Crónica: I EuskalHack Security Congress

El pasado 18 de junio se celebró en San Sebastián la primera edición de “Euskalhack Security Congress”, un evento organizado por la asociación de lleva su nombre “Euskalhack” y que su propio nombre ya da pistas sobre qué iba el tema…

Pasadas las 09:15 Jokin Guevara empezó con su ponencia sobre “IoT Toys, scary but real” en la que nos habló de esos “inocentes” juguetes conectados a Internet que ofrecen la posibilidad de interactuar con el usuario (en este caso niños). Poniendo como ejemplo el análisis sobre un coche teledirigido, se exponía su modo de funcionamiento, la manera en la que se conectaba con otros dispositivos (se creaba un Punto de Acceso propio) y cómo se emitían las imágenes que su cámara captaba. Encontradas vulnerabilidades y debilidades del producto, el fabricante fue notificado y como en otras circunstancias aún se sigue sin respuesta. En fin…

 

La siguiente charla estaba programada para que fuese impartida por Pedro Sánchez bajo el lema “Evasión de Antivirus y ataques en canales encubiertos”, pero por circunstancias debió ser reemplazada por Adrián Ramirez con “Autopsia a un Rasomware”. Uno de sus clientes tuvo una infección de Locky en sus sistemas y tanto él como su equipo les ayudaron a recuperar la información y solventar el problema. Por el camino fueron haciendo un análisis del “bichito en cuestión” abordando temas como cambios en registro, comportamiento, comunicación con C&C, métodos de infección, y vacunas contra las distintas versiones que les fueron sucediendo hasta un total de 4. Una curiosidad, si el idioma y el teclado del sistema estaba en ruso, no se ejecutaba…

Tras el café, Pablo San Emeterio y Jose Miguel Cañete se metieron en el tema de “Vigilancia Autónoma con Drones”. La idea surgió ante el desafío de un amigo sobre cómo poder ahorrarse los 600 € de instalación y 40 €mensuales de mantenimiento para la instalación de un sistema de vigilancia privado en su casa. Primero introdujeron un coche teledirigido dotado cámaras con funciones de reconocimiento facial, que podría identificar la posición de un intruso. También etiquetas QR pero a modo de balizas para definir una posición concreta. Una vez detectada la anomalía manda una señal a un dron que inicia su vuelo para dirigirse a la ubicación de ladrón, paparazzi, sacarle unas fotos y poderlas enviar a un almacenamiento externo. Para ello utilizaban una RasperryPI y componentes afines. Todo se desarrollaba bajo el radio de una red wifi, pero la idea era ampliarlo a señales tipo UMTS.

Luego llegó la hora de Ben Herzberg con “Emerald City of Cyber Security”. En esta ocasión se hizo un recorrido con por el errores existentes en los sistemas y herramientas de seguridad que se creen avanzados o en vías de serlo. Curiosa la puesta de escena por momentos en los que para ver las diapositivas de la presentación hubo que ponerse unas gafas tipo 3D. Entiendo sería una analogía a lo que no vemos pero, realmente sucede. En una de ellas se podía apreciar en el caso de la autenticación, cómo en el proceso de autenticación, éstas pasaban por varios sistemas y por tanto si alguno de ellos son vulnerables, pues… adiós “user” and “password”.

Pasada la anterior vino Gorka Vicente con su “From WAF to RASP”. Aquí la ponencia se basó en la evolución de estos sistemas y lo que se pretende cubrir. Se parte de la base de que las aplicaciones web no son diseñadas para ser seguras sino funcionales. La seguridad viene a posteriori, una vez que ya está hecha la herramienta. En el paso de la securización esto presenta un problema ya que la implantación de un WAF requiere un aprendizaje para detectar un comportamiento correcto y a partir de ahí definir lo que es bueno y malo. Al final se llega a la idea de RASP (Runtime Application Self-Protection), esto es, las aplicaciones sean diseñadas contemplando la seguridad, evitando así derivar ésta en otros equipos. Esto proporciona beneficios como evitar falsos positivos, la aplicación conoce su funcionamiento y conoce lo que se puede o no hacer; no es necesario un aprendizaje como el WAF; no es necesario dispositivos o appliances extras; y otros varios más.

Llegó la hora de reponer fuerzas y aprovechar para comer y conversar un poco sobre todo lo visto. En las propias instalaciones disponíamos del restaurante con lo que no tuvimos que pasear buscando sitio por los alrededores y evitar esperas, que luego quieras que no, pueden hacerte llegar tarde a las presentaciones siguientes. El menú, estupendo, pasta, pollo asado, patatas, coca-cola y postre, todo incluido con la entrada.

 

Las charlas por la tarde comenzaron con Pedro Candel “TEMPESTad en OSX “El Capitán” 10.11.3”. Bueno , bueno, bueno, yo creo que aquí no hubieron preguntas no por vergüenza sino por lo “acojonaos” que nos quedamos según comentó uno de los asistentes. Por mi parte, opino igual. A ver si lo explico, el propósito era cómo, a partir de las señales electromagnéticas generadas por los dispositivos electrónicos, poder captar éstas y hacerse con los la información que las produce. Esta técnica puede ser empleada por los servicios de inteligencia para hacerse con la información que es procesada por equipos electrónicos en ese instante. Una cosa es leer acerca de Tempest y otra es verlo funcionar… De acuerdo que el ponente lo hizo con una radio, a pocos centímetro de su PC, y eso, pero con los recursos que tiene los Gobiernos y Agencias de Inteligencia, como que… nada se les resiste. En fin tela, telita, tela…

Vino la hora de Kaspersky sobre “Ladrones, espías y otros adversarios: el mundo real de las amenazas digitales”. En principio la iba a dar Dani Creus y Koldo Valle, pero fue expuesta por Luis Brande. El objetivo era claro, repasar la trayectoria de los incidentes y los que lo producen para así ser conscientes de lo que ha habido, hay y está por venir. Aquí el fabricante expone su posición y la manera en la que colabora para poder aprender de lo conocido y tratar en la medida de los posible y preparase para lo que nos pueda caer. En cualquier caso se pasa de la notoriedad de los inicios hasta la organización de individuos para llevar a cabo campañas para la obtención de beneficios económicos y sabotajes. Una vez más concienciar y formar para no caer en las trampas.

Bueno, bueno, bueno menuda sorpresa. No me podía imaginar lo amena que puede llegar a ser una charla de un Fiscal de Delitos Informáticos como es Jorge Bermúdez en materia de “Medidas de Investigación Tecnológica”. Otro punto totalmente distinto, pero con una similitud que quedó resumida en una frase que me quedó grabada “Al fin y al cabo los Fiscales y los Informáticos no somos tan diferentes; ambos aplicamos “Código” vosotros sobre máquinas y yo sobre personas (el penal, claro)”. Se abordó el tema de cómo ha cambiado la justicia para hacer frente al nuevo escenario de delito en materia informática para que fiscales y jueces puedan ser más eficaces en su lucha. Se contaba con una legislación inexistente o que no contemplaba los nuevos escenarios y que ha sido adaptada. Ya no se pueda hablar de autorizar escuchas telefónicas, sino además las telemáticas; ya no se habla del propietario de la línea sino también del usuario; ya es sólo inspeccionar un portátil, ahora también se incluyen las cuentas Cloud; y un largo etcétera. Y por supuesto mencionar el problema a los que se encuentran las autoridades por desconocimiento en la materia, que al fin y al cabo son los que tiene estas responsabilidades.

Otro descansito para coger fuerzas y seguimos con los otros temas. El relevo lo tomó Josep Albors con “El desmadre del Internet de las Tortas”. Madre mía, que peligro de que todo esté tan interconectado y no se tomen las medidas. Nos contó algo que ya había adelantado Jokin Guevara al inicio del congreso y es que hasta los calentadores de agua, hornos, frigoríficos y todo cuanto podáis imaginaros tiene una tarjeta de red wifi y se conecta a internet o a otros dispositivos. No me podía creer que hasta un consolador podría conectarse al móvil y desde allí tener una aplicación para ver tus “estadísticas”. ¡Pero a quién se le ocurren estas cosas! Ya con temas más serios se metió con un rifle que corregía su posición mediante una aplicación; un marcapasos con vulnerabilidades que podrían llegar a ser explotadas; equipamiento médico con pantallazos de “Error” en las aplicaciones controlan suministros de medicamentos; bombas de insulina. También como no, hornos conectados a redes wifi y a los que se les podría modificar temperaturas, temporizados y demás parámetros. Muy interesante y concienciador el tema.

Y para cerrar la jornada de ponencia llegó Joxean Koret con “La gran mentira: la seguridad como producto”. Comentó al inicio que estaba algo nervioso ya que era la primera que daba que no fuese meramente técnica, pues la verdad que lo hizo con la misma soltura y dominio que cualquier otra. Nos hizo ver cómo la seguridad no pasa por tener un antivirus o solución de seguridad, y que los mensajes que estas transmiten no son ciertos. No hay seguridad con un “click”; que te proteja contra “0 Days”; te garantice el 100% de la seguridad. Nada de eso. Aparte dependiendo si eres un usuario doméstico, una PYME, una gran organización, un Gobierno o una ONG puede las medidas son, eso sí 100% inútiles. Falsas creencias como anonimatos, cifrado de comunicaciones, uso de TOR, VPNs, y otras tantas se en que son ineficaces contra los recursos de los que disponen sobre todo los Gobiernos y Agencias. Puede que puedas resistir un poco, pero al final ellos son más fuertes. No disponemos ni de sus medidas tecnológicas ni de sus recursos económicos.

Y ya por concluir se hizo entrega de los premios del CTF y sorteo de unos libros a los asistentes. Un puntazo que al ganador del ejercicio le hiciese una “Txapela” como se hace a los ganadores en estos lares.

Luego vino el disfrute con unas copas en un ambiente más relajado, al que no pude acudir ya que había que volver a casa. Me quedé con las ganas. Otra vez será.

Como conclusión es que la jornada se pasó muy rápido, lo que denota lo interesante y bien organizado que estuvo todo. Agradecer a la organización, voluntarios y patrocinadores que lo han hecho posible, pero sobre todo a los que han tomado la iniciativa de hacer una evento de estas características y de asumir la responsabilidad que eso conlleva. Las primeras veces siempre hay riesgos de que haya cosas que no salgan todo lo bien que esperas, o que surjan imprevistos para los que haya que buscar soluciones “on the fly” pero en este caso que, para mi forma de ver las cosas, no ha podido salir mejor. En cualquiera de los casos la organización se ha ocupado de hacerse eco de los puntos de vista que cada cual pueda aportar para seguir perfeccionando este evento que para el año que viene seguro nos sorprende como lo ha hecho éste.

Muchas gracias!!!!

Un saludo.

7 comentarios en “Crónica: I EuskalHack Security Congress

  1. Muchísimas gracias por la crónica y por haber asistido al congreso. Fue un placer teneros a todos vosotros disfrutando de nuestro/vuestro hobby. Un abrazo!

  2. Agradecerte enormemente este artículo tan específico, siempre nos hace ilusión recibir el feedback de los asistentes. Como dijo Borja, un auténtico placer contar con vosotros ¡Hasta pronto!

  3. De nada, faltaría más! Me alegro mucho que la crónica sea de vuestro agrado. Nuevamente gracias a vosotros por hacerlo posible, y a todos los que participaron. Lo dicho, el año que viene más y mejor.

  4. Muy buena la crónica! Refleja muy bien lo que vimos.

    Por cierto, yo soy el de “acojonaos que nos quedamos según comentó uno de los asistentes”, pero era más de asombrado/maravillado/menudo buen descubrimiento y mejor implementación de Pedro Candel, que en vez de un simple PoC se ha currado una suite completa!
    O le falta el decoder a través de un SDR económico? 🙂

  5. Pingback: Evento Asociación Euskalhack 25/11/16 | Enredando con redes ...

  6. Pingback: Nuevo evento Asociación “EuskalHack”, 17/02/17 | Enredando con redes …

  7. Pingback: EuskalHack Security Congress II | Enredando con redes …

Deja un comentarioCancelar respuesta