Los días 18, 19 y 20 de noviembre se celebró el congreso de No cON Name1 en las instalaciones de Cibernarium del Ayuntamiento de Barcelona en Nou Barris. En esta ocasión, se realizaron las jornadas de “Privacy and Net Neutrality Track”, que incluyó charlas sobre privacidad, y las jornadas de “Cybersecurity Track” que agrupó las charlas relacionadas con Ciberseguridad. Como novedad respecto a otras ediciones, se han añadido los “Villages”, actividades en grupo para compartir conocimientos de manera más práctica en grupos pequeños durante el Cybersecurity Track.
Privacy Track
El “Privacy Track” tenía como objetivo la divulgación y concienciación sobre temas de comunicaciones seguras y anonimato en la red. Se empezó con la charla “Vigilancia Silenciosa: Lo Que el Cifrado No Esconde” donde se mostró como el cifrado de las comunicaciones no proporciona absoluto anonimato. La segunda conferencia fue “El poder de GPT: la nueva Fuerza Ideológica Global” en la que se mostró una noticia muy reciente sobre un juicio en Estados Unidos que permitía entrenar una IA con contenido con copyright por lo que se puede entrenar con todo el volumen de información en internet. Con 200 millones de usuarios activos semanalmente CHAGPT ya posee una gran influencia en la divulgación de información que puede llegar a manipular el pensamiento de la gente.
Se procedió con “¿Quién hay detrás del escándalo de Pegasus en el Estado español?” donde una de las víctimas relató su experiencia y como en la actualidad existe el “Crime as a Service” a través del cual empresas privadas realizan espionaje a dispositivos smartphones. Una ponencia llamativa fue “Anti-censura en TOR” presentada por un programador de TOR2. Es conocido que TOR se usa para el anonimato y privacidad en la red, pero también para evitar la censura en algunos países con fuertes restricciones. ¿Qué pasa cuando estos países censuran el uso de TOR? Pues de ésto trataba la charla, de cómo se evita la censura de TOR utilizando herramientas como los “bridges de TOR”, Snowflake y Webtunnel. Como última charla del día, se expuso “Cómo la criptografía cuántica cambia la ciberseguridad”. En esta conferencia se explicó el desarrollo actual de una red entre grandes ciudades con criptografía cuántica que proporciona más seguridad. Entre otros, el funcionamiento de dicha criptografía se basa en los estados de los fotones y afirman que, por eso, resulta imposible interceptar la comunicación y replicarla sin ser detectado.
Cybersecurity Track
Iniciando con los Villages, el segundo día del congreso, se elaboró el “Village: Wordpress Security - Seguridad WordPress: users, developers, systems” donde se puso en práctica cómo hacer más seguro una página Wordpress y varios ejemplos prácticos de ataque y defensa. Por la tarde, se realizó el “Village: Threat hunting and Malware analysis” donde se enseñó cómo detectar amenazas y analizarlas para extraer comportamientos y mejorar los sistemas de defensa como SIEM o SOAR. El último día se efectuó el “Village: Red Team” que los formadores tuvieron un pequeño problema, pero se adaptaron y mostraron un ejemplo con explotaciones avanzadas de entornos MSSQL y el uso de la herramienta “Pentest Collaboration Framework3”.
Volviendo a las charlas, el segundo día comenzó con “JiraConf exploitation & post-exploitation” que explicaba las diferentes técnicas que se pueden usar en el software Confluence tanto para la parte sin permisos como la escalada de privilegios y posibles movimientos laterales. A continuación se brindó “BadExclusions Don't turn your EDR into Gruyere cheese” donde los conferencistas mostraron su herramienta “BadExclusionsNWBO4” para detectar las carpetas que los EDR tienen como exclusión, y conseguir a través de este vector la evasión del propio EDR. Como nota importante, muchas de las veces que se puede aprovechar es debido al uso de “wildcards” en las rutas de exclusión. A continuación, hubo un debate (conocidos como mesa redonda) “No future. ¿Seríamos soberanos en caso de conflicto global?” donde se habló sobre incidentes recientes como el de CrowdStrike, también del panorama en referencia a ciberseguridad sobre Europa con el resto del mundo y como está España en particular entre otros temas.
A continuación se presentó una herramienta en “Identifying Runtime Libraries in Statically Linked Linux Binaries with MANTILLA5”, que permite analizar malware con machine learning a través de sus comportamientos y librerías. Justo después de la conferencia, liberaron la herramienta en github. Como última presentación del segundo día tuvimos “Unveiling a New Botnet - Diving into the Unknown”, una charla muy interesante, en la que se expuso un caso real relacionado con la desarticulación de una Botnet. Se detalló paso a paso la investigación e incluso las vulnerabilidades que presentaba el servidor de control de los ciberdelincuentes.
El último día se inició con la presentación “Ciberseguridad para lo que queda de 2024” sobre temas legales a nivel europeo como la DSA, CRA DMA NIS2 y AI ACT. Se expuso sobre derechos digitales y obligaciones por parte de las empresas para el cumplimiento de leyes nuevas referente a ciberseguridad, IA y servicios digitales entre otros. La exposición que vino a continuación fue “AI + User Input = Problems! Real world examples” donde se detalló un caso de una versión de IA que, a través de una librería vulnerable, se podía obtener acceso al servidor que alojaba la aplicación. También se comentó el OWASP TOP 10 de aplicaciones LLM6. Seguidamente, una charla para analistas de SOC “Capriware Ransomware: Ransomware in ESXi and How to Monitor and Prevent It” en la que se mostraron los resultados de una investigación de un malware que afectaba a servidores ESXi y cómo defenderse de estas nuevas amenazas que van surgiendo.
En la recta final se mostraron los resultados de “Enhancing Cybersecurity Intelligence through Machine Learning: Clustering and Forecasting Analysis of Honeypot Data” que consistió en el análisis de estadística de datos recolectados con 55 honeypots diferentes y clasificando según la gravedad de la amenaza que podía suponer cada ataque, el origen de la IP, el tiempo de interacción con el honeypot y otros datos. Y con broche de oro, se expuso “radare + scemu vs Bumblebee”, una presentación sobre reversing de malware donde a través de una muestra ofuscada, se lograba obtener un listado de dominios que componían los servidores de control C2 (botnet).
Han sido muchas charlas interesantes y más contenido que ediciones, podéis encontrar todas las diapositivas de las charlas de este año en su Telegram7.
Referencias
