jueves, 2 de abril de 2020

Crónica MundoHackerDay 2020


Como ya es costumbre, otro año más volvemos a Mundohakerday. Esta edición se realizó de manera diferente, tuvo lugar en el Ifema y se realizó en dos días jueves 27 y viernes 28 de febrero.

En primer lugar empezamos directamente con una charla, la cual fue impartida por el futurista destacado Ian Khan, sobre la “Era de la confianza artificial”. En la cual nos comentaba que en apenas dentro de pocos años los ordenadores tendrán la misma capacidad que los humanos y podrán hacer lo mismo que nosotros.

Continuamos con la segunda charla del evento “El nombre es Ciberseguridad. Pero las consecuencias son físicas. Siempre” que fue impartida por Ramsés Gallego y hacía referencia a la falta de seguridad y al impacto que pueden llegar a crear los ataques informáticos. Mencionaba que hoy en día un atacante con  conocimientos informáticos es capaz de conseguir y vulnerar muchos de sus objetivos. 
La siguiente  pero no menos importante, fue impartida por Jaime Andrés Restrepo con “Lo que nadie te dijo antes de dedicarte al Bugbounty”  en la que con su experiencia nos relataba los casos más destacados y algunos de sus trucos a la hora de dedicarse al BugBounty. Nos daba recomendaciones sobre las dificultades con las que nos podemos encontrar y casos reales que le han pasado a él para intentar de alguna manera evitarlos y ser más astutos  a la hora de repórtalos una vez que hemos detectado el Bug.

Luego continuamos con la charla Pablo Teijeira con “Seguridad: del departamento del NO al departamento del "sí, ¡por favor!"” en la que nos ponía ejemplos sobre sucesos que ocurrían y ocurren por la falta de seguridad desde la antigüedad hasta la actualidad. Y una frase muy buena y que recomienda que más vale prevenir que luego intentar remediar. Que el tiempo que dediquemos a intentar prevenir problemas vale mucho más que luego intentar solventarlos cuando ocurran.
Para seguir tuvimos con nosotros a Gabriel Lazo cuyo nombre de la charla fue “Nuevos paradigmas tecnológicos, de la ciberseguridad y el cibercrimen” hablaba sobre la tecnología que se aplica actualmente en las empresas y como estas han cambiado gracias a ella. Hablaba también sobre el cibercrimen y la ciberseguridad lo importante que es hoy en día y donde entra el cibercrimen lo fácil que puede llegar a ser obtener datos o vulnerar nuestro objetivo omitiendo todas esas fases de un ataque y obtener todo esto haciendo búsquedas en el mercado negro.

Posteriormente hicimos una pequeña pausa.
Este año echamos en falta la participación de algunas de las comunidades.



Después del parón continuamos con Alberto Cartier con “Lee la mente” nos enseñaba como conocer mejor a una persona con el lenguaje no verbal.  Ponía ejemplos de cómo ese lenguaje nos puede dar pistas para conocer mejor a la persona con la que estamos hablando mediante expresiones corporales, micro expresiones faciales, gestos adaptadores e ilustradores.

Joel Serna Moreno con “Bypass of Air Gap environments”  nos hablaba de cómo es posible hacer un bypass de air gap y conseguir así una ex filtración de datos. Nos explicaba el concepto de Air gap, una medida de seguridad de red para garantizar el aislamiento de equipos físicamente usada en sistemas militares, controles industriales, centrales nucleares, aviación...

Otro año más, contamos con la presencia de Deepak Daswani cuya charla fue “Smart Things Hacking” que nos mostró las inseguridades de las cosas conectadas a Internet. Como siempre mostrando ejemplos en tiempo real, en este caso un ejemplo de cómo es posible hackear y obtener datos en un Smart TV de la marca Samsung e indicando que también es posible incluso hackear otras marcas de televisores.

Y como no, seguimos con Antonio Ramos con “Big little lies in Social Networks”  trata sobre como un estafador con las habilidades suficientes puede llegar a ser nuestro jefe, nos explica a través de Linkedin a ser un profesional de la estafa, sabiendo rellenar un falso perfil que no suele analizar nadie, pudiendo con esto saltarte toda una plataforma digital  y conseguir tu objetivo sin tener los valores que dices tener. Nos pone un ejemplo que realizo el mismo, creándose un falso perfil y consiguiendo con este una llamada para ocupar el puesto que decía poder ocupar.

Después de la charla de Antonio, realizamos otro descanso y proseguimos con Sara G. Antúnez que nos explicaba los ciberdelitos que se comenten en Internet, como las amenazas, relevación de secretos, estafas, usurpación de identidad, etc... y las consecuencias de los mismos. A su vez nos informaba de como estos se acogen a nuestra legislación. También nos indicaba como poder garantizar nuestra seguridad desde un punto legal.

Más tarde se dio paso a Daniel López Jiménez en cuya presentación nos demuestra que hay una gran parte manual a la hora de atacar un directorio activo y a no depender tanto de las herramientas manuales. Hacía hincapié en que es importante conocer en sí bien la información, del porque es importante esa información, obtener esa información como los usuarios del dominio, los equipos del dominio, los grupos, las OU y GPO, los Bosques o dominios de confianza y ACLS.

Para finalizar y terminar el día, acabamos con Leonardo Nve que nos mostraba un caso de una explotación real de vulnerabilidades de las cuales seguimos teniendo y que han sido detectadas desde hace varios años.

Al día siguiente se dieron lugar diferentes talleres, los cuales tenían un aforo máximo de 100 personas por taller. Estos fueron divididos en 3 salas:

En el primer taller contamos con Carolina Gómez y Marta Barrio con “Phishing to 2FA”. En su taller explicaban como analizar el contenido de un correo de phishing una vez que se ha recibido. Recomendaban el uso de un segundo factor de autenticación para proteger nuestras cuentas y por tanto, estar protegidos ante un phishing pero, que se mostrará cómo no es un método infalible con ejemplos en tiempo real.

Después nos acompañó Rafael Cerrato con la charla de  “La WiFi sin control no sirve de nada. Lo que deberías saber sobre seguridad WiFi”, en su taller nos fue mostrando el tipo de seguridad que se aplica en las Wifis y algunos ejemplos de cómo se puede vulnerar su seguridad y soluciones que se aplican para hacerlas más seguras.

Antonio Navas Casado y Víctor Flores continuaron con una interesante charla sobre, “Hackers Vs Skynet, la revolución del pentesting” en la que hablaban de los distintos entornos que podemos encontrarnos hoy en día. Nos comentaban ejemplos de las metodologías de defensa para descubrir y prevenir ante incidentes, Las maneras ofensivas que podemos tener como un pentesting o test de intrusión. Luego por otro lado dos ejemplos prácticos basados en casos reales, en el que era posible realizar una suplantación de identidad y otro ejemplo de ingeniería inversa de una apk y cómo es posible la escalación  de privilegios .

Seguimos con Pedro Candel  y su “Descubrimiento y explotación práctica de vulnerabilidades en dispositivos IoT”. El taller lo realizó de manera práctica aplicando la metodología OWASP del TOP 10 en IoT (Internet de las Cosas) en la que se trababa de descubrir y explotar las vulnerabilidades analizando las amenazas que estás suponen con los  riesgos y con los correspondientes escenarios de ataque.

Luego se dio paso al descanso, en la que se podía aprovechar para ver los stands de algunos de los patrocinadores y/o aprovechar el CTF que nos proponía la compañía de IMMUNE.

El CTF (Respuesta ante incidentes en las puertas de Mordor) para participar, lo primero que te daban es una serie de recomendaciones y seguido era necesario que trajeras tu equipo para participar. El CTF se trataba de realizar un análisis a raíz de una intrusión realizada por un atacante.  Y la misión era averiguar qué había pasado, como y donde había sucedido el ataque y proponer soluciones para que no vuelva a ocurrir.

Después de la pausa continuamos con los últimos tres talleres para terminar y seguimos ahora con Carlos Loureiro y su ponencia de “DefCon: “Machine Learning para Jack Bauer”. En ella nos mostraba el uso de técnicas de Machine Learning y como se pueden llegar a aplicar a la Global Terrorist Database (que es una base de datos mundial sobre terrorismo), con la finalidad de generar predicciones a nivel de Inteligencia que permitan identificar diferentes características de un atentado terrorista. Identificando así si es por una sola persona o un grupo, si se trababa de una acción o múltiples y si era un grupo terrorista el que comente la acción.

Al mismo tiempo y en otro taller vimos a David Conde con la presentación “DFIR – Real crime scene”, (Digital Forensics and Incident Response) Nos enseño como funcionan los escenarios de investigación dentro de un entorno tras un incidente de seguridad con casos prácticos y que tipos de acciones podemos llevar a cabo.

En otro taller paralelo seguimos con Manuel Blanco Parajón con “Hunting the wild” que en su charla nos contaba los incidentes  reales de un sample de un ransomware que secuestraba los datos y que actualmente seguía activo.Ya que no había muestras reales ni ninguna documentación que explicase como actúa y como se pueden descifrar estos archivos cifrados. En ella mostraba el proceso de ingeniería inversa que se aplicaba a esta familia de ransomware FLKR y mostrando como a partir de un volcado de memoria el poder recuperar todos los archivos cifrados.

David Marugán y su charla de “Introducción la radioescucha y SDR”: En su taller nos enseñaba que es un SDR, como realizar la configuración básica de un SDR  y posteriormente así poder usarlo para realizar escuchas y decodificaciones de señales. Nos mostraba también algunos de sus conocimientos sobre radioescucha y el espectro radioeléctrico y las herramientas utilizadas tanto software como hardware que se pueden utilizar.

Autor: Héctor Berrocal - CEH, MCP, CCNA, ITIL
Dpto. Auditoría