, nos contó la estructura de un SQLite y las consideraciones que hay que tener en cuenta cuando vas a recuperar información de una base de datos de este tipo. Básicamente comentó que cuando se borra información de SQLite, ésta no se elimina sino que se marca que el espacio está libre, por lo que la información como en los sistemas de ficheros hasta que no sea sobrescrita seguirá ahí. Una de las dificultades para la recuperación de información radica en las aplicaciones que de manera periódica reorganizan el espacio.
David Meléndez Cano, “Trash Robotic Router Platform“, enseñó dos prototipos en los que lleva trabajando unos cuantos años. Su filosofía para crearlos es reutilizar “cacharros” que todos tenemos por casa sin usar y crear este tipo de dispositivos. Uno de ellos estaba basado en un router linksys y el otro en una fonera. Estuvo contando cual ha sido todo el proceso y qué escollos se ha encontrado hasta tener los prototipos. Una charla muy buena y un trabajo increíble.
Y de momento, eso fue todo en el primer día de la rootedcon. Seguiremos informando.
Un gusto poder compartir con ud la excelente conferencia :=)