Este segundo día, un poco mas descansado y sin prisas me he levantado y después de un buen desayuno en el mismo hotel me he dirigido al auditorio para asistir a una jornada con ponentes muy dispares.

Las ponencias:

Finding stegomalware in an ocean of apps… por Alfonso Muñoz

Alfonso nos explica como un atacante puede esconder un Stegomalware en un APK para Android, su funcionamiento y si realmente es un riesgo para nuestro dispositivo. Este tipo de malware es capaz de esconderse en imágenes jpg y png de los APK, teniendo en cuenta que existen una media de 27 imágenes por APK existe una gran probabilidad de descargar una aplicación infectada usando esta metodología. Una vez instalada una APK infectada esta puede ejecutar código arbitrario en nuestro dispositivo. Al parecer Google Play no controla este tipo de malware ya que es muy difícil detectar, para ello deberemos desempaquetar el APK y analizar todas las imágenes buscando alguna variación «extraña» en los pixeles de la misma, los antivirus convencionales no detectan este tipo de infecciones, por lo que actualmente estamos desprotegidos ante este tipo de ataques, aunque nos ha mostrado algunas herramientas para deducir que aplicaciones son susceptibles de estar infectadas.

Investigando sobre los cortafuegos de aplicaciones web por Carmen Torrano

Una interesante charla sobre la tesi doctoral de Carmen donde cuenta su experiencia con un Firewall desarrollado para servidores Apache capaz de deducir mediante algoritmos de inteligencia artificial si se intenta hacer algún tipo de ataque en la pagina web, como SQL injection, nos ha mostrado el funcionamiento de su firewall nombrado WAF, con un ejemplo de tienda virtual donde se deben rellenar unos formularios para completar un pedido, la qual era vulnerable y se le podía realizar todo tipo de ataques, una vez leventado el firewall este automáticamente desautorizava la acción, yo personalmente voy a seguir de cerca su estudio, es muy interesante ya que puede prevenir y parar ataques sobre vulnerabilidades en paginas web.

WEBEX: Análisis de datos en bruto por Abel Valero

Webex es una herramienta on-line para e-learning y emisión de videos en directo o diferido, los cuales podemos proteger contra descargas para que tan solo se puedan visualizar on-line y fue a partir de un problema que tuvo perdiendo un contenido de Webex, encontró como saltarse esta protección. Cuando visualizas un video en Webex tanto si ha sido en directo o diferido, este se cachea en el directorio Temp del navegador, en su caso perdió estos archivos y con la ayuda de Digital Forensics Framework pudo recuperar estos archivos, pero una vez recuperados no tenían ningún sentido ya que no seguían ningún formato en concreto, alguno tenia contenido wav y otro en video pero no se podían reproducir, asi que recurrio a una herramienta para la reconstrucción de ficheros: Am3st1a con el que pudo juntar todos estos ficheros para convertirlos de nuevo en un video. Abel nos cuenta que realmente no ha comprometido la seguridad de Webex aunque de alguna forma se ha saltado la protección contra descarga de videos, interesante punto de vista de como se puede saltar una protección que no se ha hecho del todo bien.

Deep inside the Java framework Apache Struts (Str-SUCK-ts) por Julián Vilas

Julián nos ha explicado como Apache Struts ha sido y sigue siendo vulnerable tras muchos años, tanto en Apache Tomcat 7 y 8, se puede llamar a métodos via dcbase y accesslogicwave. Nos ha mostrado ejemplos de como se puede inyectar código infectado en el código de una pagina web alojada en Tomcat y como checkear si una web es vulnerable o no con cachemaxsize.

On Relaying NFC Payment Transactions using Android devices por Ricardo J. Rodríguez y José Vila

Una ponencia que me ha dejado un poco preocupado con la seguridad de pago por NFC ya que esta se puede ver comprometida fácilmente con un simple teléfono Android con NFC. Nos han demostrado como desde un Android con NFC justo al lado (o a 15 metros) de una tarjeta de crédito este puede negociar con ella como si de un terminal TPV se tratase y enviar todos estos datos por cualquier tipo de red (por ejemplo 3g) a otro dispositivo Android con NFC al lado de un TPV y realizar un cargo a esta tarjeta directamente al TPV, como si de un man in the middle se tratase. Relmente escalofriante que esto se pueda hacer, los bancos tienen un duro trabajo por delante para evitar este tipo de fraudes.

Desmitificando Apple Play por Sebastián Guerrero

Sebastián nos ha demostrado como se puede acceder a los ficheros de los touch id de un dispositivo IOS (siempre y cuando el dispositivo esté rooteado) una vez accedemos a estos ficheros podemos desvirtuar o invalidar los mismos, llegando a poder usar cualquier «parte del cuerpo» para desbloquear el dispositivo, acceder a Dropbox o cualquier otra herramienta o incluso aceptar un pago. Nos explica que esto tan solo se puede hacer si se tiene acceso físico al terminal y además esta rooteado, por lo que es una vulnerabilidad curiosa y poco peligrosa, pero ha demostrado que las aplicaciones realmente no tratan de mejorar su seguridad gestionando directamente las huellas, sino, que se fian de la base de datos del propio dispositivo y si esta se ve comprometida a la vez las aplicaciones se verán comprometidas.

Rojos y Azules: dos equipos con distintos sabores por Alejandro Ramos

Sin duda esta es la charla que mas me ha gustado de toda la ponencia, Alejandro es un gran orador y sabe mantener el publico atento en todo momento, además su idea de hacernos participar de forma activa mediante una enquesta que podíamos ir respondiendo desde el dispositivo mobil ha dado un valor añadido y una sensación de participación activa en la ponencia. ¿Qué significa Red y Blue team? Con esto se ha referido a los que se encargan de comprometer la seguridad (Red) y a los que se dedican a realizar contramedidas para protegerse de ataques (Blue) el objetivo de la ponencia es hacernos ver con que nos sentíamos mas identificados, además de darnos muy buenos ejemplos de como se puede atacar y proteger. Ademas nos ha explciado cuales son los 6 ataques mas usuales según su punto de vista. 1- Credenciales, ataques contra las credenciales, contraseñas poco robustas o cadencia de ellas, etc. 2- Aplicaciones vulnerables, no parcheadas, servicios comprometidos, etc. 3- Ataques de red, redirección de puertos, man in the middle, ataques por ipv6, etc. 4- Privilegios, mala gestión de los privilegios de los usuarios, acceso a privilegios de administrador y posibilidad de ejecución de código arbitrario. 5- Infiltración / Exfiltracion, todos los ataques en que se puede acceder por una puerta trasera y robar información. 6- Esta ha sido por votación popular y la verdad no me ha quedado claro ya que han habido entre varios trolls, muchas opiniones dispares.

 

El tiempo en mis manos por José Selvi

José nos hace subir en su Delorean del SSL para obligar al sistema hacer que crea que una sesión SSL esta caducada (o no…) hay una etiqueta en las sesiones SSL denominada «max-age» que se encarga de dar una caducidad a la sesión, a veces puede ser de horas o de días, y esta nos obliga a navegar mediante https durante todo este tiempo si no se renueva la sesión, para saltarse estamedida es tan fácil como cambiar la fecha del ordenador hacia el futuro y automáticamente esta sesión caduca y nos permitirá navegar por http. ¿Cómo nos pueden comprometer? Si caemos victimas de un man in the middle, este nos puede hacer forzar la navegación por http y además sin que nos salga la típica advertencia de falsa emisión de la SSL, pues ha conseguido realiar un NTP in the middle que además es capaz de modificar la hora del ordenador de la victima y obligar a caducar la sesión SSL.

Ingenieria inversa de circuitos integrados por Eduardo Cruz

Eduardo nos cuenta su experiencia realizando ingeniería inversa en microprocesadores y como se puede llegar a las tripas del mismo y descubrir sus circuitos y funcionamiento. Después de advertirnos de que no lo hagamos sin un entorno adecuado, nos explcia que podemos rebajar las capas del material que recubre el microprocesador con procesos químicos muy peligrosos y llegar a ver todo el circuito desde un microscopio y digitalizarlo en una imagen de alta resolución. Una vez digitalizada, con photoshop se pueden trazar todas las conexiones y transistores internos para posteriormente exportar este mapa a un software de emulación de circuitos electrónicos como Magic y realizar ingeniería inversa sobre el. Nos ha contado que para descubrir el funcionamiento de un chip de los años 90 ha tardado varios mese, todo un reto de ingeniería y un logro que aplaudo.

Fin de la jornada

Hoy he conocido mucha gente con mucho potencial, de los cuales se puede aprender mucho, he descubierto que en las RootedCON no solo se puede aprender de los ponentes, hay muchos asistentes con un gran potencial y que me han enseñado y abierto los ojos en muchos temas de seguridad de los cuales no conocía bien o incluso desconocia completamente. Como anécdota, mientras estaba en el Stand de 0xWord mirando de comprar un libro de Ataques en redes de datos IPv4 e IPv6 por mi lado ha pasado Chema Alonso que se ha sentado un momento a firmar un libro diciéndole a una compañera, me tengo que ir ya que voy tarde, aunque me sabia mal por el, he pensado que una oportunidad así no pasa siempre y he cogido el libro, sin ni siquiera pagarlo, ha sido gracioso, porque la vendedora me ha dicho ¡pero hay que pagarlo!, y yo ¡si si pero espera un momento, yo te lo pago! y me he ido a ver a Chema para ver si me lo podía firmar, me ha hecho un dibujo «con amor maligno» le estoy muy agradecido por perder este minuto y dedicarme el dibujo, de verdad, muchas gracias Chema.