Inicio / Blog / Crónica de la RootedCON 2013

Crónica de la RootedCON 2013

Publicado el 12/03/2013, por INCIBE
logo rootedcon 2013

A lo largo de la semana pasada y parte del fin de semana, se ha celebrado en Madrid la que ha sido la cuarta edición de uno de los congresos de seguridad informática más importantes del país, y según palabras de multitud de participantes, también de los más prestigiosos a nivel mundial: la RootedCON 2013. Como viene siendo habitual, el evento está destinado principalmente a profesionales y estudiantes del mundo de la seguridad con un perfil eminentemente técnico y es muy recomendable contar con conocimientos para no perderse en algunas exposiciones de los participantes.

El congreso dio comienzo el jueves 7 de marzo con la obligada "Keynote" para luego dar paso a David Fuertes, quien con su charla "Señales Débiles. ¿Nos protegemos sabiendo que nos van a atacar?" dejó entrever ligeramente que muchas de las empresas no son conscientes de que pueden ser atacadas en alguna ocasión prescindiendo por ejemplo, de medidas de protección frente a distintas amenazas como las tan de moda APTs. En la siguiente intervención, de la mano de Vicente Díaz, toman protagonismo las redes sociales y cómo estas son empleadas para el envío de correo basura (SPAM) mediante el uso de bots. Antes del descanso para la comida, Jose Miguel Esparza y Mikel Gastesi hablaron de la botnet Sopelka, del impacto de Eurograbber y toda la información relativa a este publicada por los medios, con un carácter más "publicitario" que informativo. Por la tarde tuvo lugar una de las charlas más interesantes "Metasploit & Flu-AD: Avoiding AVs with Payloads/DLLs Injection" con Juan Antonio Calles y Pablo González. En su intervención presentaron la herramienta Flu-AD, una "aplicación" destinada para cazar a pedófilos, pederastas, etc. Durante su exposición enumeraron sus características, las complicaciones en el desarrollo en base a los requisitos establecidos, etc. y como no podía ser de otra manera, terminaron su intervención con la "demo" de rigor en la que se comprobaba su funcionalidad en su integración con Metasploit.
Ya por la tarde, restaban las intervenciones de Alejandro Ramos y David Meléndez. El primero con su "Te pique lo que te pique analiza un SQLite" comentó los problemas que tienen este tipo de bases de datos a la hora de eliminar información y las dificultades a la hora de recuperarla para hacer un análisis. El segundo presentó un trabajo más de robótica que de seguridad en el que mostró dos prototipos creados a partir de "cacharros" que todos podríamos tener almacenados por casa, como un router lynksys y una fonera.

Foto del anfiteatro donde se celebró la RootedCON 2013

Los hermanos Tarasco de Tarlogic fueron los encargados de abrir las ponencias del segundo día de la RootedCON. En su charla presentaron un borrador de una metodología para la auditoría de redes WiFi denominada OWISAM (Open Wireless Security Assessment Methodology), tomando para ello como referencia el modelo de OWASP, y enumerando los controles principales que han considerado, así como una demo de la aplicación para automatizar las auditorías el "Wireless Audit Framework" (nombre aun sin definir) y solicitaron apoyo para continuar con el proyecto. Tras esta interesante charla, Jesús Olmos presentó el plugin para el navegador Chrome que puede ser de mucha utilidad para tareas de pentesting en entornos web. Con una charla extremadamente técnica las demos arrojaron mucha luz acerca del funcionamiento de la aplicación. A continuación David Barroso expuso un nuevo modo de extorsión de los cibercriminales que está ganando popularidad poco a poco: la DDoS a páginas web y distintos servicios. En su exposición informaba de que grupos rusos son los más activos y los objetivos principales son páginas pequeñas y de medio tamaño de este país aunque también se están reproduciendo en otras áreas del planeta. Como recomendaciones para evitar este tipo de ataques indicó que jamás se debe acceder a realizar el pago, la víctima debe asesorarse para prevenir futuras denegaciones y por supuesto, denunciar. Una anécdota graciosa sin duda fue la proyección de un vídeo publicitario en el que un individuo ofrecía los servicios DDoS de modo muy "marketiniano".
Tras la charla de David, llegaba el protagonismo de los terminales móviles, concretamente Android. De la mano de Sebastián Guerrero, en una charla con alta carga técnica, quedó claro que si se quiere comprometer un terminal con el sistema operativo Android hay que atacar el kernel y no el espacio de usuario (sobre el que se implementa una sandbox), de modo que si se compromete una librería en este modo, se podrían comprometer todas las aplicaciones que hacen uso de la misma.
En la sesión de tarde era el turno de la VoIP para hablar acerca de cómo troyanizar la distribución FreePBX por Jose L. Verdeguer, quien además aclaró que otras muchas distribuciones que instalan Asterisk adolecen de los mismos problemas. Y para finalizar las ponencias de esta segunda jornada de la RootedCON 2013, https://www.rootedcon.com/index.php/agenda/ (Enlace no disponible actualmente) Roberto Baratta trató de explicar cómo las entidades financieras gestionan el riesgo para evitar el eFraude en equilibrio con la usabilidad para concluir con que la "tecnología en seguridad es importante, pero no suficiente".

En el último de día de la Rooted el congreso se abrió de la mano de José Pico y David Pérez, quienes demostraron cómo un terminal móvil puede ser localizado "fácilmente" conociendo su IMSI o IMEI. Expusieron todos los problemas que se encontraron durante la investigación junto con los modos de resolverlos para tratar de localizar un terminal móvil con menos de 30 metros margen de error. Tras la excelente charla de los chicos de Taddong, Josean Koret presentó una herramienta, aún en desarrollo, para el análisis de código estático que concluyó con una excelente demo. Tras el descanso matutino de la última jornada, Jaime Sánchez dejó claro que la modificación del tráfico TCP/IP puede ofrecer multitud de ventajas tanto ofensivas como defensivas.
Después del tiempo para la comida, Raúl Siles demostró como cualquiera de las tres plataformas más populares para dispositivos móviles (iOS, Android y Windows Mobile 8) no gestionan adecuadamente la seguridad a la hora de conectarse a redes WiFi protegidas. Como era de esperar Raúl realizó demostraciones que evidenciaban los "fallos" con ejemplos reales que podrían suceder en muchas empresas de hoy en día. Antes de dar paso a Chema, Albert López expuso de una manera exquisita diferentes maneras de explotar algoritmos basados en listas enlazadas.
Una vez finalizado el último descanso de la RootedCON 2013 Chema Alonso "sorprendió" con la presencia de Wardog al que sentó en la mesa central invitando a los asistentes a que le formularan preguntas acerca de sus "lusers". Lo cierto es que aunque inicialmente la gente no parecía animarse, tras un par de preguntas, estas dieron paso a otras haciendo pasar un buen rato a todos los que allí se encontraban. A continuación llegó el turno de Chema quien se puso manos a la obra con lo suyo, pero antes expuso públicamente el análisis del "incidente" que sufrió en la preparación de su charla en RootedCON 2012, y con algún problema más de lo deseado a causa del "efecto demo", dejó claras las "bondades" del Ipv6.

Como conclusión decir que una vez más la convocatoria ha sido todo un éxito tanto en asistencia como por el nivel de los ponentes sin olvidar a la organización del evento que año tras año parecen mejorar en esa labor. Sin duda, los profesionales del sector de la seguridad ya estamos esperando la llegada de la RootedCON 2014.