Cómo cada año, a principios de este mes de Diciembre, los días 10, 11 y 12 se celebró en Barcelona la No cON Name (NcN) el congreso de seguridad informática y hacking más antiguo en España, que reúne tanto a nuevas promesas del sector, expertos, así como a profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software.
El jueves 10 de Diciembre se celebró como cada año, el concurso Captura de Bandera (CTF) para que equipos de todas partes del mundo compitieran. El concurso lo formaron 8 equipos, con un máximo de 4 integrantes.
Fue una CTF de alto nivel en el que a lo largo del día fueron saliendo las diferentes pruebas que se debían solucionar. Después de más de 10 horas de competición, el "equipo" ganador fue L3s con 870 puntos, 50 más que los segundos clasificados. Sorprendentemente, este “grupo” sólo estaba formado por un integrante de origen francés.
Para los más curiosos ya se han publicado las soluciones de algunas de las pruebas.
http://www.haibane.org/node/39
También tuvo lugar el jueves, de forma simultánea, las jornadas de formación. Ocho horas bestiales de inyección de conocimientos. Este año las formaciones fueron “Ingeniería inversa en Sistemas Windows” de la mano de Ricardo Rodríguez y "Metasploit Labs Pentesting" de la mano de Pablo González
Los dos días posteriores se realizaron las charlas y talleres. Este año, como en los anteriores, tuvimos el placer de asistir a charlas de grandes ponentes.
El congreso empezó de la mano de Ruth Sala, quien nos introdujo en el mundo penal del gaming penal y prevención de riesgos en las empresas TIC, una charla que abordaba los aspectos más importantes de la nueva legislación penal que responsabiliza a las empresas que hayan sufrido el robo de datos confidenciales de sus clientes.
El ponente Mario Díaz, nos deleitó con una de las mejores charlas de la NCN, Click and Fraud, donde empezó exponiendo una serie de aplicaciones y sitios web para ganar dinero a través de la compra-venta de clics y acabó con una breve explicación de cómo usarlas fraudulentamente para ganar todavía más dinero de manera relativamente anónima.
Justo después Pau Oliva dio una charla sobre los distintos Trusted Execution Environments usados en Android repasando su funcionamiento y dejando evidencia de que no son tan "Trusted" como deberían.
Después de la pausa para comer asistimos a dos workshops más: "CERT/CSIRT's tools: Con las manos en la masa" por Borja Guaita, donde nos mostraron una serie de herramientas OpenSource (RTIR) personalizadas para ajustarse a las necesidades de los CERTs. Y "IoT yourself: hack your home" donde Fran Quinto daba varias vueltas de tuerca a su Raspberry Pi.
La jornada acabó con la charla "BadXNU - rotten apple!" del portugués osxreverser donde hizo volar por los aires eso de que OS X es una plataforma segura, con demostración incluida de un par de 0 Days.
El sábado, pudimos asistir entre otras a la presentación "Técnicas OSINT para investigadores de seguridad". Fue la primera conferencia del sábado, impartida por Vicente Aguilera Díaz, que realizó un workshop en el que describía la relevancia que tienen hoy en día las fuentes de acceso público, en especial para adquirir inteligencia que ayude en la toma de decisiones informadas en ámbitos muy diversos. Sin duda, las redes sociales juegan un papel destacado entre dichas fuentes.
Tras una breve introducción al proceso OSINT, Vicente presentó diversas herramientas utilizadas habitualmente con esta finalidad. Entre ellas, presentó su herramienta Tinfoleak para el análisis de información en Twitter (anunció la próxima liberación de una nueva versión con interesantes novedades), Maltego, Recon-ng, theHarvester, así como otros muchos servicios disponibles de forma online.
La parte más interesante de la presentación tuvo lugar cuando presentó diversos ejercicios prácticos en los que había que obtener información muy concreta utilizando únicamente fuentes abiertas de acceso público. Fue aquí donde los asistentes interactuaron proponiendo su visión sobre cómo resolver cada uno de los problemas planteados en dichos ejercicios.
Posteriormente fue la presentación de David Sancho “Cuando la esteganografía deja de ser cool”. Su presentación causo impacto, la forma como se puede incluir información dentro de una imagen BMP o PNG y las nuevas técnicas que se están utilizando para incluir malware dentro de una imagen en principio inofensiva, estuvo jugando al gato y al ratón y demostrando que tan vulnerables podemos llegar a ser ante este tipo de ataques.
Sebastián Guerrero presento su charla con un extraño título, “Mi aplicación es una cebolla doctor. Ayúdeme” sin embargo a medida que se produce su exposición uno se da cuenta que es un título bastante acertado. Mostro infinidad de pruebas y de test de las distintas herramientas y métodos que existen en el mercado para blindar el código de aplicaciones y evitar reversing, evaluando pros y contras de cada uno de ellos.
Como nota curiosa de estas jornadas, al día siguiente la universidad de La Salle, lugar elegido para realizar el congreso de este año, se despertó con el futbolín que tienen en una de las salas de comer hackeado. Cabe decir que dicho futbolín está cubierto por una gran tapa de metacrilato, aún así los alumnos se encontraron con uno de los muñecos del futbolín desmontado desde dentro, en una zona inaccesible y un cartel sobre él que indicaba "Futbolín Hacked".
En paralelo a las conferencias se desarrollaron los talleres de la Hackathon, dedicados este año a la ingeniería inversa y las técnicas de pen-testing de aplicaciones con Radare2 y Frida, a cargo de sus creadores Sergí Alvarez y Ole André Vadla.
Por un lado, Radare2 es un popular framework para reversing, y por otro, Frida es una herramienta de análisis dinámico que permite insertar código Javascript en aplicaciones en tiempo de ejecución. Sergi y Ole mostraron como compilar, probar y en definitiva utilizar ambas herramientas en conjunto sobre aplicaciones nativas de Windows, Mac, Linux, iOS y Android.
Autores: Débora Pinto - CEH, Óscar Mira - CEH, Javier Pousa, José Domingo Carrillo, Luis E. Benítez.
Departamento de Auditoría
