Esta semana ha estado un poco movida y no he tenido mucho tiempo para conectarme, el lunes y martes estuve en el Google Developer Day de Buenos Aires y ahora en la ekoparty, uno de los mejores eventos de seguridad informática del mundo.
Las charlas han sido geniales y este año también se han dado algunos talleres gratuitos sobre distintos temas. El primer día asistí a uno dado por Ezequiel Sallis (@simubucks) y Claudio Caracciolo (@holesec), donde nos enseñaron a troyanizar dispositivos USB de distintas formas para tomar el control de un equipo.
El segundo día comenzó con una charla de César Cerrudo (@cesarcer) sobre recopilación de información personal en internet, incluso de personas que ni siquiera tocan la web y aún así figuran en diversas bases de datos, ya comentaré alguno de los ejemplos dados. Esta charla se relacionó con una dada el día anterior por Gerardo Richarte sobre los rastros que vamos dejando en la red sin saberlo, aún los que somos más geeks y entendemos como funciona internet.
Otra de las charlas que vi fue la de Deviant Ollam sobre lockpicking, nos enseñó a crear llaves para abrir puertas a partir de una llave virgen. También vi la de Mariano Nuñez sobre las vulnerabilidades en SAP (uno de los softwares de gestión para empresas más utilizados) y los ataques que se le pueden realizar desde internet. La última charla del día, una de las más esperadas, fue la de Rubén Santamarta (@reversemode) sobre ataques a sistemas de control industrial.
Además asistí a un taller muy bueno dado por Jaime (@DragonJAR) sobre análisis forense de dispositivos iOS, pueden ver las diapositivas acá, y a uno sobre buscadores para hacer pentesting dado por Jhon Cesar de The Hacking Day.
He sacado algunas fotos, pero les recomiendo la colección de Matias Golini (@golmatt), como ya nos tiene acostumbrados en la ekoparty, saca las mejores fotografías! Hoy es el último día del evento, luego actualizaré el post con más notas, por ahora los dejo con esta foto que saqué de un disco duro IBM, una reliquia de la informática:
(clic para ver más grande)Como en años anteriores las conferencias son grabadas, así que luego las podrás ver en el canal oficial de Vimeo.
Actualización: día 3
Bueno, como comentaba al principio, el evento estuvo impresionante… superando las ediciones anteriores. Al tercer y último día llegué tarde por quedarme despierto hasta las 4 de la mañana resolviendo el reto forense organizado por @DragonJAR, al santo botón porque al final no participé, me ganó el sueño y el informe que tenía armado no estaba del todo completo.
Dormí toda la mañana y fui al mediodía para la charla de Chema Alonso (@chemaalonso) que nos mostró como acceder a servidores mediante archivos ICA y saltar las políticas de seguridad, pueden leer sobre el tema en esta serie de artículos. Además, aproveché para comprarle el libro Hacking con buscadores de Informática 64 y escrito por Enrique Rando, ya comentaré algo cuando termine de leerlo.
Otra de las charlas que vi fue una dada por investigadores rusos de Eset que hablaron sobre los rootkits para Windows de 64 bits, especialmente de TDL4. También la dada por Hojun Song (@opensat) sobre un proyecto para poner un satélite en órbita abaratando costos, pueden encontrar más información aquí.
Finalmente Luis Miras (@_luism) nos explicó el funcionamiento del baseband en el iPhone y como se puede hackear; y la última charla, tal vez la más esperada de la ekoparty fue la de Juliano Rizzo (@julianor) y Thai Duong (@thaidn) que sacaron a la luz a «una bestia» capaz de descifrar las conexiones HTTPS, el ataque es parecido al que se puede hacer con la extensión Firesheep pero en conexiones SSL. La vulnerabilidad se conoce desde hace tiempo pero hasta ahora no se conocía ninguna forma práctica de poder aprovecharla, el problema está en el protocolo mismo y ya existe una nueva versión que lo soluciona, falta que los principales navegadores y todos los programas la utilicen.
Antes de esta última charla todos nos sorprendimos -y algunos asustaron- con la aparición de un robot gigante que quería eliminarnos, pueden ver un video grabado desde el escenario en Kungfoosion.
Foto @golmattEn resumen, un evento increíble.
Si quieren ver todas las fotos, entren aquí.