viernes, 22 de marzo de 2013

#RootedCon 2013 (1)

¡Saludos!

       Ya poco más se puede decir sobre la Rooted, celebrada del 7 al 9 de Marzo en Madrid, porque todos los blogs han hablado de lo que allí se hizo, en mayor o menor grado. En mi defensa, he de decir que desde el doming 10 hasta el jueves de la semana pasada estuve enfermo, MUY enfermo, hasta el punto de que el jueves me tuvieron que ingresar. Ya estoy recuperado, asi que tengo tiempo (y ganas) para poder escribir por aquí y trastear.


      A parte de las charlas, que me han impresionado, lo que más impacto me ha dejado de la experiencia ha sido la cercanía de los ponentes a la hora de conversar, y no sólo  los ponentes, sino  todo el mundo en general. He "desvirtualizado" muchos rostros, demasiados nicks para poner sin que se me olvide alguno.

  ------------------------------------------------------------------------------------------------


        El primer día de la Rooted Con llegué temprano, bastante más temprano de lo que debería (es lo que tienen que te saquen de un pueblo y vayas sólo por la capital, que no calculas bien los tiempos y las distancias), asi que me tocó esperar un buen rato desde que me registré hasta que empezó el "Keynote" (o lo que de toda la vida hemos llamado presentación). A la hora de registrarte y darte la identificación del congreso también daban un par de regalos: una mochila, un bolígrafo, una libreta (bastante útil para apuntar cosas, y hacer mapas a prueba de alcoholizados para volver a casa), un muñeco de la mascota de Snort y unos guantes (para cuando nos toque vivir debajo de un puente).


     Tras el Keynote vino la primera charla, a manos de David Fuertes, que trataba sobre lo que él denominaba como "Señales Débiles". En resumidas cuentas por Señales Débiles hacía referencia a rastros y comportamientos extraños, que se salen de la norma, y que pueden alertar de que se está bajo un APT. Por ejemplo, si un usuario que nunca ha entrado a los servidores derrepente empieza a conectarse y ha hacer peticiones inusuales en él, puede ser un indicio de que alguien ha podido pivotar dentro de la red y está usando ese usuario.

    En este caso la estadística y el estudio continuado del comportamiento dentro de la corporación es importantísimo para poder establecer reglas que nos permita discriminar de forma rápida entre peticiones legítimas y peticiones que puedan corresponder con un ataque, o que sean un rastro de uno. De tal forma que si conocemos cuales son el tipo de peticiones "normales" y detectamos aquellas que se salgan de lo habitual podamos activar las alertas y revisar si algo está pasando.


   La anécdota de esta charla fue el "efecto demo" que boicoteó la parte "práctica", y no se pudo ver la demo que tenía preparada con CrimePack.



    La siguiente charla de la mañana corrió a cargo de Vicente Díaz (@Trompi), "Birds, bots and machines". En esta ponencia nos descubría el trabajo que había estado realizando haciendo tracking de los bots que aparecían en distintas campañas dentro de Twitter, recopilando una ingente cantidad de información, y estableciendo qué parámetros son más interesantes a la hora de detectar un bot. Esto lo hacía aplicando tratamiento estadísticos a todos los datos recogidos. Posteriormente todo esto lo relacionó con IA.


   Tras el descanso tocó la charla de José Miguel Esparza (@EternalTodo) y Mikel Gastesi (@Mgastesi)
en la que nos hablaron del eCrime  y las botnets, en concreto de Sopelka y Eurograbber. Muy interesante la charla, no os la voy a destripar porque creo que merece la pena el repaso que le meten a Check Point y su informe de chiste sobre Eurograbber.


    La última charla de la mañana fue más por términos económicos, "¿Y si la seguridad afectara al valor contable de la empresa",  a manos de Antonio Ramos.



        La jornada de tarde la abrieron los chicos de Flu-Project (el otro blog donde colabora Aetsu), donde mostraron su herramienta Flu-AD que están empezando a utilizar algunos gobiernos para investigar casos de pederastia. La herramienta tiene una pinta tremenda: pesa sólo 50Kb y para evitar los AV puede cargar los módulos que vaya necesitando se les pasa directamente a la RAM. A parte, todo viene en relación con Metasploit.


    Después Alejandro Ramos (@Aramosf ) nos estuvo hablando sobre cómo funciona SQLite y cómo si no se utiliza la opción "Vacuum" los datos pueden ser extraídos con relativa facilidad. Para la demo pidió algún voluntario para extraerle los datos de la base SQLite de Whatsapp, pero al final todo resultó ser un tongo :(. El "voluntario" estaba ya preparado previamente para hacer el chiste. Igualmente fue divertido.

    La última charla de la tarde para mí fue divertidísima, y fue la de David Meléndez Cano (@TaiksonTexas). Algo más alejada del tema de la seguridad, pero merece la pena ver el video de la presentación. ¡Un artísta! Un router transformado en un todoterreno , y una fonera en un drone. Todo ello (salvo algunos detalles como los motores creo recordar) a partir de trastos que tenía por casa, como los mandos de la Wii. Tuve el placer de alcoholizarme charlar con él en la fiesta, y de verdad, una de esas personas con las que merecen la pena echar un rato.


   Hasta aquí este pequeño resumen del primer día

Byt3z ;)


5 0verl0ad Labs: #RootedCon 2013 (1) ¡Saludos!        Ya poco más se puede decir sobre la Rooted, celebrada del 7 al 9 de Marzo en Madrid, porque todos los blogs han hablado d...
< >