Crónica No cON Name 2013 día 1
Un año mas uno de los congresos mas importantes de España llega a Barcelona.
Yo hace años que ya asisto y la verdad es que es un buen momento para reecontrarse con un montón de amigos que vienen de toda España. No voy a nombrarlos aquí puesto que seguro que me olvidaría de alguno y no sería justo.
Este año hay muchas caras nuevas y se ha apostado un poco por intentar mantener la calidad de las charlas aunque no fueran ponentes que ya hubieran estado otro año.
Ponencias
Cloud Computing, Big Data, Smart Cities…. ¿Y las personas?
Ruth Sala Ordoñez
La charla de ruth comienza explicando diferentes situaciones en las que estamos controlador por la tecnología. Explica el caso en el que por correo electrónico le avisan de cosas de su día a día personal ya que pueden rastrear todo lo que hace.
Ejemplo:
Vas a la gasolinera, la cámara te graba mientras pagas la gasolina
Vas al cajero, la cámara del cajero registra quien saca dinero.
Los empleados que trabajan en estos lugares (gimnasio, gasolineras) no tienen ni idea de donde van esos datos, de cuanto perduran etc...
¿Quien vigila al vigilante?
Ruth además, lee una parte de un libro escrito en 1952 en el que ya se hablaba de cosas como el Gran Hermano que nos rodea.
Sin duda INTERESANTE
One flaw over the Cuckoo
Esta charla iba a cargo de Iñaki Rodríguez y Ricardo Rodríguez. Ellos explicaban diferentes soluciones de análisis de malware que existen.
Lanzaban una pregunta al público
Explicaban como es posible que el malware detecta que está en una máquina virtualizada, algunos de los ejemplos son:
- Mirar datos del regitro
- Cosas del proceso en referencia a procesos de vmware
- Ejecuciones en memoria
- etc....
La defensa de Chewbacca
Vicente Aceituno
En una auditoría de seguridad los auditores a la hora de entregar el informe catalogan las vulnerabilidades según el impacto. Y las catalogan en alta-media-baja...
El uso de la clasificación alto-medio-bajo no tiene una influencia real en la planificación de IT, y se vuelve en contra del equipo de seguridad. Los oyentes podrán comunicarse más efectivamente con sistemas y desarrollo, y mejorarán el número y agilidad de corrección de vulnerabilidades. La finalidad es que los auditores abandonen el uso de la clasificación alto-medio-bajo por su escasa utilidad a nivel corporativo.
Pinout & Flashing a Nokia phone
Carlos Fou
Los análisis forenses hace tiempo que no solo se hacen a las máquinas sino que ahora cualquier dispositivo electrónico debe de ser revisado en un caso, Con este taller se pretende mostrar como se ha aprendido técnicas pinout, flashing a phone y el método de análisis necesario para analizarrt esultados, así como comparar los resultados con algunas herramientas comerciales como UFED cellebrite. Se pretende también mostrar que existe la posibilidad de extraer información de terminales no Smartphone solamente con acceso a la placa base y aunque tengan contraseña.
Securización de servicios web con OAuth
Jordi Gomez
Estoy seguro de que muchos de los asistentes no sabían que usaban OAuth día día con sus aplicaciones de Smartphone, es por eso que creo que esta charla le ha abierto los ojos a mas de uno/a.
OAuth es un framework para el control de acceso en APIs ampliamente utilizado en Internet, popularizado por Google, Facebook y Twitter, y en creciente adopción para servicios de todo tipo. El estudio pretende conocer el protocolo, qué problemas resuelve y cuáles no, las partes implicadas en las comunicaciones y nomenclatura que cualquier persona interesada en la seguridad del sistema y en su implementación debería conocer. Se hace un repaso de las versiones OAuth 1.x y 2.x y las opciones que ofrece, con la intención de aportar la información suficiente para tomar las decisiones adecuadas a cada plataforma, teniendo en cuenta aspectos como la usabilidad y escalabilidad de la plataforma. Se incluye un listado de las vulnerabilidades más comunes en las implementaciones y la forma de mitigarlas. Se concluye con una guía de buenas prácticas a la hora de implantar OAuth en una plataforma, teniendo en cuenta aspectos como la usabilidad y Escalabilidad.
A jorney into userland Rottkits for Android.
Sebastian Guerrero
Hoy en día con la masificación de ataques que hay en internet, los malos están escogiendo otros targets como pueden ser los teleéfonos móviles. Las empresas están cambiando un poco las marcas con las que trabajaban internamente aprovechandose un poco de las características que te puede ofrecer un teléfono como Android. El objetivo de la presente charla, es concienciar al usuario, organización o empresa, que decide depositar su confianza en plataformas móviles Android, de la existente posibilidad de desarrollar rootkits tanto en espacio de kernel como en espacio de usuario, que puedan transformar el terminal en un dispositivo bajo control de atacantes, poniendo en peligro la integridad y seguridad de la información sensible y de carácter personal que es almacenada en este. Como acompañamiento de la exposición teórica, se mostrarán un par de rootkits que se han desarrollado durante la investigación, que demostrarán cómo es posible tomar un control absoluto del terminal no sólo a nivel de kernel, sino también a nivel de usuario.
Hasta aquí las primeras charlas del primer dia de la No cON Name!!