sábado, 8 de marzo de 2025

RootedCon 2025: crónica del tercer día

Tercera y última jornada de RootedCon 2025. Volví a llegar pronto, pudiendo aparcar muy bien, como los otros días. Además de desayunar estuve hablando un buen rato con otros de los amiguetes que siempre coincidimos en estos lares. 

APT: Aprendizajes de 12 años de joputeces

Antonio Sanz (@antoniosanzalc) dio la conferencia APT: Qué hemos aprendido tras 12 años de joputeces. 

RootedCon 2025 - Antonio Sanz
RootedCon 2025 - Antonio Sanz

Empezó presentándose. Ha hablado del HPS y nos informó que contaría cosas, pero sin dar detalles específicos para evitar problemas legales. También insistió en qué es un incidente y un grupo APT. Un incidente no es un nmap o nessus. Son "avanzados" (la 'A') cuando hace falta. A veces son finos y otras veces son muy torpes. A lo largo de la charla estuvo contando casos reales de intrusiones, accesos en los que les llegaron a cambiar la contraseña de administración... La 'P' de "persistencia". Si estás en la lista de la compra, lo estarás siempre. Y la 'T' de "threat", amenaza. Al final los grupos APT tienen recursos, tiempo y conocimiento. Para el CCNCert el APT está en lo más alto en gravedad y peligrosidad. Siguió con los aprendizajes: todos podemos ser objetivos (directos o indirectos), se conocen la infraestructura y los usuarios, juegan sucio y con toda la artillería, tienen mucha paciencia aunque son incansables. Lo siguiente fue contarnos la prevención: parchear en tiempo y forma (vigilando los trastos perimetrales). Los directorios activos a lo largo del tiempo van guardando mierda, y se queda en la base de datos del AD, a colación de un caso donde se la llevaron. Después nos dijo que el bastionado funciona. La detección es que cada vez los malos usan menos malware, e intentan pasar lo más desapercibidos posibles y les encanta el correo electrónico, lo que hace que la impersonacion sea nuestro menor enemigo. La GUI dev gestión de correos no da toda la información, lo que sí que hacen los scripts powershell. Los EDR ayudan mucho, y dan mucha información. Las aletas tempranas son importantes y a los organismos completamentes hay que hacerles caso. A la hora de comunicar el incidente no se usa el mismo medio de comunicación fuera del afectado. Hay que forzar medidas. No obstante, los malos también cometen errores, pero nosotros también. Esto es un trabajo en equipo. 


Incident handler por vocación

Diego Cordero estuvo contando Incident handler por vocación.

RootedCon 2025 - Diego Cordero
RootedCon 2025 - Diego Cordero

La charla iba dedicada para los equipos de incident handler. Estuvo contada a nivel personal. Empezó presentándose. La respuesta a incidentes es importante la parte técnica, pero también la psicología porque hay personas afectadas que pueden sufrir. Los que responden pueden acabar agotados con una mala alimentación mientras están resolviendo la situación y eso puede afectar al resultado. No es un gasto tener un equipo de respuesta, es una inversión. Estas brechas tienen su impacto mediático. Sin olvidarse las infraestructuras críticas como los hospitales. Hay unas expectativas de soluciones inmediatas pero hay que saber hacer las cosas con tranquilidad. Siempre está la presión del tiempo. Solo hay que fiarse de las evidenciar que se ven. El estrés provoca mayor propensión a los errores por fatiga, se es más visceral en la toma de decisiones y se provocan tensiones en el equipo de respuesta. Explicó un modelo de decisión en 3 pasos. También hay que tener un buen procedimiento estructurado, hay que ser capaz de repartir los roles, sin olvidarse de hacer pausas programadas. Habló de habilidades intangibles y de los problemas que da la fatiga. Además de reducir los problemas del agotamiento también es muy importante la cultura de equipo. Sin olvidarse de los debriefing. 

Después nos fuimos al descanso, ocasión para pillar una concha Codan.

Image-Based cryptography 

La ponencia Image-Based cryptography, an image worth a 1,000 (pass)words la presentó Jordi Puiggalí.

 
RootedCon 2025 - Jordi Puiggali
RootedCon 2025 - Jordi Puiggali

Las contraseñas se están usando para todo, con toda la complejidad que hace falta. Contó los pros y contras. Después enumeró soluciones como los gestores de contraseñas. A continuación explicó la alternativa (o complemento) de usar una imagen. 1 megapixel de información da mucha robustez. Contó los usos típicos: esteganografía y la criptografía visual. Describió como funcionarían cada una de ellas y sus pros y contras. Después contó cómo generar una clave para cifrar con imágenes. Buscan que aunque se comprima, se le ponga filtros o marcas de agua siga funcionando. Y otras propiedades como que no se detecte que esa imagen se está usando como clave aunque sea una imagen pública. Más adelante mostró su propuesta, tanto en características como en el cómo se haría. Trabajan en el dominio de las frecuencias para tratar la imagen. Una vez se tiene que clave, a la información del secreto se le pone un código de redundancia cíclica. Con todo eso explicó la codificación y la decodificación. Es muy importante recuperar todos los bits: un solo bit falla y no se recupera la información. Después puso varios ejemplos. Acabó con un resumen y los casos de uso. 

Military flipper  

La charla Military Flipper: dispositivos maliciosos y buses de datos en activos críticos la dio Mario Delab.

RootedCon 2025 - Mario Delab
RootedCon 2025 - Mario Delab

Nos contó que iba a ir dirigida a aeronáutica. Después de presentarse hizo un sumario de lo que quería contar. Explicó el estándar de comunicaciones entre dispositivos de aviones MIL-STD-1553 relacionado con la confiabilidad. Hoy día no se instala solo en aviones, por lo que también está en drones, satélites, etc. Después explicó los componentes del bus, monitor del bus y el terminal remoto. Hay tres tipos de mensajes: comandos, datos y estados. No quiso dejarse en el tintero los sub-protolos. Más adelante siguió con la seguridad: se buscaba más la tolerancia a fallos y a la confiabilidad más que la seguridad, por lo que es susceptible a DoS y MiTM. Aunque se pueden usar IDSs, no siempre es viable, además que los ataques siempre son locales pero físicamente hay que conectarlo al bus. Enumeró la confidencialidad, integridad, disponibilidad y autenticación. Poco después enumeró los posibles ataques. Siguió hablando del flipper zero y el escenario. Hace falta una conexión física y unos ataques programados. En ese punto estuvo explicando el módulo software para flipper que ha desarrollado y qué cables y adaptadores que ha usado. Además, nos dio un listado de ataques programables que tienen listos. Hubo dificultades para que nos mostrara la demo. El soporte IA está orientado a la defensa local. Con una Raspberry tiene más medios y posibilidad de usar otros lenguajes. 

La libertad de expresión en las redes sociales

Borja Adsuara fue el encargado de dar esta charla: La libertad de expresión en las redes sociales en la Era de Trump y Musk.

RootedCon 2025 - Borja Adsuara
RootedCon 2025 - Borja Adsuara

Los abogados se preocupan de las leyes, y analizan los fallos del código jurídico. Además, nos pueden defender de los ataques a los derechos y a otras leyes. La libertad de expresión se ha visto perjudicada con la compra de Elon Mask de Twitter. Y la Unión Europea está preocupada. La suspensión de las cuentas de Trump la debería de haber hecho un juez, no la propia red social. Después contó varias noticias sobre cómo la Comisión Europea ha reaccionado con temas legales de X y Meta. Más adelante ha explicado los orígenes de la regulación y procedencia histórica de la libertad de expresión y por otro lado de las redes sociales. No es lo mismo verdadero que veraz. Habría que buscar que han intentado ser falaces. Según los contenidos, no habría que borrarlos por ser inadecuados, sino etiquetarlos. Estuvo enumerando distintas leyes tanto de EE.UU como de Europa o España relacionadas con el derecho a la expresión y la retirada de contenidos por parte de las empresas y si pueden o no afectar a la libertad de expresión. 

Y con esta charla, finalizó la RootedCon 2025

RootedCon 2025 - Equipo de la organización y voluntarios
RootedCon 2025 - Equipo de la organización y voluntarios

Un año más, ha estado genial. ¡Espero veros en las siguientes ediciones!


viernes, 7 de marzo de 2025

RootedCon 2025: crónica de la segunda jornada

Hoy he vuelto a amanecer pronto en el Kinépolis. Después de desayunar, he estado un buen rato con Víctor, hablando de cómo nos va, a qué nos estamos dedicando ahora.

Spring Dragon al descubierto 

Mark Rivero (@seifreed) nos expuso Spring Dragon al descubierto: diez años de espionaje estratégico 

RootedCon 2025 - Mark Rivero
RootedCon 2025 - Mark Rivero

Hubo una broma de Mark para Arantxa y Román. Después, empezó su charla. Primero hizo la introducción con la historia de una infección en un sistema con un correo que invitó con una urgencia a abrir un fichero. Siguió describiendo qué es Spring Dragon. Se sabe que están activos desde 2012. Hacen ataques a infraestructuras críticas e instituciones oficiales. Utilizaban técnicas de evasión y persistencia. Ha enumerado distintas campañas durante muchos años, como por ejemplo, usando spear phishing. Entre otras razones, envíos de emails con contenido como mujeres muy atractivas. Las embajadas también podían ser víctimas, siendo estas afectadas. Cada una de las operaciones del grupo las ha ido describiendo con la empresa que lo ha descubierto, quienes son las víctimas y las características del ataque descrito. Después de describir muchas campañas, ha explicado cómo han destripado distintos binarios y sus módulos que han estado usando desde 2012 hasta la fecha, y toda la evolución y mejoras que los cibercriminales fueron añadiendo al APT. 

La caja de Pandora 

La charla La caja de Pandora: descubriendo los cimientos de la ciberseguridad por diseño la hizo Elías Grande (@3grander).

RootedCon 2025 - Elias Grande
RootedCon 2025 - Elias Grande

Empieza contando con qué espera que salgamos de esta charla. Hace una similitud de hacer un análisis tocando dos teclas y después hacer un informe de 50 paginas con mirar un capó de un coche y que nos den un presupuesto de 1.000 € sin haberlo abierto. Ha hablado de la regla del 80%/20%. Ha hablado de la dicotomía bug vs feature, y de quiénes son los que tienen conocimiento del negocio: arquitectos, analistas y desarrolladores. Nos ha hablado de ecosistemas conectados y problemas en el diseño y la infraestructura. Ha continuado hablando de la interconexión de sistemas y qué problemas pudieran surgir. Ha puesto un ejemplo de un sistema con su backend, logica y frontend. A continuación a hablado de KMS para explicar el cifrado de credenciales, de los datos de carácter personal antes de persistirlo, etc. Posteriomente, incluyó los WAF. El problema está en que poco a poco los sistemas se van quedando desactualizados a nivel de diseño. Hay que hacer una seguridad business-driven

Active Directory bajo ataque 

Después del descanso, la charla Active Directory bajo ataque: Auditorías concienciación y estrategias de Defensa la presentaron Joel Caro, Ramsés Gallego y Lucas Puga

RootedCon 2025 - Joel Caro, Ramsés Gallego y Lucas Puga
RootedCon 2025 - Joel Caro, Ramsés Gallego y Lucas Puga

La identidad es el principio de todo. ¿Quién tiene acceso a qué?¿Quién ha hecho qué? Es crítico saber quien. Y alrededor de eso, ha ido la charla. El directorio activo es muy importante y necesario para habilitar derechos, permisos y accesos. Si no se hacen bien las cosas, estará en jaque. Gran parte del malware va contra el directorio activo. Nos han dado estadísticas relacionadas con amenazas al AD, mala configuración, números de ataques, etc. Después explicaron ejemplos de empresas atacadas. Después han explicado por qué nos atacan según la psicóloga. Después de las motivaciones, han explicado la razón por la que atacan el AD, como por ejemplo, tener más poder, pasar desapercibido, acceso a datos sensibles, pivotar, infectar equipos, extenderse a Azure... A continuación nos han contado cómo hacen los ataques. Retomaron la psicología del ataque, en la que se aprovechan de sesgos cognitivos de las víctimas. Sabiendo cómo te van a atacar, te puedes proteger. Pusieron ejemplos de un ataque por fases contra el AD: acceso, explotación y post-explotación (donde se producen la mayoría de estos ataques), persistencia, compromiso. También están los ataques físicos como rubber ducky o flipper 0. En este punto mostraron una demo con flipper. Al finalizarla, enumeraron una serie de técnicas que unidas ayudan a protegerse: formación en seguridad, segmentación de red, gestión de contraseñas, parches, etc. Para protegernos han hecho una demo de AD VulnBuster que permite hacer una auditoría en tiempo real. 


Voces sintéticas, amenazas reales

Ignacio Brihuega (@n4xh4ck5) nos expuso Voces sintéticas, amenazas reales.

RootedCon 2025 - Ignacio Brihuega
RootedCon 2025 - Ignacio Brihuega

Ha empezado explicando por qué hizo esta investigación, en relación al "fraude del sí", ataques de vishing con MS Teams, clonación de voz, etc. Ha explicado la razón por la que alguien querría clonar la voz de otra persona: altas de servicios, autenticación de voz, etc. Se busca modular la voz en directo o tener una voz clonada. Posteriotmente explicó el TTS, text to speech, una voz plana. Y el speech to speech, que clona el timbre, pausas, etc. Nos mostró varios servicios de clonación. Más adelante explicó distintos ejemplos según de dónde procede la grabación (la muestra). En este punto mostró varios ejemplos de text to speech o speech to speech. Es muy importante aislar el ruido para que no interfiera en el proceso. De todos los ejemplos, nos hizo ver varios problemas como voces planas, o no poder mantener una conversación con respuestas reales. Describió una herramienta llamada pinoccio que reduce los problemas relacionados con las respuestas. Lo siguiente fue la conversación con una IA. En preguntas y respuestas se ha preguntado sobre clonación de voces sin permiso.

Al terminar esta charla me fui a comer y descansar un ratejo.

Mesa redonda: Tebas a quedar sin fútbol 

Participaron: 
  • Omar Benbouazza (@omarbv): Hizo de moderador 
  • Román Ramírez (@patowc)
  • Ofelia Tejerina (@OfeTG): Presidenta de la Asociación de Internautas y Dra. en derecho constitucional.
  • Tomas Ledo Guerrero (@toplus): responsable de Tecnocrática.
  • Javier Maestre: un abogado que está apoyando mucho en el asunto.
RootedCon 2025 - Omar Benbouzza, Román Ramirez, Ofelia Tejerina, Tomás Ledo y Javier Maestre
RootedCon 2025 - Omar Benbouzza, Román Ramirez, Ofelia Tejerina, Tomás Ledo y Javier Maestre


Inicio de la mesa redonda con la BSO de la Champions League. Entraron como futbolistas. Román contó la parte técnica de cómo funciona Cloudflare. A la pregunta a Tomás de si es posible que lo corten, debe de hacerse a través de un oficio judicial, no se cargan otros clientes. A preguntas a Javier, qué se puede hacer, explicó que LaLiga no tiene propiedad intelectual, por lo que ahora"han hackeado la ley; pues lo que tiene propiedad intelectual es la grabación". Seguió explicando un real decreto relacionado con lo que puede hacer LaLiga. Continuó leyendo varios auto judiciales. Se ha estado hablando del problema que se encuentran los operadores con que no pueden controlar el tráfico, y la neutralidad de la red. Ofelia recordó sobre cómo vivieron el tema de la SGAE en la asociación de internautas. Y que Cloudflare sí que responde a LaLiga, pero que les da igual. Le han colado un gol al juez, y ha faltado transparencia. "Tus derechos fundamentales no me importan" será lo que estarán diciendo los de LaLiga. No es un conflicto del mismo nivel. Román ha enumerado servicios, tanto colectivos en riesgo de exclusión, o docker, GitHub, etc que se han visto impactados por la situación. Habrá que buscar horas en las que se vea que no va a haber impacto. Van primero a por Cloudflare y después a por los demás. Hay personas que tienen que deshabilitar el CDN para que se pueda acceder a los servicios, y a la vez verse afectados. Pretenden cerrar páginas sin intervención judicial. También están cortando otros CDNs, es un ataque a la industria. Lo sagrado es la neutralidad de la red. O busca una solución a nivel de protocolo o estamos perdidos. Ofelia habla sobre los derechos fundamentales en juego, como por ejemplo opinión e información, tutela judicial efectiva. La propiedad intelectual no está al nivel de estos. 

Ciberseguridad industrial 

Jairo Alonso presentó Ciberseguridad industrial: una cuestión de estrategia.

RootedCon 2025 - Jairo Alonso
RootedCon 2025 - Jairo Alonso

 Empezó con la esencia de la charla antes de presentarse. No fue una charla técnica, ni presentó productos o servicios. Quería que fuera más un reflejo de la realidad. Nos habló de estrategia y resiliencia. Dividió cada explicación relacionando la parte corporativa con los entrenamientos (su parte personal). Después habló de la resiliencia: flexibilidad, adaptabilidad y la recuperación. Además de tener que lidiar con la dirección hay que lidiar con el personal de la fábrica. Después está el perfil OT, a la hora de hablar con el cliente, se sienten solos. También explicó las dificultades de entendimiento: el mundo de la seguridad IT Vs OT, también tienen problemas. También explicó que la disponibilidad es crucial. En un caso de DFIR no se puede parar la producción como se haría normalmente en un servidor en el mundo IT. Y así, nos explicó la meta a la que se quiere llegar. Cuando se llegue a la meta hay que llegar bien.

Ayuda DANA: iniciativa solidaria 

Tuve que salir un poco a descansar. Llegué con la charla ya iniciada, pero no debía de llevar mucho tiempo en marcha. La prepararon Toño Huerta y Jorge Hernández.

RootedCon 2025 - Toño Huerta y Jorge Hernández
RootedCon 2025 - Toño Huerta y Jorge Hernández. De fondo: instituciones voluntarias

Cuando llegué, Ximo estaba contando cómo vivió la famosa DANA de 2024. Su hermano y su sobrino de 10 años salvaron la vida de milagro. Necesitan una empresa para recuperar los datos de la tienda familiar, la cual quedó anegada, y por lo que entendí es (era) el sustento de la familia. Como su tienda, todas las tiendas han sufrido el mismo problema, además de la pérdida del género, la pérdida de los datos de los ordenadores que gestionaban cada una de las tiendas. Después Jorge y Toño empezaron a explicar cómo podían ayudar en ese sentido, pidiendo ayuda a mucha gente dispuesta a dar la ayuda. Intentaron hacerlo lo más fácil y sencillo posible. Estudiaron la disponibilidad de los voluntarios y como podían ayudar. También dieron instrucciones a los afectados para que la recuperación fuera posible y en el envío no se estropeasen más. Al ver la gente las instituciones y empresas involucradas (en la foto), confiaron y de ahí esta ONG hizo el formulario para que los afectados pudieran pedir ayuda. Han puesto de manifiesto e insistido que Román ayudó mucho. Mostraron un listado de todos los coordinadores. Presentaron a los alumnos del IES Jaume II de Valencia, que ayudaron a recuperar datos de discos. Los invitaron al escenario. Han acabado dando los números de las solicitudes que han acabado, en proceso y pendientes. 

IoT: Internet of Trolls

Adrián Crespo y Jesús Muñoz presentaron esta charla. 

RootedCon 2025 - Adrián Crespo y Jesús Muñoz
RootedCon 2025 - Adrián Crespo y Jesús Muñoz

Lo primero que hicieron fue presentarse. Está relacionada con la charla de Jairo. Empezaron a contar un proyecto de investigación. Dijeron que montaron un entorno real, para poder romper cosas. Y querían detectar amenazas IT y OT. Querían saber qué es IoT. Dependiendo de a quién le preguntaban la respuesta era una u otra. Después diferenciaron entre IoT y OT. Lo que les dejaron claro es que PLC no lo es. Así, contaron cómo se mezclan los nuevos retos. Además, ahora hay aparatos con IA que identifican matrículas de coches. Existen nuevas capas de seguridad. Después siguieron explicando virtualización de los dispositivos: dispositivos gemelos. Pusieron el ejemplo del router del operador, que se configura solo. Mostraron varios casos de uso. Después de explicarlos, explicaron la monitorización del IoT con dos casos: gestión de flota de vehículos. En estas slidesn mostraron una infraestructura de red tanto cableada como inalámbrica (satélite). Lo que montaron permitía gestionar y manipular controles del vehículo. Estuvieron explicando algunas de las manipulaciones que hicieron al coche. A continuación los peligros de ese tipo de conexiones. El otro caso fue el hospitalario. Además de los pros también explicaron los peligros. Entre otros, que haya un leak del paciente. Han acabado con las conclusiones. 

Laife get's better

Chema Alonso (@chemaalonso),  Laife get's better

RootedCon 2025 - Chema Alonso
RootedCon 2025 - Chema Alonso

Vuelve a las ideas locas. No todas son para ciberseguridad, pero en la presentación fue lo que hizo. Ha hecho referencia a la película Tron. Con la llegada de la IA lo que tardaba en hacer meses ahora lo hace en unos minutos. Puso de ejemplo su proyecto de fin de carrera. Integraron ChatGPT en un emulador de Amstrad. La siguiente película que ha mencionado es Blade Runner. Enlaza la película comparando la búsqueda de replicantes con la búsqueda de deep fakes. El producto: sentimetrics. Lo siguiente que mostró fue HashVoice, para detectar clonado de voz. Mostró otra película más: Interstellar. Relacionado con el sarcasmo y los LLMs. Han hecho pruebas con Aura y el sarcasmo (en pruebas). Otra película: Yo, Robot. En LLM el system prompt es como las leyes de la robótica. Pero se pueden saltar con inyección de prompt. Con esos robots de la peli, hay que pensar en qué se les puede hacer. Hicieron pruebas con el problema del prisionero. Ha mostrado varias pruebas en las que el policía debía identificar si los prisioneros se iban a fugar o no.  La última película: Terminator. Airgapping: pasar información entre dos equipos que no están conectados. 

Y aquí está la segunda jornada de RootedCon 2025. ¡Seguro que la tercera y última estará genial!

jueves, 6 de marzo de 2025

RootedCon 2025: Crónica del primer día

Empezamos el primer día como de costumbre, llegando muy pronto, saludando a todo el equipo y viendo a los amigos de siempre. 

Entrada RootedCon 2025
Entrada RootedCon 2025


Keynote

La inauguración fue de manos de Román (@patowc), Arantxa y Omar:

RootedCon 2025 - Roman, Arantxa y Omar
RootedCon 2025 - Roman, Arantxa y Omar

Explicó la historia y las razones por las que iniciaron el evento y qué esperan en un futuro: casi 15.000 personas. Cómo y qué han aprendido o cómo ha ido creciendo el evento, incluyendo la creación de los tracks. Nos han hablado de derechos y deberes. Han hablado de la Hackernight. Justo después nos han puesto un vídeo mostrando un "homenaje al pasado". Evidentemente, se han mencionado los patrocinadores. Y cambios en la organización, tanto en la web con una newsletter. Finalizando con una broma sobre LaLiga, Tebas y Cloufarre. Después entregaron el premio Raúl Jover 2025 a Ofelia Tejerina, presidenta de la Asociación de Internautas. 


Tarlogyc: Attacking Bluetooth the easy way

Miguel Tarascó y Antón Vázquez(@antonvblanco) de Tarlogyc: Attacking Bluetooth the easy way.

RootedCon 2025 - Antonio Vázquez y Miguel Tarascó
RootedCon 2025 - Antonio Vázquez y Miguel Tarascó

Han empezado contando cómo empezaron hace años la investigación sobre el protocolo bluetooth y una metodología que crearon (BSAM). Han continuado contado la situación actual: problemas con APIs desactualizadas, hardware específico (flipper 0), dongle genérico, específicos y las APIs muy especializada. Han buscado a través de BSAM cómo hacer algo lo más sencillo posible con el lenguaje de programación más cómodo para nosotros y con tu hardware más genérico que podamos. Han recordado la arquitectura hardware de bluetooth. Entre medias han mostrado un vídeo broma con la pistola de plástico que nos han regalado. Han continuado enumerando cómo instalar el driver que han publicado. Han hecho una demo. No se han olvidado las limitaciones, como que para ciertos ataques hace falta un hardware especializado. Después han seguido con el hardware avanzado, aunque lo deseable es que tenga mucha disponibilidad, lo que se necesite sea fácil de compra, que sea barato y que soporte los dos modos bluetooth: classic y BLE. Uno de los chips mencionados es el ESP32, que cubre todas las necesidades. Descubrieron que ese chip no se puede poner en modo monitor. Han explicado cómo han usado Ghidra para hacer reversing al firmware y qué han descubierto desde dentro, como una función interesante y comandos propietarios. Algunos que pueden, por ejemplo, cambiar la MAC del dispositivo. Se hizo una segunda demo. Ejemplos de ataques, por ejemplo, desde una bombilla inteligente. 

Después del descanso asistí a la charla de las SIMs

SIM-ply hacked

Esta charla la dieron Miguel Ángel de Castro y Maialen Zabala; SIM-ply hacked: visible, vulnerable and compromised.

RootedCon 2025 - Miguel Ángel de Castro y Maialen Zabala
RootedCon 2025 - Miguel Ángel de Castro y Maialen Zabala

Resumieron qué van a contar. Han empezado hablando de exposición Ha dado unas estadísticas de llamadas tipo vishing y otros tipos de ataques. Han continuado con el problema: mal configurado, que se accede probando contraseñas (tanto por fuerza bruta como sin ella) o empresas que exponen sus servicios a través de una tarjeta SIM. También está el problema de direcciones IP dinámicas que no se pueden identificar si son nuestras o no, y accesos a protocolos (RDP, FTP, SSH) sin control de contraseñas. Han seguido con los vectores de acceso fantasma. Las redes móviles usan CG-NAT. El problema está en que al poner la tarjeta SIM en el dispositivo se exponen sus servicios. Están, por ejemplo, los adaptadores para conectarse a internet desde el portátil, obteniendo una dirección IP pública. Y aunque se tenga el firewall, por ejemplo, RDP pudiera quedar expuesto. Han continuado con los adversarios, describiendo los tipos y algunos específicos. A continuación han explicado la caza y respuesta de los atacantes. Hay que buscar los eventos para estudiar cómo nos están atacando, por ejemplo, inicios de sesión fallidos. Han mostrado ejemplos de queries para buscar indicadores de compromiso. Hay que customizarlas para hacer las reglas específicas para nuestros casos para poder tomar medidas, incluso poderlas automatizar: un ejemplo podría ser bloquear la conexión o pedir un MFA. Han finalizado dando una serie de consejos. 

Los Cylons no roban datos...

Esta charla, los Cylons no roban datos, solo preguntan y tu IA responde, la expuso Pablo Estevan.

RootedCon 2025 - Pablo Estevan
RootedCon 2025 - Pablo Estevan

Su introducción es sobre cómo usan los atacantes la IA y cómo podemos protegernos. Por ejemplo, suplantación de identidad o la velocidad y escala de los ataques. Otros tipos de ataques como los relacionados con la manipulación del prompt o manipulación del entrenamiento para que tenga sesgos, entre otros muchos. Ha seguido con la explicación de la arquitectura de una IA y las amenazas de una aplicación que la tenga.  Ha mostrado varias demos de ataques. Algunos relacionados con conseguir información que no debería darnos o incluso tumbar el servicio de IA. Ha seguido con cómo podemos protegernos. Por poner uno de los ejemplos, control de los prompts o permisos de accesos. Nos ha mostrado una demo de un navegador web que protege de cosas como de copiar y pegar datos sensibles. Además, también está la remediación automática. 

Problemas de seguridad en robótica 

Esta ponencia la dieron Claudia Álvarez (@claudiacataplau) y Adrián Campanas (@gripapc)

RootedCon 2025 - Claudia Álvarez y Adrián Campanas
RootedCon 2025 - Claudia Álvarez y Adrián Campanas

Al empezar tuvieron problemas con el vídeo. Mientras, fueron enseñando por encima el robot que trajeron. Empezaron mostrando un robot militar teledirigido. Han descrito qué características tiene, como un GPS con una precisión de 1cm, sensores de profundidad, 4 cámaras y se opera con una aplicación Android. Además de tener puerto ethernet, USB-C, wifi propia y para tarjeta SIM. Pesa más de 50 kg, cuesta poco menos de 200.000 €. Aunque es de ámbito militar, tiene IP68 (polvo y agua), pero ellos lo usan para gestión de ganado y detectar amenazas como por ejemplo lobos. Han contado un poco para qué están estudiando este tipo de robots, y qué aplicaciones pueden tener: dar soporte a las personas, no quitar trabajos. En este punto pudieron mostrar las presentaciones en pantalla. Han nombrado el ROS2, un estándar de robótica de servicios. Permite abstraerse del hardware y solo centrarse en el comportamiento. Lo primero fue hacer el ataque perimetral: WPA-2 y credenciales hardcodeadas en la APK del móvil. Además, hay robots que no se pueden cambiar porque dejarían de funcionar. Otra demo en directo permite conectar un AP y crear una red wifi permitiendo acceder al robot desde su wifi. Para poder manipular el robot, hace falta un valor llamado ros_domain_id, y nos mostraron la ejecución del script para obtenerlo y como administrarlo con ese dato. Todo esto es sin autenticación habilitada: no estaban dentro del robot, sino desde la red. Han seguido haciendo más demos como por ejemplo deshabilitar el control de colisión. Han acabado con sus conclusiones. 

Estafas S.A

Josep Albors expuso Estafas S.A: Telekopye y la caza de mamuts.

RootedCon 2025 - Jodep Albors
RootedCon 2025 - Jodep Albors

Ha empezado explicando términos como mamut (victima), neandertal (atacante) y Telekopye. Este último es un bot de Telegram. Ha descrito cómo funcionan esos grupos y cómo reclutan a la gente. A veces hacen de vendedor en las que suplantan la pasarela de pago. Pero a veces hacen de comprador. Ahí es donde también hacen alguna suplantación del tipo de pasarla o forzar a que el vendedor use una mensajería para mandar el paquete pero siendo ese servicio falso. Dio detalles de cómo funciona Telekopye: campañas, pagos al atacante, etc. El contraataque está en las acciones policiales y las defensas que las plataformas han ido implementando. Nos ha mostrado varios ejemplos de cómo funciona el bot. Para finalizar nos ha recordado las acciones para protegerse.

Cuando Josep terminó, me fui a comer y descansar, aunque los tracks seguían. Eran las 15:30 y no tuve tiempo de parar desde el descanso.

0x800080: las dos caras de la IA

Ya, a las 16:30, me metí en esta ponencia, que la dieron Luis Suárez y Xavier Nogues.

RootedCon 2025 - Xaview Nogues y Luis Suárez
RootedCon 2025 - Xaview Nogues y Luis Suárez

Querían buscar cómo pueden trabajar los equipos de purple. Primero se presentaron. Para hablar de IA ha recordado los tipos de machine learning: supervisado y no supervisado. Después ha estado hablando de estadísticas relacionadas. Después ha seguido hablando de deep learning y natural language processing. Para poder pedirte al LLM crear un ataque nuevo, hay que ir un poco al pasado. Esa sería la parte ofensiva. En ese punto han empezado a hablar sobre detección de QRs (maliciosos) en correos. Si pidiendo algo al chat no quiere por seguridad, proposieron que se dividiera la solicitud pudiéndolo a trozos. Y ese fue uno de los ejemplos que pusieron: ocultar un QR en un correo. La IA no es solo lenguaje, puede ser también para reconocimiento de imágenes. Más adelante han estado enumerando detecciones de malware con machine learning. 

From RCE to Owned:: An AWS tale

Después de la merienda, Álvaro Villaverde y Andrés Botica empezaron esta charla. 

RootedCon 2025 - Álvaro Villaverde y Andrés Botica
RootedCon 2025 - Álvaro Villaverde y Andrés Botica

Después de presentar la empresa, se han presentado ellos mismos como ponentes. En un acompañamiento con un cliente encontraron un RCE en un AWS. Antes de seguir han contado cómo funciona el modelo de identidades en AWS. Uno de los objetivos es asumir un rol IAM. Han ido explicando cómo se hace de forma legítima. Después, cómo hacerlo de forma ilegítima. Después empezaron a describir su caso, tras lo cual hicieron una demo. Lo siguiente que contaron fue cómo determinar los permisos de un rol IAM, haciendo otra demo. También hicieron otra demo más para tirar de funciones lamda para seguir extrayendo información. Han hecho otra demo contra ECR consiguiendo elevar a admin. La siguiente sido la del abuso de IAM. Con la última demo ha accedido al panel de control vía web usando el usuario y contraseña obtenidos. Para finalizar han enumerado algunas mitigaciones. 

Máster de la Complutense 

Javier Domínguez ha presentado el máster de ciberseguridad de la Universidad Complutense 

RootedCon 2025 - Javier Dominguez
RootedCon 2025 - Javier Dominguez

Ha explicado el programa del máster en ciberseguridad muy rápido. Y nos ha mostrado los distintos profesores que participarán en él. Para muestra la imagen en la presento a Javier. 

Dark territory II

David Meléndez (@TaiksonTexas) y Gabriela García presentaron esta charla, Dark territory II: paralizando la red ferroviaria de alta velocidad.

RootedCon 2025 - Gabriela García y David Meléndez
RootedCon 2025 - Gabriela García y David Meléndez

Gabriela ha empezado dando contexto sobre lo explicado el año pasado. Ahora están haciendo una poc usando balizas ASFA. Crearon una baliza de estas, que cumple las especificaciones reales. Sobre el estándar mínimo de lo que tienen que cumplir, lo sobrepasa. Han estado mostrando cómo están instaladas en el suelo y en la locomotora. No funcionan por RF, sino por inducción. Realmente son bovinas que "contactan" con la del tren. Han mostrado un vídeo en directo para hacer la demo. "La baliza es un alambre enrollado en un cartón". Hay que conseguir que obtenga la frecuencia que buscamos y lo difícil que es afinarla. En el casero, no hace falta poner un condensador que las originales sí que les hace falta. La siguiente baliza que nos mostraron fue ERTMS/ETCS.  Se supone que tiene que sustituir a ASFA y que son interoperables. Estas nuevas son digitales, y eso significa que son vulnerables. También se las llama Eurobalizas, son como tags RFID enormes. Fundamentalmente, nos han dicho que se puede leer una baliza de un tren fácilmente, incluyendo leer el checksum. Han remarcado el requisito de la velocidad con la que detecta el ASFA la señal o qué datos le entrega la Eurobaliza al tren. Teniendo un sdr se podría leer la baliza, pero también emitirle datos, los cuales viajan en claro. Han mostrado una demo para este caso. Finalizando, han puesto de manifiesto contramedidas. 

Y con todo esto, acabamos la primera jornada de este año 2025. 

domingo, 2 de marzo de 2025

ProtonVPN en Mikrotik

 Después de mucho tiempo sin escribir con alguna que otra investigación voy a documentar cómo voy a configurar el router Mikrotik hAP ax^3 que tengo. Recordad, si no lo conté en su momento, que no está conectado directamente a la fibra, pero todas las conexiones pasan por él. 

No obstante, como fuente de información voy a utilizar la oficial de Proton. ¡Ah! También recalcar que en esas instrucciones tiran de consola y ya veré si lo hago tal cual lo explican o lo traslado a interfaz gráfica. Como de costumbre, pondré capturas o los comandos introducidos con su la tipografía que habitualmente pongo.

Una vez creada una cuenta (gratuita), hay que ir a la página de descargas y buscar "wireguard" para generar un fichero de configuración:

Creando fichero Wireguard en ProtonVPN
Creando fichero Wireguard en ProtonVPN

En mi caso quiero seleccionar que voy a configurar un enrutador. El resto de valores los voy a dejar por defecto. Ojo, porque alguno de ellos pudiera hacer falta pagar la suscripción pertinente. 

Al hacer click sobre el botón crear aparecerá una ventana emergente con todos los datos que te harán falta. Tendrás que copiarlos y pegarlos en un fichero de texto antes de cerrarla porque, tal y como te indican, muchos de esos valores no se volverán a mostrar teniendo que generar otro nuevo (si es que te deja con la suscripción que tengas).

Fichero de configuración Wireguard creado
Fichero de configuración Wireguard creado

Desde la herramienta Winbox, vamos a crear una interfaz Wireguard. Un recordatorio más: Mikrotik lo soporta nativamente desde la versión 7. Una vez hemos accedido al router, seleccionamos Wireguard en el menú de la izquierda. Nos abrirá otra ventana donde seleccionaremos el botón "+". En la ventana que nos aparezca podremos decidir cambiar el nombre de la interfaz que tendrá. Lo que sí o sí hay que hacer es poner la clave privada que nos hayan generado.

Creando interfaz Wireguard desde Mikrotik
Creando interfaz Wireguard desde Mikrotik

Con la interfaz creada hay que asignarle una dirección IP, una dirección de red, etc.

Configurar direccionamiento IP en interfaz Wireguard
Configurar direccionamiento IP en interfaz Wireguard

En el ejemplo del manual están ejecutando estas líneas:

/ip address
add address=10.2.0.2/30 interface=wireguard-inet network=10.2.0.0


Con estos datos configurados hay que configurar el router como cliente (lo que llaman peer). Eso se hace desde la pestaña peer en la ventana de Wireguard. Habrá que indicar el nombre descriptivo (es opcional), la interfaz (en nuestro caso wireguard1) y los valores que podrás encontrar en el fichero generado (public key, IP y puerto del endpoint). El valor de keepalive lo pondremos a 25 segundos. Si no pones el valor de allowed addresses no te dejará aplicar esta configuración.

Configurando Mikrotik como peer / cliente
Configurando Mikrotik como peer / cliente

Lo siguiente que hay que hacer es configurar el masquerade, que es el que hace que una tarjeta de red con una dirección IP se oculte detrás de otra. Es lo que comúnmente llamamos NAT. En mi caso, como ya tengo más entradas, me pudiera encontrar con que falle y no funcione, o que incluso para conexiones internas me deje de funcionar o que haga otras cosas más extrañas. Sólo voy a poner un ejemplo de cómo seria. Yo he puesto tantos como casos me corresponden:

Configurando NAT para Wireguard en Mikrotik
Configurando NAT para Wireguard en Mikrotik

Lo siguiente que hay que hacer es crear a mano dos entradas de enrutamiento más. Nada más aplicar los cambios de este paso, tal cual estamos, la conexión a Internet deja de funcionar y no queda otra que deshabilitar esas entradas. En caso contrario, no hubiera podido subir las capturas ni guardar los cambios de este post:

Primera cnfiguración de tabla de enrutado para Wireguard en Mikrotik
Primera configuración de tabla de enrutado para Wireguard en Mikrotik 

Segunda configuración de tabla de enrutado para Wireguard en Mikrotik
Segunda configuración de tabla de enrutado para Wireguard en Mikrotik 

El siguiente paso sería configurar los DNSs. Si bien te indican que pongas el suyo, 10.2.0.1 (que acaba siendo el gateway propio del sistema), en teoría se pueden usar otros, al menos es lo que parece si probamos a hacer ping a los que queremos usar: 9.9.9.11. 

Además del DNS, te indican que configures el cliente dhcp de la tarjeta de red conectada al router de Internet (entiendo que también sería la ONT, etc). Esta parte la ignoré porque no estaba activándolo pero he tenido muchos problemas y parece que va mejor si se pone. En este caso, lo que he hecho ha sido ejecutarlo por consola y después desde la GUI activarlo (ya que precisamente esa entrada la tenía desactivada). El comando que he ejecutado ha sido:

/ip dhcp-client
set 0 use-peer-dns=no

Lo último es configurar una entrada más en la tabla de enrutado en el que se pone la dirección IP que se indica en el campo endpoint del fichero que hemos descargado en el campo dst address y el gateway la dirección IP específica del router hacia Internet. Recuerdo que este no está conectado directamente a la fibra. 

En este punto, si hacemos ping contra Quad9 y después habilitamos las tres entradas que hemos creado veremos que se produce un pequeño corte pero después vuelve una conexión, pero se ve que la respuesta es más lenta:

Probando Wireguard en Mikrotik usando ping contra Quad9
Probando Wireguard en Mikrotik usando ping contra Quad9

En teoría, con toda esta configuración, debería de funcionar. No obstante: me he encontrado con problemas. Tuve que desactivar el DoH (DNS over HTTPS). Otro problema es que según le daba, al menos hasta que he configurado el DHCP-client, es que precisamente haciendo ping a veces iba como un tiro y en otras ocasiones dejaba de funcionar, tanto llamando a una dirección IP como a una URL. 

Llevaba mucho tiempo queriendo probar esta historia, y aprovechando la historia de Cloudfare, ya me he puesto a buscar. 

Lo voy a dejar aquí. Al final estoy aplicando lo que dicen en el manual oficial en mi sistema. Pudiera ser que acabe de escribir estas líneas, quiera guardar y publicar este post y me deje mal. Aún así, no descartaría que en algún momento se me ocurra probar otro servicio o intente afinar la configuración. 

sábado, 9 de marzo de 2024

RootedCon 2024: Crónica tercer día

 Hoy he llegado pronto al Kinépolis. Después de arreglar algunos correos personales Andy, de DXC, me ha ofendido probar a hacer un poco de lockpicking. La verdad que sin mucho éxito, pero lo he disfrutado un montón intentándolo.

Ciberguerra: ciberataques a infraestructuras críticas

Andrés Soriano ( @osintares ) y Javier Rodríguez ( @javiover ) han presentado "Ciberguerra: ciberataques a infraestructuras críticas en el conflicto de Oriente Medio".

RootedCon 2024 - Andrés Soriano y Javier Rodríguez
RootedCon 2024 - Andrés Soriano y Javier Rodríguez 

Han hecho una introduccón de qué van a hablar: TTPs (tácticas, técnicas, procedimientos híbridos) Hay dos bloques de países, Irán e Irak y los aliados de ambos bandos. Han explicado tanto las capacidades de inteligencia israelí como de la iraní. Entre algunos de los ataques israelíes están las infecciones de móviles a través de publicidad. También han explicado las capacidades de Irán a través de varias fases, tanto en remoto como presencial. Han hablado de la relación entre Irán y latinoamérica, las actividades realizadas al otro lado del charco  tales como entrenamiento militar y técnico, lavado de dinero, identidades falsas, criptomonedas, etc. Justo después han hablado de los ataques a la infraestructura eléctrica utilizando lo que han llamado "la doctrina iraní". Han mostrado los logos o señas de casi 230 tipos de empresas eléctricas de Israel. Han hablado de la captación de personas como la de un ministro de energía israelí en Nigeria en 2012. Se identificó su implicación porque cometió el error de ir dos veces a Irán despertando las sospechas del servicio secreto Israelí. Necesitaban la información del sistema eléctrico Israelí. Han explicado un ataque que se realizó con un DDoS. Otras operaciones: captación de personas judías que trabajaban en infraestructuras críticas y manipuladas para hacer cosas dentro de las mismas. Y la tercera operación: la captación a través de redes sociales con las famosas redes sociales utilizando la seducción hacia el objetivo del que querían obtener información. Han mostrado varios perfiles de redes sociales de captadores y captadoras. Ya casi acabando han contado las capacidades iraníes: utilizando zerodays, bypass EDR y paciencia. Han finalizado con las conclusiones.

Hardware Implant Revolution

Victor Fernández Minguillon ( @vickfedez )  ha presentado "Hardware Implant Revolution: Bands on hardware Implants for read team operations"

RootedCon 2024 - Victor Fernandez Minguillon
RootedCon 2024 - Victor Fernandez Minguillon

Ha descrito varios implantes físicos, cómo funcionan y algunos problemas que tienen: rubber ducky, keycroc, pwn plug, etc. Nota: por "implantes físicos" pensaba que eran trastos que se les ponían a humanos tales como marcapasos, bombas de insulina... El objetivo: implementar una alternativa de largo alcance cuando no llega internet al aparatito con el que se quiere interactuar. Ha explicado un proyecto como solución al problema planteado usando LoRa con un microprocesador y un microcontrolador (como una Raspberry). Primero ha contado la implementación del diseño ideado. Después ha contado las capas de red para continuar mostrando unas demos en video de cómo se produciría la comunicación. Posteriormente ha continuado con las conclusiones y las mejoras futuras que tiene en mente desarrollar. 

Cuando terminó hicimos un descanso con un pequeño tentempié.

Crazy {Web|Gen|AI|Net}: Cybersec ideas

Un año más, Chema Alonso ( @chemaalonso ) ha expuesto otra ponencia más de "crazy ideas". Este año se ha llamado "Crazy {Web|Gen|AI|Net}: Cybersec ideas".

RootedCon 2024 - Chema Alonso
RootedCon 2024 - Chema Alonso

Ha agradecido al equipo de RootedCon lo que han conseguido en todos estos años y a su equipo por lo que han alcanzado a hacer con las ideas locas. Ha comenzado contando cómo empezó estudiando bases de datos pasando por la ciberseguridad (algo que no se había planteado) y llegar a convertirse en CDO de Telefónica. Todo lo aprendido paso a paso. Ha seguido contando cómo cuando iban haciendo proyectos se quedaban pequeñas ideas en espera y tarde o temprano que acababa trabajando en ellas. Ha seguido contando cómo crearon la Foca y Metashield Extractor. El siguiente proyecto fue "prefeching web browser". Otro proyecto fue el de "Owning bad guys" en RootedCon 2012 (me acuerdo de aquella!!). Ha seguido con el proyecto Dust RSS presentada en RootedCon 2011. No se dejó "Make this last forever", un proyecto relacionado con webs y cadenas de bloques. Uno más ha sido Latch y sus muchas implementaciones y aplicaciones. WebscalerAI y LeakguardIAn han sido los siguientes proyectos que ha mostrado que han conseguido terminar. A posteriori ha hablado de deep fake y se ha recordado que yo salí al escenario a hacer una demo en directo (de esa también me acordaba!!) y relacionado con ese tema ha mostrado las herramientas Deep Fake Detector, VerifAID y AutoVerifAID. NewsBenderb Project es el nuevo proyecto: un portal de noticias falsas. Crean con GenAI los autores que serían los encargados de publicar esas noticias falsas, buscan fuentes de noticias, les asignan las noticias a alguno de los periodistas falsos que se ha creado el sistema y que se pongan a publicar. Ha hecho una demo. En paralelo han hecho Fake News Detector as a Service: FNDaaS, que se encargaría de intentar identificar si una noticia está construida con IA o no. Ha finalizado con las conclusiones. También decir que Chema en llevaba una camiseta de X1Red+Segura en la que en la espalda ponía "Angelucho". 

Libros y bits...

La ponencia "libros y bits: cuando la IA se convierte en tu librero personal" la hicieron Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo.

RootedCon 2024 - Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo
RootedCon 2024 - Pol Marzà Fusté y Pablo Fulgencio Guillén Lorenzo

Empiezan hablando del proyecto Yoleo. Es una herramienta de recomendación de libros a través de IA. Han enseñado cómo funciona mostrando lo que recomienda ChatGPT según unos parámetros determinados y consiguen un enlace al libro a través del API de Google Books  tanto para conseguir el libro como para identificar si el libro existe. Han contando de dónde viene la idea inicial, si bien vino hace 10 años, esta ha ido evolucionando hasta llegar a lo que se ha convertido ahora, aprovechándose entre otras cosas de la aparición de ChatGPT. También han explicado los distintos intentos y pruebas  que tuvieron que hacer para conseguir su objetivo final. Han ido describiendo todos los problemas que surgieron, las soluciones que encontraron y las mejoras que fueron implementando. Han finalizado con las ideas futuras para próximas versiones.

Con esta última charla el Equipo de RootedCon se ha despedido, con Arantxa a la cabeza, hasta el año que viene:

Equipo RootedCon
Equipo RootedCon

Y con todas estas charlas ha finalizado la RootedCon 2024. Espero que el año que viene pueda volver.

viernes, 8 de marzo de 2024

RootedCon 2024: Crónica segundo día

Hoy hemos empezado muy bien el día. He llegado al Kinépolis y me ha dado tiempo a tomarme un té y un croisan. Después ha llegado Iván y hemos estado buscando la opción de otro café que nos hemos acabado tomando en uno de los estands. 

BSAM: Seguridad en bluetooth 

La primera charla, BSAM: Seguridad en bluetooth, la dieron Antonio Vázquez Blanco y Jose Mª Gómez Moreno 

RootedCon 2024 - Antonio Vázquez Blanco y Jose Mª Gómez Moreno
RootedCon 2024 - Antonio Vázquez Blanco y Jose Mª Gómez Moreno

Han descrito ejemplos de dispositivos bluetooth, tanto normales como médicos (marcapasos, bombas insulina...) como básculas y demás dispositivos domésticos. Y pasan desapercibidos a la vez que se deja de lado su seguridad. Y habría que auditorios, pero es complicado. El estándar es complejo de estudiar y no hay muchas auditorías ni herramientas genéricas o la implementación del protocolo es incompleta. La solución es crear una metodología para solucionarlo, y esa es la que han creado: BSAM, solucionando todos los problemas actuales. Entre cada sección fueron poniendo ejemplos. Las fases que contaron están comprendidas en:: búsqueda de información de especificaciones internas (circuitería, chips,  implementación capa bluetooth, versión, etc),  descubrimiento (con los mensajes de anuncio: que tienen datos necesarios para la conexión como los que no lo son como puede ser un nombre de usuario), emparejamiento (es importante identificar que no se estén usando métodos obsoletos o que no nos puedan robar la clave, que no nos puedan desemparejar un dispositivo...), autenticación ( hay que asegurarse de que la autenticación sea mutua), cifrado (hay que verificar que los tamaños de cifrado sean adecuados y no pequeños), servicios (descubrimientos de qué servicios ofrece el dispositivo porque no debería de haber servicios ocultos que, por ejemplo, tenga permisos rw), aplicación (verificar que las aplicaciones cliente estén bien implementadas, mecanismo de actualización bien implementada). Han mostrado las contribuciones que han hecho en la investigación con wireshark y skapy. Después mostraron una demo 

La policía hace cosas

Inmediatamente después, Manuel Fernández nos expuso La policía hace cosas.

RootedCon 2024 - Manuel Fernández
RootedCon 2024 - Manuel Fernández

Policía de los mossos d'esquadra, participó con la guardia civil para investigar un caso de estafa, el caso Forex. La charla tuvo tres partes. 1) qué pasó y cómo empezó la investigación, 2) cómo se coordinaron las distintas FCSE (mossos, guardia civil, etc), jueces, fiscales... Entre otros Europol y Eurojust, con distintos países colaborando juntos. Contó los problemas que tuvieron, pero también los éxitos (como la investigación de las comunicaciones VoIP o el email tracking) 3) Y por último, la coordinación para irse a Albania entre distintos cuerpos de policía europeos para llevar a cabo una operación conjunta. A la hora de identificar qué máquinas requisaban porque había demasiadas para poder investigar sin dedicarle años a recopilar todas las evidencias tiraron de ruby duckers

Ya en este punto hicimos un pequeño descanso antes de ir a la siguiente ponencia en la sala 17. 

¿Quién vigila a los que vigilan?

Borja Adsuara Varela ( @adsuara ) presentó su charla: ¿Quién vigila a los que vigilan?

RootedCon 2024 - Borja Adsuara Varela
RootedCon 2024 - Borja Adsuara Varela

Empieza explicando un meme. Los abogados son como hackers: trabajan con código jurídico y seguridad jurídica. Se detectan vulnerabilidades, como por ejemplo, en el RGPD. Los reglamentos en la UE son de directa aplicación y no debería de hacer falta una transposición a leyes en los estados miembros. Habla de distintos artículos y régimen sancionadores del RGPD. Para hacer el análisis de las leyes se hace un análisis sintáctico de cómo está escrita la ley. Uno de los artículos del RGPD establece que los estados podrán establecer normas para sancionar a administraciones públicas. Uno de los problemas está en que a día de hoy no se puede sancionar a ninguna administración pública. Otro problema está en el Reglamento de IA que se va a aprobar el 13 de marzo. Ha contado el régimen sancionador, mayor al del RGPD, para personas y empresas. Pero también está el mismo epígrafe sobre las administraciones públicas. Una de las conclusiones es que parece que hay una doble vara de medir entre las sanciones de las administraciones públicas y otros porque en lo que respecta a las administraciones públicas en España no tienen consecuencias sancionadoras si se saltan las leyes de protección de datos y aparentemente tampoco las tendrán con respecto a la IA.

La Cartera Europea de Identidad Digital

En la misma sala 17 continuamos con otra ponencia más, La Cartera Europea de Identidad Digital: ¿Garantía de identidad digital o herramienta de control estatal?, por Ignacio Almanillo Domingo ( @ )

RootedCon 2024 - Ignacio Almanillo Domingo
RootedCon 2024 - Ignacio Almanillo Domingo

Habla sobre cómo se ha iniciado en Europa la cartera digital de identidad: EUDI wallet. ¿Hay garantías o es mentira? Hubo dos secciones, la jurídica y la técnica. El tercero que no entra es el problema de los ciudadanos que no estén muy duchos en la tecnología y entreguen más datos de los realmente necesarios. Este reglamento se llama elDAS2. Se busca que haya un nuevo medio de identidad digital, que es un derecho, con control del ciudadano. También se quiere que se tenga una identidad basada en atributos, como podría ser la edad (ej:  ser mayor de edad). También puede facilitar abrir cuentas en otros bancos de la UE. Aunque ha explicado algunos problemas de acceso a la sociedad digital. También es importante poderse identificar tanto en local como remotamente. Se puede firmar solo por trocitos o la posibilidad de entregar unos pocos datos sin tener que enviar todo el conjunto entero. Además, tiene ser garante de la privacidad: pseudonominizar la identidad. Se puede poner un mecanismo para que quien quiera acceder a la cartera se tendrá que identificar y que el propietario de la cartera vea quién ha accedido a qué. Después ha hablado de la parte técnica, para que las wallets sean seguras e interoperables entre distintos países. Entre otras cosas también ha hablado de la posibilidad de tener que revocar la app en caso de necesidad.

En cuanto terminó nos fuimos a comer para después volver a la sala 18.

NightClubMare; hackeando dispositivos de DJs

David Cuadrado ha hablado de su herramienta NightClubMare.

RootedCon 2024 - David Cuadrado
RootedCon 2024 - David Cuadrado

Ha estado describiendo aparatos específicos para DJs, sus características y precios. Después ha explicado distintos términos que usan los DJs. Posteriormente ha descrito las conectividades que tienen estos aparatos: protocolos (UDP), puertos (tanto de protocolo como físicos), direccionamiento IP, ARP, etc, para después hablar de su herramienta, las tripas de la misma y su funcionamiento. A continuación ha mostrado un vídeo a modo de demo que explica el funcionamiento completo. Posteriormente ha contado qué nos haría falta para reproducir lo que ha hecho. 

Seguridad en sistemas de videoconferencia

La siguiente charla, en la sala 20,  la dio Jose Luis Verdeguer ( @pepeluxx ): Seguridad en sistemas de videoconferencia.

RootedCon 2024 - Jose Luis Verdeguer
RootedCon 2024 - Jose Luis Verdeguer

Las empresas eran reacias a la teleconferencia. Pero después de a pandemia vieron que permiten cancelar las reuniones con mucho menos riesgo que antes, son un ahorro en muchos desplazamientos, etc. Enumeró las distintas soluciones (tanto comerciales como opensource), su historia, etc. Describió el funcionamiento de WebRTC y sus fases: Señalización, conexión, securización y comunicación. Más adelante explicó varios vectores de ataque, tanto con WebRTC como con Zoom. También habló del caso de Telegram en el que se muestra la dirección IP de la otra persona con la que se está haciendo una llamada. Además de recordar la herramienta que ya explicó hace muchísimo tiempo (SIPPTS), mostró la demo de la herramienta stuncheck. Aún así, hay datos que muestra la herramienta que también se pueden ver desde el navegador con "webrtc-internals'. A continuación habló de los servidores TURN: permiten hacer redirección a localhost. En cuanto hubo explicado los parámetros hizo una demo. En cuanto la finalizó expuso formas de mitigar el ataque por TCP, pero tampoco se olvidó de UDP, mostrando los problemas que surgen a través de ese protocolo y las posibles mtigaciones.

Ya en este punto de la jornada volvimos a hacer otro descansito.

Dr. Jekill & Mr. Hide

Volviendo a la sala 25, Mark Rivero ( @seifreed ) y Sandra Bardón Moral expusieron Dr. Jekill & Mr. Hide: las dos caras de un incidente.

RootedCon 2024 - Mark Rivero y Sandra Bardón Moral
RootedCon 2024 - Mark Rivero y Sandra Bardón Moral

Lo primero que han hecho ha sido darle un disfraz a Román, siendo la broma de la jornada. Después, se han presentado y han empezado a explicar en 10 segundos (contados) el cuento de Dr. Jekill y Mr. Hide. Mark hará la parte racional o de inteligencia y Sandra la parte más "crazy", la parte más ofensiva. Han explicado qué es el grupo Muddywater. Mark ha descrito su procedencia, las herramientas que usan y la victimología, ya que estudian mucho a quién atacar y cómo hacerlo. Son muy adaptativos ya que van cambiando mucho para pasar lo más desapercibidos posibles. Después Sandra ha explicado las herramientas y técnicas utilizadas. Entre otras características, son muy buenos ingenieros sociales. Uno de los C&C que usan es Phony X2, hecho en Python 3. También ha explicado varios ataques realizados en su historia y un resumen del arsenal de herramientas que tiene esa organización. Justo después Mark ha enumerado distintas campañas, ataques y operaciones por ese actor. Ciertas partes de Sandra también se complementaban con las de Mark. Más adelante nos han contado los epic fails que han tenido en ese grupo: acciones que no parece que se correspondan con la experiencia que demuestran como si tuvieran becarios o juniors participando en sus operaciones. Han acabado cerrando con las conclusiones. 

MiTM en puntos de recarga de vehículos eléctricos

La última charla, también en la sala 25, la hizo Javier Jarauta Gastelu y Gregorio López con MiTM en puntos de recarga de vehículos eléctricos.

RootedCon 2024 - Javier Jarauta Gastelu y Gregorio López
RootedCon 2024 - Javier Jarauta Gastelu y Gregorio López

Lo primero que han hecho ha sido presentar al equipo que ha participado en la investigación y a ellos mismos. Por lo que he entendido, una de las entidades que ha participado ha sido Cesvimap que les prestó un vehículo para hacer las pruebas. La primera parte ha sido una investigación con IoT poniendo de ejemplo el incidente que hubo hace unos años en los que los dispositivos IoT fueron utilizados para hacer un DoS con el protocolo UDP. Aquí lo que buscan es mejorar la seguridad del tendido eléctrico. El problema está en que dispositivos aparentemente inofensivos para la red eléctrica (como parecía que eran los IoT), podrían tumbarla como por ejemplo una cantidad ingente de aires acondicionados conectados a la vez. Se hicieron simulaciones en las cuales podía haber más o menos éxito según el conocimiento del atacante de la red eléctrica y cómo está construida. Los cargadores son unos elementos que la podrían tumbar si hay muchísimos trabajando a la vez. La pregunta que se hicieron era si es posible controlar la carga de un vehículo eléctrico de forma maliciosa. Ahí explicaron los tipos de carga, según los kW que se estén usando y el tiempo que se esté realizando esa carga. No querían modificar ni el coche ni el cargador, por lo que montaron su propio cable con los conectores para ponerlos entre el coche y el cargador. Explicaron el funcionamiento interno de ese dispositivo en cuanto a potencias y circuiterías. Después mostraron las pruebas de laboratorio. Para el atacante la bentaja de ese cable customizado es que nadie se entera de la manipulación que se ha realizado. Han continuando dando unas conclusiones. No sólo hay riesgo para la red eléctrica, sino también para el vehículo y el punto de carga. Casi acabando han ido contando algún ataque más para verificar los datos de protocolo de red que navegan entre el coche y el cargador. Y hasta ahí pudieron hablar para empezar la hacker night.

Y así con estas ponencias finalizamos la segunda jornada de RootedCon 2024. Que la he disfrutado muchísimo.