En la jornada de ayer daba comienzo la Rooted CON.
Un año más, cientos de amantes de la tecnología y la seguridad informática se daban cita en La fundación Mutua Madrileña para asistir a uno de los eventos más importantes sobre seguridad.
La primera ponencia corrió a cargo de Guillermo Grande y Alberto Ortega, hablando sobre Building an IP reputation engine, tracking the miscreants. Nos presentaron un portal de reputación IP de código abierto (AlientVault.com) en el cual quedan registradas direcciones IP y urls maliciosas, a las que se les asigna un cierto valor de fiabilidad.
En la segunda ponencia, Luis Delgado nos habló sobre el protocolo XMPP, protocolo de mensajería de chats como los de tuenti, Facebook, Google Talk, etc, y alguno de los problemas que presentan.
Tras el descanso, José Miguel Esparza y Mikel Gastesi, nos hablaron sobre el uso de la ingeniería social en los troyanos para bancos. Presentaron varios ejemplos de como gracias a la ingeniería social, se puede engañar al usuario y conseguir información «confidencial».
La última ponencia de la mañana corrió a cargo de Juan Garrido que nos habló Corporate Forensics. Explicó como sin necesitar grandes inversiones o contrataciones externas podemos realizar análisis forenses en nuestra empresa.
Ya por la tarde Epsylon (que no quiso dar su identidad real) nos presentó el framework XSSer. Este proyecto, de apenas un año y medio de vida, nos permite detectar fallos XSS, explotar código local/remoto y reportar las vulnerabilidades.
A continuación, Yago Jesús nos expuso unos cuantos ejemplos donde se veía la seguridad comprometida; como es por ejemplo Whatsapp, certificados CA, SmartCards, etc.
Tras el descanso, Pedro Sánchez nos presentó un caso real de extorsión en un hospital. Pedro tuvo que realizar una auditoría al hospital, utilizando entre otras técnicas la ingeniería social, y consiguió hacerse con el control del sistema informático del hospital sin grandes complicaciones.
En último lugar, se realizó una mesa redonda con los Cuerpos y Fuerzas de Seguridad del Estado, con los que se debatió sobre temas como ¿qué es un hacker? ¿Cómo se legislan los ataques DoS?
En ella, pudimos ver como la Guardia Civil afirmaba que el panorama sobre los ataques DoS era desolador, debido a que ahora no hace falta ser un virtuoso para realizar un ataque. Las chispas saltaron cuando los miembros de CFSE definieron a los hackers como delincuentes.