3x CON de septiembre: Parte 1

Al estilo británico

Qué, dónde y cuándo: la cuarta edición de 44CON, la Conferencia Anual de Seguridad de Informática organizada por Sense/Net Ltd, tuvo lugar del 10 al 12 de septiembre en Londres, en un lugar cercano al centro de exposiciones Earl’s Court. Los geeks, a los que les gustan los monumentos históricos y a veces espeluznantes, pudieron dar un corto paseo y visitar un impresionante cementerio antiguo, uno de los Siete Magníficos de Londres.

El programa de este año estuvo copado con tres pistas de presentaciones, casi todas de una hora, sobre una amplia variedad de temas, desde ingeniería social hasta técnicas de explotación, desde monedas cifradas hasta amenazas loT y hackeo de GSM. Se realizaron simultáneamente talleres impresionantes en salones que tenían nombres conocidos, como AES, 2DES y Blowfish.

Insignia del 44CON: BusBlaster v3

La insignia de este año no solo es muy bonita, sino que puede ser muy práctica, al menos para los investigadores de hardware, ya que consiste en un tablero BusBlaster v3, especialmente diseñado para 44CON (puedes ver los detalles aquí). Esta pequeña joya puede usarse para programar y depurar dispositivos ARM incrustados.

Las charlas

Con tantas cosas sucediendo al mismo tiempo, fue imposible asistir por completo ni siquiera a un tercio de los actos. Además, el programa que se publicó en Internet no incluía la descripción de las charlas, así que en algunos casos elegir la pista correcta por adelantado fue una cuestión de suerte. Sin embargo, la calidad de todas las presentaciones fue tan alta que no importaba a cual asistías, ya que siempre terminabas con información nueva y valiosa.

Joshua J. Drake en el escenario

De las muy buenas charlas a las que asistí, estas son mis favoritas:

• “Investigando dispositivos Android con la ayuda de un ejército de droides”, por Joshua J. Drake (@jduck), en la que Joshua explicó de forma muy entretenida cómo y por qué construyó su laboratorio de investigación, capaz de someter a prueba más de 40 dispositivos Android al mismo tiempo. Quedé impresionada por el marco que Joshua inventó para manejar su “ejército de droides”.
• “A la caza de TR-069 Admins: manipulando ISPs”, por Shahar Tal (@jifa). Esta charla me interesó particularmente porque estoy investigando ahora amenazas contra pequeños dispositivos de red, como gateways residenciales (o routers para pequeños negocios), que en su mayoría utilizan el protocolo TR-069 para comunicarse con los servidores de autoconfiguración de los proveedores de servicios de Internet (ISP). Resulta que, y no me sorprende en absoluto, este protocolo tiene una protección muy débil y es muy vulnerable, y se puede explotar de tal forma que afecte a todo un conjunto de dispositivos. Y lo peor de todo es que el usuario corriente no puede hacer mucho para mejorar la seguridad de su red, incluso si tiene algunos conocimientos. La mayor parte de la culpa la tienen los proveedores de servicios de Internet y los fabricantes del hardware, a quienes parece no importarles los temas de seguridad…
• “Al servicio secreto de Su Majestad: GRX y Spy Agency”, por Stephen Kho and Rob Kuiters. Esta charla, bastante intrigante sobre cómo y por qué GCHQ hackeó al proveedor belga GRX, estuvo a cargo de los expertos del equipo KPN CISO y concluyó en el segundo día de la conferencia. La primera parte de la charla fue una descripción técnica del protocolo GRX, sus funciones y debilidades, y el tipo de información que puede filtrar; en la segunda parte, se mostraron los resultados de un “amplio análisis de red” que realizaron durante los últimos meses. Es realmente escalofriante que haya tantos dispositivos vulnerables y software *terriblemente* desactualizado en las redes de GRX.

Socializando en 44CON

Hacer contactos se hizo más fácil gracias a Gin O’Clock, un descanso de una hora en el programa de la tarde (en ambos días) que estaba especialmente dedicado a la interacción y socialización en un ambiente íntimo en el bar de la conferencia. Hubo un tradicional autobús rojo de dos pisos para ofrecer cerveza británica, sidra y Pimm’s; a todos los asistentes nos invitaron un vaso de gin & tonic.

Algunos de los materiales ya se han publicado y están disponibles en Slideshare.

En general, la experiencia fue fantástica y ¡esperamos ansiosos el próximo 44CON en 2015!