lunes, 30 de diciembre de 2013

Resumen de un 2013 inmejorable


Ya quedan escasas horas para que comience un nuevo año, el que será otro año de sueños por cumplir, otro año con tristezas y alegrías sin límite, de obstáculos que cruzar y vencer. Ha sido un 2013 muy movidito para mi, con muchas horas de trabajo, viajes y metas alcanzadas, que me gustaría repasar con vosotros, y que casi puede resumirse con la imagen de cabecera que he eligido para este último post del año.

Puedo recordar el los inicios como si fuera ayer. No tenía planeado entrar en la escena de las conferencias e investigaciones hasta que, por casualidad, un muy buen amigo me convenció para enviar una propuesta al CFP de la Rootedcon. Casi un mes de después de nervios y espera, recibí un correo confirmando que habían seleccionado mi charla From Kernel Space to User Heaven.

Ahora quedaba lo más difícil... Sábado 9 de Marzo a primera hora de la mañana. Hay un par de charlas por delante de la mía, de gente de la categoría de José Pico, David Pérez o Joxean Koret. Los nervios se van manifestando, aunque tengo un as guardado en la manga. Después del descanso comenzará mi charla, y Román (@patowc) será el encargado de presentarla de una forma muy particular, cumpliendo con la apuesta que perdió el día anterior :)

La experiencia no pudo ser mejor y ya empieza a picarme el gusanillo de este mundo, así que decido dar un par de vueltas y mejorar algunos detalles de la charla y pruebo suerte en otra gran conferencia, Nuit du Hack en París. Decido acudir al evento un par de días antes, ya que Ricardo J. Rodriguez (@RicardoJRdez), otro de nuestros españoles internacionales, hablaba en Hack In Paris. Podéis ver las slides de From Kernel Space to User Heaven que mostré allí.

Además de los eventos oficiales de la conferencia, se organizó una cena personal con diferentes de ponentes, donde tuve la suerte de poder acudir y conocer a un montón de gente interesante que por suerte volveré a coincidir en Las Vegas, como N. J. Ouchn (@toolswatch), Jayson E. Street (@jaysonstreet), Dave Kennedy (@dave_rel1k), Khalil Sehnaoui (@sehnaoui), Xavier Mertens (@xme) y un largo etcétera. Además, pasé un rato genial en el CTF con Seba García (@eldracote) y Verónica Valeros (@verovaleros).

Me gustaría felicitar al personal de Nuit du Hack, por haber conseguido llevar a cabo un proyecto de tales magnitudes (más de 1.200 personas), por su hospitalidad y sobre todo por la atención que me prestaron durante toda mi estancia allí.

Ya era prácticamente verano, y eso significaba que el siguiente gran reto se acercaba. En Agosto se celebraba Black Hat USA 2013 y Defcon 21, la meca de cualquier hacker :) En la primera de ellas asistiría al Arsenal a presentar OSfooler, una herramienta capaz de engañar y evitar los reconocimientos remotos de sistema operativo, tanto activos como pasivos, de herramientas famosas como nmap, p0f o appliances comerciales.

Mientras estaba entretenido dando los últimos toques a la herramienta, recibí un correo en el que aceptaban mi conferencia Building an Android IDS on Network Level, para Defcon 21! Para el que no lo sepa, Defcon es una de las más antiguas y prestigiosas conferencias hacker a nivel mundial, donde entre sus asistentes podemos encontrar desde agentes federales hasta hackers de todo el mundo,y que tras 20 ediciones a sus espaldas se ha ganado el prestigio y el respeto que se merece.

En ella hablaré de Android, y de como ser una plataforma popular no siempre es algo buena, ya que al mismo tiempo que los móviles crecen en popularidad, también lo hacen los incentivos para los atacantes. Este proyecto mostrará como construir un sistema de detección de intrusos, programado de forma nativa, altamente personalizable y capaz de leer firmas de Snort.

Estuve casi una semana en Las Vegas pasándomelo como un enano, gracias a gente como Manuel Fernández (@manuelffz), Alberto Gª Illera (@algillera), Javier Vázquez (@fjvva), Jose Miguel Esparza (@EternalTodo) o N. J. Ouchn (@toolswatch)... Estoy deseando que llegue la próxima el año que viene y nos volvamos a reunir! U-S-PAIN! U-S-PAIN!! :)

Después llegará el momento de Derbycon y mi charla Stealth Servers need Stealth Packets, y de Deepsec, donde mostraré AndroIDS: Mobile Security Reloaded, una evolución más estable del IDS/IPS para Android mostrado en Defcon. Allí tendré la suerte de coincidir de nuevo con Seba García (@eldracote) y Verónica Valeros (@verovaleros), conocer a Andrés Riancho (@w3af), y asistir a sus charlas sobre privacidad Bluetooth y Amazon Cloud. Definitivamente valió la pena!

Antes de continuar con las conferencias, estaré en el II ESET Security Forum, un foro de carácter meramente informativo y social donde se reune a lo mejor de este país en cuanto a seguridad informática se refiere y que día a día trabajan y lidian con estas temáticas desde sus respectivas responsabilidades.

En la primera parte se habló de las filtraciones y revelaciones de secretos realizadas por miembros de Anonymous o el excontratista de la NSA Edward Snowden. La segunda parte empezó tras un breve descanso, que los ponentes aprovecharon para reponer fuerzas y hacer un poco de networking con los asistentes, para luego hablar de las amenazas que afectan a todo tipo de dispositivos conectados a lo que se conoce como el Internet de las cosas. Podéis ver ya los vídeos del evento.

El siguiente escenario ya lo conoceréis prácticamente todos. Desde hacía ya unos meses, Pablo San Emeterio (@psaneme) y yo estábamos investigando y trasteando con la aplicación de mensajería instantánea WhatsApp. Mostramos algunos de nuestros descubrimientos, y además, creamos una aplicación llamada WhatsApp Privacy Guard, capaz de añadir nuevas capas de seguridad: cifrado, anonimato y utilizar tu propio servidor XMPP.

El primer gran destino donde mostraremos los resultados de la investigación será No cOn Name con una charla titulada Defeating WhatsApp's Lack of Privacy. Destacar la anécdota del cachondeo que tuvo que diera la charla de Rooted en camise, y la camiseta del Real Madrid que compré para dar la charla y lo bien que se lo tomó todo el público en Barcelona. El resultado lo podéis ver en la imagen que acompaña a este texto }:)

Nuestra investigación tuve una gran repercusión en los medios de comunicación. Tanto que periódicos de tirada nacional como ABC o el Mundo escribieron sobre ella, al igual que muchos blogs en Internet como Dark Reading. También tuvimos varias entrevistas para la radio, entre ellas para La Cope.

La presentación internacional de la investigación será en Black Hat Sao Paulo. Durante unos días (26 y 27 de Noviembre), me toca desplazarme a Brasil :D De nuevo, tengo la oportunidad de conocer a grandes profesionales como Kenneth Geers (@KennethGeers) o Josh 'm0nk' Thomas (@m0nk_dot). Agradecer a la organización de Black Hat la atención prestada, en especial a Meredith G. Corley (@MeredithCorley) y a Trey Ford (@treyford).

Se acercan las Navidades y parece que tanto Pablo como yo tendremos algo de tiempo para poder reponernos y descansar con los nuestros, pero recibimos un email de la organización de las VII Jornadas STIC CNN-CERT para dar una breve conferencia.

Así que manos a la obra. Hablaremos de Plataformas de Mensajería y Riesgos Asociados: Caso WhatsApp. Hubo un muchas charlas interesantes sobre BYOD, Malware, Wifi, Ciberseguridad etc. Os recomiendo que leais lala crónica del día I y II y echéis un vistazo a las diapositivas de las charlas.

Con este último evento finaliza un gran año. En menos de un mes estaremos dando guerra de nuevo en Shmoocon, Washington DC, con nuestra charla Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instant Messaging. Hablaremos sobre nuevos descubrimientos en la plataforma de mensajería, ataques DOS o técnicas de falsificación de mensajes.

Estoy preparando muchos proyectos y sorpresas para el nuevo año que se avecina, y que muy pronto compartiré con vosotros. Hasta ese momento, me gustaría desearos un feliz año y agradecer a todos el apoyo que me habéis dado todo este tiempo :)