Defcon aterriza en Las Vegas

Estoy en Defcon, con una gran multitud de hackers dispuestos a compartir sus conocimientos. Está repleto de gente como siempre, pero la nueva ubicación en el Hotel Rio es una mejora muy bien recibida. Las Vegas está tan caluroso y excéntrico como siempre. Nunca es aburrido.

Tuvimos charlas muy interesantes, y quisiera destacar algunas de mis favoritas.

La charla de Moxie Marlinspike; “SSL y el Futuro de la Autenticidad”, sobre los defectos del sistema de las Autoridades de Certificación, nos abrió los ojos a cuán débil es este sistema. Como siempre, Moxie es un conferenciante animado y acertado, y su solución se basa en un sistema distribuido con múltiples autoridades que verifiquen el sitio al que te estás conectando. Aunque todavía hay unos detalles que pulir, es una idea interesante y ya es hora de separarse del modelo actual.

Otra charla, “UPnP Mapping”, a cargo de Daniel García, trató sobre un problema muy expandido en Internet. UPnP (Universal Plug and Play) es un sistema de interoperabilidad desarrollado por Microsoft, con la idea de que los dispositivos se pueden agregar a una red sin instalar nada. Nunca ha funcionado muy bien, y en el peor de los casos permite que desconocidos obtengan todo tipo de información sobre tu dispositivo de forma remota por Internet. García demostró una herramienta que permitía escanear un bloque de redes, crear una lista de routers vulnerables y hasta emitir comandos. En algunos casos, estos routers se podían usar como un proxy abierto o con otros propósitos maliciosos.

Por último, la charla “El Chip y Pin es sin duda vulnerable” de Andrea Barisani, Adam Laurie, Zac Franken y Daniele Bianco nos enseñó sobre las fallas en la implementación que se usa en tarjetas de crédito con un sistema de chips para autentificar las compras. Los presentadores crearon varias piezas de hardware para destruir cada parte del esquema de autentificación y tocaron el tema de los clonadores de tarjetas de crédito, también conocidos como “skimmers”. Terminaron la charla con una demostración en la que burlaron el sistema de pagos Square transfiriendo dinero de una cuenta a otra al convertir la cadena de números en señales de audio.