Español | English
rss facebook linkedin Twitter

S21sec en la Black Hat DC

El día 31 de enero, llegó la delegación del equipo de auditorías de S21Sec a Washington DC, directamente a dormir por eso del cansancio del viaje más el jet lag.

El día 1 de febrero tocó relacionarse un poco con asistentes saludamos a Moxie Malinspike, a Deviant Ollam, Mike Kershaw, la tropa de Metasploit y a otros que conocemos de otros congresos, tanto Christian Martorella como un servidor estamos curtidos en estos congresos.

El día 2 de febrero, el día que presentaba, empezamos asistiendo a la presentación del cómico (y no por eso menos brillante) presentación de Chema Alonso, a ritmo de Macarena presentó su ataque "Connnection String Parameter Pollution", con gran éxito.

Después asistimos a las presentaciones de Mike Bailey y Joe Grant sobre flash hacks y “Hardware is the new software”. La primera bastante interesante donde Mike presento vulnerabilidades en importantes sitios que tienen aplicaciones Flash incrustadas, como por ejemplo, Microsoft y Paypal. A la presentación de Joe Grant llegamos algo tarde y visto el componente ultra a bajo nivel que estaba usando ya era imposible seguirle, pero me leí su whitepaper y me pareció muy muy bueno.

Llegó entonces la comida, un servicio realmente bueno, para que luego digan que toda la comida en USA es basura... Pero que no pude saborear mucho ya que quería dejarlo todo preparado para la mi presentación que era justo después de comer.

Llegó el gran momento, mi presentación "Playing a Satellite Environment 1.2" a la cual, a pesar de ser después de una abundante comida, vino bastante gente casi llenándose la sala más grande de las de la conferencia, por lo cual nos quedamos muy contentos con el éxito. Luego de la misma se acercaron algunas personas durante el resto de la conferencia, con ideas de como realizar la detección de las conexiones spoofeadas, pero hablando del tema se han desestimado todas las ideas, ya que se pueden evitar.

Después, una de las mejores sin ninguna duda fue la de David Litchfield "Hacking Oracle 11g", en la cual hace un repaso por la historia de la seguridad en Oracle y posteriormente expone vulnerabilidades en Oracle 11g, cuando lo ves te das cuenta que es muy muy sencillo... Pero claro debes de conocer las interioridades de esta base de datos, y en eso a David Lichfield supongo que solo algunos pocos empleados de Oracle le superan, y si no es así, David da la impresión al menos que por sus venas corre código PL-SQL.

 
Puesto que ya había visto a Deviant en Argentina, ahora tocaba ir a ver a Qing Wang viendo como hacía un reversing del formato de Office, un trabajo muy muy bien realizado. También vimos parte de la charla de Joseph Menn donde explicaba organización y persecución de las nuevas mafias "electrónicas". En S21Sec gracias a nuestro departamento de E-Crime, todo nos sonaba familiar, aunque ellos tenían un infiltrado en la RBN y van bastante mas allá.

El día siguiente, empieza fuerte con Mike Keshaw (el creador del Kismet) con "Wireless security isn't dead; Attacking clients with MSF" interesantiiisima exposición de este "curioso" investigador sobre como sigue siendo posible atacar a las redes inalámbricas, especialmente atacar a los clientes...

Después asistimos a la charla de Jorge Luis Álvarez Medina "Internet Explorer turns your personal computer into a public file server" , en la cual Luis demuestra que enlazando vulnerabilidades de riesgo bajo, se termina obteniendo acceso al disco de un cliente de Internet Explorer, la demo la hizo con un modulo customizado de BEEF, y también nos conto como han reportado N vulnerabilidades a Microsoft, y como resolvían algunas de ellas pero no la raíz del asunto.

Entre conferencias, tuvimos una entrevista con Andrew Greenberg un periodista de Forbes, ya que se interesaron mucho por la ponencia, tras explicarle en qué consistía el ataque publicado se mostró emocionado por el mismo y fue publicado en la edición digital de la famosa revista si acaso 1 hora después, el articulo estaba razonablemente bien, con la salvedad de que parece más fácil de hacer de lo que realmente es _. Andrew! Cuando te dije que era fácil, me refería que para un experto que sabe de la materia (comunicaciones vía satélite, networking, sistemas operativos, etc), no necesita ni mucho tiempo ni complicadas herramientas, pero no cualquier persona puede hacerlo así como así.

Respecto a la organización del evento, el hotel estaba bastante bien pero lejos de la ciudad en sí, tampoco es un problema extremo pero quita algunos puntos. El trato a los conferenciantes es prácticamente inexistente, llegas, hablas y te vas, la organización no trata contigo nada, cosas que en otros congresos no se da, la Black Hat tiene que aprender de la Ekoparty y la Confidence, donde los organizadores se encargaban de relacionar a todo el mundo, había menos elitismo y más camadería, que al fin y al cabo todos nos dedicamos a lo mismo, y otras conferencias tienen igual (o más) buen contenido que la Black Hat.

A pesar de eso, ¡es la Black Hat! :D

Por cierto, todo esto lo escribo todavía desde Washington DC, elegí alargar la
estancia hasta el sábado y un enorme temporal de nieve me tiene aquí atrapado desde entonces, mi aventura en la BH es más larga de lo esperado.

Presentación

Leonardo Nve
Depto. Auditoría

1 comentario:

Diegoibellini dijo...

Muy pero muy bueno el informe chicos, sigan adelante con el blog que realmente me alimenta de conocimientos muy interezantes dia a dia.
Gracias por compartir sus datos con nosotros


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login