Crónica RootedCon 2013: Día 2


Ya se ha acabado el segundo día de la conferencia y es hora de resumir lo que ha sido el día de hoy.

Las mañana ha empezado con la charla de Andrés Tarasco y Miguel Tarasco, donde han presentado la herramienta que están desarrollando para auditorías en redes Wireless, para la que ademas estan buscando colaboración para mejorarla, así que si estas interesado o quieres echarle un vistazo al proyecto puedes informarte en https://www.owisam.org/

En la segunda charla de la mañana Jesús Olmos ha presentado otra herramienta de auditoría llamada Chrome Hack. En este caso se trata de una extensión para Google Chrome para auditoría de aplicaciones web que permite bruteforce de formularios con wordlist, fuzzeo de directorios y varias opciones mas. La herramienta está en desarrollo actualmente y puedes acceder a ella en http://www.bitbucket.org/sha0coder

Tras el breve descanso de rigor tocaba la charla de David Barroso, en la cual se presentó un análisis de las extorsiones a empresas mediante DDoS, analizando diferentes herramientas que los extorsionadores utilizaban en países como Rusia o Alemania ademas de la metodología usada para tracear a estas mafias.

Como cuarta charla del día tocaba la charla que detrás de un extraño título - Ke ase android?- ocultaba un gran trabajo de investigación. El ponente, Sebastián Guerrero, al que ya pudimos ver en la anterior RootedCon nos presentaba un RootKit diseñado para Android con el que tomaba control total del dispositivo evadiendo cualquier tipo de control de seguridad del terminal al instalarse directamente en el núcleo del OS alejado de la capa de usuario que es donde se lleva a cabo los controles de seguridad.

José Luis Verdeguer - RootedCon 2013

Una vez comidos, José Luis Verdeguer desvelaba, en su charla "FreePBX for fun & profit", una serie de vulnerabilidades descubiertas en FreePBX que se están explotando en la actualidad y que suponen un grave perjuicio económico para las empresas con un sistema comprometido. Sin alargarme mucho, tras comprometer un sistema un atacante puede controlar totalmente el sistema de VoIP que gestiona y utilizarlo para realizar llamadas gratuitas, ademas de todos los problemas que conlleva para la empresa el rooteo de una maquina interna.

Como última charla Roberto Baratta nos explicaba como en su organización - Nova Galicia Banco - hacían frente al fraude electrónico partiendo de la base de que dicho fraude va a suceder. Además de mostrar los sistemas tanto tecnológicos como procedurales que utilizan para hacerle frente.

Para finalizar el día tuvo lugar el RootedPanel donde se trataba el futuro profesional y la formación de los profesionales en seguridad TI en el cual no se llegó a un consenso completo y hubo diferentes opiniones para todos los gustos.

Mañana toca madrugar de nuevo para asistir a lo que para mi gusto es el día mas fuerte de esta Rooted 2013 - aunque ya hayamos visto autenticas virguerías - así que ya sabéis mañana pasaros por Shellshocklabs de nuevo y tendréis un nuevo resumen de lo que fue el día.

0 comentarios:

Publicar un comentario en la entrada

ShellShock Labs es un blog dedicado a seguridad y hacking en general, un lugar donde buscamos que la gente participe con sus opiniones.

Síguenos




Posts Populares