Mi primera experiencia en una CON’

Hoy día el mundo digital le come terreno al físico y cada vez son más las interacciones que realizamos gracias a dispositivos interconectados que nos rodean, en ocasiones sin ni si quiera darnos cuenta de lo que está sucediendo. Es por ello, que el poder que nos ofrece la tecnología actual requiere de una gran responsabilidad de todos y por tanto es un tema que nos debe preocupar, a todos.

Pasa exactamente lo mismo en las empresas. Cada día salen más y más noticias de ataques sufridos por parte de cibercriminales con objetivos tan variados como beneficio económico, información confidencial, fama, o simple diversión y ocio. Ésta situación no hace más que repetirse, y con más frecuencia. Es por ello que cada vez más las empresas se están viendo en la tesitura de reforzar constantemente sus sistemas de seguridad para evitar cualquier tipo de intrusión no autorizada. Mientras escribía esta breve intro/concepto he recordado la frase que dijo Robert S. Mueller en 2012, exdirector del FBI: “There are only two types of companies: Those that have been hacked and those that will be hacked.”, que creo que me viene al pelo.

Figura 1: Mi primera experiencia en una TomatinaCON 2017

TomatinaCON

Hoy hablaré brevemente de la experiencia que pude presenciar (y disfrutar como un niño <(‘o'<) ) y en la participé el pasado 28 y 29 de Agosto de 2017, días en los que se enmarcó la 3a edición de la TomatinaCON. Básicamente, son unas jornadas de seguridad informática en las que se pretende reunir a hackers y aficionados en seguridad para compartir herramientas a nuestro alcance, experiencias y formación con la que aprender a frenar todo tipo de problemas que nos ofrece la red, tanto a individuos como empresas.

Día 28/8

Primer día de mi primera CON, mi compañero de este viaje (Adrián) y yo, ambos telecos, nos dirigimos destino Buñol, lugar del evento. Nada más pisar el municipio íbamos con el tiempo muy ajustado para el inicio de la primera charla por lo que decidimos desviarnos ligeramente de nuestro rumbo para disfrutar de las vistas de gran parte de la población desde el castillo y dar una vuelta un poco más larga de lo normal. Mereció totalmente la pena como se puede apreciar, por la belleza del lugar. Sí, de esta forma tan cómica empieza nuestra aventura.

Figura 2: Entradas y pasillos del castillo de Buñol

Por fin llegamos a la Biblioteca de Buñol, en cuyo segundo piso se estaba desarrollando la primera ponencia del día. La verdad es que llegamos unos 45′ tarde y nada más entrar me sentí un poco mal por ello.

Uso seguro de Internet

Figura 3: Yolanda Corral y Raúl Fuentes antes y durante su ponencia

La primera charla del día trató sobre el ‘Uso Seguro y Responsable de Internet’. Así que como starter y principiante en el mundo de la seguridad y el hacking que me considero a día de hoy era una primera toma de contacto muy interesante de la que sacar conclusiones útiles y de aplicación directa en mi vida, a priori nada podría ir mal.

Yolanda Corral (@yocomu), fundadora y presentadora de los canales Palabra de hacker y HangoutNEO y Raúl Fuentes (@raulfuentes77), profesor en la UCLM y FP fueron los responsables de abrir los primeros debates del día. Nunca está de más repasar procesos esenciales para mantener nuestra privacidad y seguridad en Internet. Contraseñas a prueba de balas y verificación en dos pasos. Protección ante malware web o vía correo, backups, navegación privada, fiabilidad de páginas web. Éstos y muchos más fueron consejos que se trataron para evitar a toda costa cualquier posible fuga de datos.

Desenmascarando Identidades Digitales

Figura 4: Selva Orejón y Eduardo Sánchez hablando de identidades digitales

Después de una pausa para comer en una bocatería cercana y tomar un buen café con mi compañero volvimos corriendo para no llegar ni un minuto tarde. Continuaron Eduardo Sánchez (@eduSatoe) y Selva Orejón (@selvaorejon) con su taller de OSINT y doxing. Uno de los talleres que más disfruté sin duda. Empleamos la herramienta Maltego y Tinfoleak, para analizar nuestra propia exposición en internet. Selva expuso un caso real que me dejó realmente impactado, en el que a partir de un inocente número de teléfono móvil nacional, como puedes tener en tu lista de contactos, obtuvimos entre todos los asistentes una gran cantidad de datos personales de la supuesta persona. Con algo más de tiempo estoy seguro que hubiéramos conseguido hasta la dirección de su casa y su DNI. Sin duda me abrió bastante los ojos sobre el poder que tienen los datos que decido publicar de mi o de los demás en la red.

A todo esto, el primer día, nada más iniciarse la primera charla.. se había puesto en marcha un CTF. El premio para el ganador era una invitación de INCIBE a participar en la final individual de CyberCamp2017 en Santander (España). Ese día recordé que semanas anteriores había leído algo sobre estas competiciones pero no era consciente del tipo de retos en los que consistía y mucho menos sus niveles de dificultad (ni lo que luego me iban a enganchar). Así que como buen novato volví a buscar el término en San Google y con éste sencillo artículo del blog de S2Grupo refresqué la memoria. Durante el tren de vuelta a Valencia estuvimos Adrián y yo tratando de conseguir sacar nuestra primera flag..y vualá, w31c0m3 t0 my w0r1d, hola! :]. Más adelante contaré cómo resolví alguno de los retos.

Figura 5: Mi primera flag en un CTF (Jeopardy)

Día 29/8 (segundo día)

Empieza el segundo día, mi compañero de viaje y yo llegando a Buñol. El día anterior había trasnochado hasta las 5am tratando de resolver algún reto del CTF, con suerte saqué un segundo, rebosaba alegría esa mañana *hahaha*. Pero el sueño en ese momento pasaba un poco factura, 8 nuevas ponencias muy interesantes por delante y las pilas medio cargadas gracias a la cafeína. Vamos a ello!

Prevención de Ingeniería Social

Figura 6: Alberto R. Rodas en plena presentación

El segundo día empezó con un tema que considero de los más críticos en la seguridad por la implicación del factor humano, siempre vulnerable. Alberto Ruiz Rodas (@AlbertoRRodas) teleco y trabajador de la empresa Sophos nos dio unas nociones de en que consiste la ingeniería social y cómo podemos protegernos de manipulaciones psicológicas sabiendo de antemano las técnicas más conocidas que se suelen emplear y cómo podemos utilizarla para beneficio propio con amigos/clientes y en general cualquier persona.

La competitividad en vena (de dos novatos)

Aproximadamente al acabar la presentación de Alberto, nos informa uno de los conejos blancos, Rubén (@rgutga), a Adrián y a mí de que en escasas 3 horas finalizaba el CTF. En ese momento, estábamos empatados en puntos con el primero pero no habíamos publicado las banderas para jugar al despiste.. pero se terminaron rápido los juegos al escucharle. Tan solo 40′ después habíamos logrado completar bastantes retos, se había publicado nuevos y estábamos ambos empatados, lo cual nos ponía en una tesitura de tensión y cierto afán individual por ganar al otro, ya que solo podía quedar uno.

Figura 7: Marcador del CTF con una diferencia de 40′, soy ‘IndiffNet2’

Las siguientes 3 ponencias, por desgracia, no pudimos ni yo ni mi compañero escucharlas. Me hubiera encantado disfrutarlas pero nos habían viciado demasiado con el CTF, aunque tardáramos 3 horas en resolver una problema, la sensación de éxito era indescriptible. En un momento dado tome la decisión de alejarme de mi compañero moviéndome otra mesa porque tenía sospechas de que me estaba calcando los pasos. Finalmente conseguí ponerme por encima y acabar en primera posición por el tiempo justo para que finalizara el tiempo. En éste enlace (próximamente habrá enlace **>.<**) dejo la resolución de una parte del CTF que aún conservo, por si alguien tiene curiosidad de cómo fueron.

Figura 8: Marcador final del CTF :]

HACK & BEERS 🍻

Despues de comer un kebab, para contrarrestar la lluvia que estaba cayendo (y yo con chanclas), y su respectivo café tocó el momento de seguir las charlas en el bar WIN’s de Buñol. Esta vez estaban enmarcadas dentro de uno de los tantos eventos Hack&Beers que se realizan por todo el territorio nacional, cuyo responsable es Eduardo Sánchez (@eduSatoe), en un ambiente distendido y acompañado con unas cervezas patrocinadas por la empresa Sothos.

Ingeniería Social: El ataque del tomate silencioso

Figura 9: Maria José Montes durante su charla

La primera ponencia estuvo a cargo de Mª José Montes (@MMontesDiaz) que explicó con casos realizados por investigadores y otros sacados de películas/series el poder de la psicología para obtener información privada. Simplemente creando ambientes irreales, forzados y totalmente interesados con otra persona para que haciendo las preguntas correctas se obtengan datos a priori poco relevantes pero que pueden ser críticos para algunos sistemas de seguridad.

Los Tomates que nos rodean

Figura 10: Rafa Otal en medio de su ponencia

Para continuar la tarde, Rafa Otal (@goldrak) se encargó de explicar el estado de la seguridad del Wi-Fi de Buñol gracias a un sistema de #Wardriving creado con una Raspberry Pi, una batería, una pantalla LCD, tecnología GPS y Wi-Fi. Se empleó el manipulador de paquetes Scapy escrito en Python. Se determinó que el 89% de las wifis analizadas estaban dotadas del protocolo de encriptación WPA2.

No recuerdo si fue antes o después, pero entre charlas se hizo una breve entrega de los premios a los 3 primeros del CTF TomatinaCON 2017 en el que mi compañero Adrián pudo quedar en un buen tercer lugar recogiendo su premio, ‘Phyton para pentesters‘ y por mi parte ganador con otro obsequio en forma de libro ‘Pentesting con Kali 2.0‘, que personalmente me encanta y caerá con alta probabilidad en los próximos meses. Solo puedo decir que gracias por hacer esto posible, es fantástico. Sí, el chico de la barba y camiseta azul, ese soy yo.

Figura 11: Raúl Fuentes y yo en la entrega del 1er premio del CTF TomatinaCON 2017 // premios recibidos

Pescando Tomates

Figura 12: Álex Casanova durante su presentación

Álex Casanova (@hflistener) vino a hablarnos de los sistemas electrónicos a bordo de los barcos, los cuales son cada vez más necesarios para simplificar las operaciones que realizan pero a la vez son una amenaza de seguridad que se debe abordar también. Habló de todo un entresijo de exigencias tecnológicas presentes en los barcos que mejoran las seguridad de navegación y de sus tripulantes: sistemas AIS, de monitorización, automatización o domótica, radares o comunicaciones GPS son algunos de ellos. Profundizó en los sistemas AIS, vSAT y como los malos pueden utilizar todas estas tecnologías para atacar vulnerabilidades existentes y perpetrar ataques dirigidos para conseguir mucha más probabilidad de éxito.

Todo sobre el coche de Google en la Tomatina

Figura 13: Eduardo Sánchez hablando de ‘las bondades’ de los coches de Google

Para acabar la segunda jornada de la ToamtinaCON, Eduardo Sánchez (@eduSatoe) nos contó cómo los coches de Google han robado (y probablemente siguen haciéndolo) datos sensibles de redes Wifi en multitud de países del mundo, violando así en muchos de ellos las leyes de privacidad hacia sus habitantes. Incluso en redes sin contraseña llegaban a geolocalizar dispositivos móviles con más precisión que una comunicación GPS.

Enhorabuena por todo el trabajo que hay detrás

Hasta aquí mi resumen de lo que fue la TomatinaCON 2017 de Buñol, contada por un novato y cómo la percibí en cada momento. Agradecer a organizadores, colaboradores, patrocinadores y ponentes por hacer posible este tipo de ambientes, únicos. Mi experiencia ha sido muy gratificante, rodeado de muchas personas con interés en torno a la seguridad informática.

Si tuviera que elegir 2 cosas de esta CON que me llevo.. el networking con asistentes/ponentes y una reafirmación de mi interés por seguir formándome como Ingeniero en Seguridad de Redes. Y por supuesto, espero poder asistir el próximo año a estas jornadas de ciberseguridad ;].