Los pasados días 30 de noviembre y 1 de diciembre se celebró en Albacete (España) la II edición de las conferencias de seguridad Navaja Negra con Iniqua como unos de los patrocinadores.

Estas conferencias de seguridad surgen como una iniciativa particular de profesionales de seguridad informática que desean intercambiar experiencias y conocimientos de forma libre e independiente.

Las jornadas fueron gratuitas y tuvieron un altísimo nivel con expertos en distintas áreas de la seguridad informática como exploiting, fraude, tecnologías móviles, reversing o seguridad en redes, entre otros.

Los contenidos tuvieron su componente teórico pero, sobre todo, un enfoque práctico con demostraciones en tiempo real realmente interesantes. Veamos un resumen de lo más destacable que se pudo vivir en esos dos días.

Primer día.

Javier Rosell, gerente del CEEI (Centro Europeo de Empresas e Innovación), fue el encargado de inaugurar las conferencias junto a los organizadores del evento: Pedro Candel, de Madesyp, y Daniel García a.k.a cr0hn (@ggdaniel), de Bugurro Offesive Security y miembro de Iniqua.

All your appliances are belong to us

Rubén Garrote (@boken_) y Alejandro Nolla (@z0mbiehunt3r) dieron el pistoletazo de salida con una presentación de altísima calidad donde entraron en el delicado mundo de las vulnerabilidades de seguridad (algunas de nivel crítico) que traen de serie algunos Appliances comerciales.

El mensaje que transmitieron fue claro “no confíes en esas cajas negras que nos instalan en nuestras redes porque muchas veces traen fallos de seguridad que pueden exponer nuestros activos“.

Por cuestiones de confidencialidad, tuvieron que adaptar el contenido de las charlas para no mostrar información comprometida de ningún fabricante. Aun así, resultaron más que interesantes sus demostraciones prácticas de explotación de algunas de estas vulnerabilidades.

Show me your Intents

Esta fue una de las charlas más esperadas y sin duda no decepcionó, siendo de hecho, una de las mejores valoradas por los asistentes.

Daniel Medianero comenzó contando de forma clara y concisa algunos aspectos de la arquitectura del sistema operativo Android para dispositivos móviles. Una vez hecha esta introducción, nos habló de los riesgos de seguridad asociados a los “Intents”, la falta de control en las autorizaciones a las APPs y cómo aplicaciones maliciosas pueden llegar a realizar llamadas entre “Intents” de forma no controlada.

Terminó con una demostración práctica en la que utilizó dos APPs, una legítima y otra maliciosa, donde esta última conseguía enviar mensajes de texto de forma no controlada, redirigiendo al usuario entre “Views” para realizar el ataque de forma totalmente transparente.

HASH COLLISIONS: Welcome to the (un)real World!

Charla escalofriante a cargo de Pedro Candel orientada al apasionante mundo de las colisiones hash.

Comenzó con algo de historia y una introducción a los hashes y los distintos tipos de cifrado.

Utilizando un PC de recursos limitados, hizo una demo en la que obtuvo, en tiempo real, varias colisiones “bajo demanda” de distintos binarios con algoritmos de complejidad variable.

Finalmente, dejó a la audiencia pasmada generando un certificado digital, reconocido como legítimo por un navegador web actual, y falseando la página de Facebook capturando las credenciales de un usuario engañado.

Take a walk on the wild side

Aladdin Gurbanov y Mario Vilas (@mario_vilas) mostraron de forma práctica y real algo de lo que muchos han oído hablar pero que pocos han visto en acción…

Centrada en el mundo del malware, esta charla resultó muy ilustrativa ya que enseñó el grado de sofisticación de actualmente tienen muestras como la de la familia Zeus.

Quedó claro que, con malas intenciones y con un poco de dinero, resulta sencillo e “intuitivo” generar una botnet controlada con fines maliciosos.

Cena

El día terminó de la mejor forma posible, cenando juntos ponentes y todos los asistentes que quisieron unirse a ellos.

Comentarios, dudas, opiniones y conversaciones técnicas se mezclaron entre el vino, el jamón y entre chistes y cachondeo del bueno. ¿Se puede pedir algo mejor? J

Puedes seguir leyendo lo que depararon las conferencias en el segundo día aquí: http://blog.buguroo.com/?p=10201