(Por Rubén Borlenghi, el Microsaurio) Investigar vía web sin dejar demasiados rastros, destripar electrodomésticos, cómo arruinar un celular y otras cosas más fue el saldo de la última jornada. Terminó el ruido, se fue la gente, Nitroman apagó el secuenciador de LEDs. Hora de hacer balance de la conferencia de seguridad más notoria de América del Sur. Ahí van los comentarios de las conferencias del viernes, último día de la Eko.
Por la mañana bien tempranito se presentó el Grugq, el que trabaja para los singapurenses de Coseinc, y explicó cómo investigar vía web sin dejar demasiados rastros (muy útil) o cómo ingresar donde uno no es bienvenido y no llamar excesivamente la atención, que es muy insalubre; luego de esa conferencia me fui a la de Lorenzo Martínez Rodríguez, español el hombre, y muy versado en las artes de destripar electrodomésticos para que, transformados en dóciles servidores, informen al Señor Dueño de Casa sobre quién anda ahí, qué hace y qué estará tramando el intruso (en caso de que algún intruso se haya animado a entrar).
Porque lo que mostró Lorenzo fue lo que hizo con su casa, en cuanto a modificar la alarma, controlar al robot limpiador de pisos con su celular, encender o apagar aleatoriamente equipos para simular presencia durante las vacaciones o evaluar la cara de quienes se paran delante de la puerta o entran al departamento, comparándolas con una base de fotos propia.
Por supuesto que el sistema de identificación biométrica está preparado para llamar por teléfono a la policía y avisar que hay intrusos. Y si lo ha reconocido, agrega en el llamado automático una frase con el nombre y apellido del invasor. Y si el dueño de casa les ha dejado un mensaje, porque son parientes o amigos, le recita a cada uno el texto correspondiente.
Pasado el almuerzo, donde conversé con viejos amigos y disfruté de la charla de Lorenzo (otra vez) que se despachó entre broma y broma con un plato diet de milanesas con 2 huevos fritos, volví a la Eko y escuché la explicación de cómo arruinar un celular Samsung Galaxy borrando todo su contenido, al aprovechar una falla de su software; tema expuesto por el indio Ravi Borgaonkar (si querés detalles, podés leer este buen resumen en la publicación británica Heise). También me enteré de cómo se puede atacar la placa de video de una PC para instalarle un rootkit (en serio) gracias a Nicolás Economou y Diego Juarez, de CORE Security Technologies, y finalmente escuché la detallada explicación de Thai Duong y Juliano Rizzo sobre C.R.I.M.E., el método para quebrar la criptografía de las sesiones HTTPS.
Si los nombres te resultan familiares, es porque se trata de los dos investigadores que presentaron B.E.A.S.T. en la Eko del año pasado, y generaron un sonoro revuelo en los medios (serios) internacionales. Aunque la pronunciación inglesa de Thai Duong era ríspida, cuando uno tiene la oportunidad de escuchar a un investigador explicando su trabajo hay que ponerle toda la onda, y así lo hice.
Eso de C.R.I.M.E va por «Compression Ratio Info-leak Made Easy», algo así como «filtración de información a través de la relación de compresión, hecha fácil». Pues de eso se trata, de trabajar sobre la compresión del código HTML de una página HTTPS, de tal manera que se pueden detectar ciertos parámetros, para terminar capturando cookies. Y según vi en la demo, se usa un código de 13 líneas (sí, el exploit tiene sólo trece líneas) para ingresar indebidamente en una cuenta (ajena) de Twitter. La falla se encuentra en los navegadores Firefox, Opera, Chrome y otros (no en Internet Explorer, dice Microsoft) y el par de especialistas puso sobre aviso a los proveedores, de manera tal que todos esos productos fueron emparchados antes de la fecha de la presentación en público, acá en Buenos Aires. Si querés más datos técnicos sobre C.RI.M.E., los podés leer en esta nota de la estadounidense Ars Technica.
Fin de fiesta, con Fede Kirschbaum y los demás organizadores saludando, entrega de premios a los ganadores de Capture The Flag, que este año fue organizado por un team colombiano, y la muchachada se fue a festejar.
Nota: uno de los colombianos deslizó que el nivel de los hackers estaba un poco flojón, porque de los 30 desafíos presentados se habían batido poco más de 10; pero de todas maneras, me enteré que en este concurso de hacking se habían pagado premios en efectivo que fueron los más grandes hasta la fecha en Latinoamérica (poco más de mil dólares)
Si a alguno le molestó la calificación «la más notoria de América del Sur», lo lamento. Traten de averiguar cuál otra conferencia de seguridad informática de estas Pampas del Sur apareció citada en publicaciones especializadas de EE UU o Europa. Los patrocinadores de esta Eko (hasta de Francia…) y los que dictaron cursos y talleres hicieron un esfuerzo que, según los comentarios del público, valió la pena. Yo coincido, y espero que las pocas fallas o desniveles que vi este año, se limen en la próxima.
Ah, si algún lector despistado se pregunta cuál era el nivel de los asistentes, hay un método para definirlo. El lema de la Ekoparty para este año era «in XOR we trust», y todos los asistentes sabían porqué eso era gracioso. Y hay que juntar mil doscientas personas que entiendan ese chiste, en la misma sala, durante tres días…
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291