martes, 15 de noviembre de 2016

HoneyCon2016

Guadalajara, 11 y 12 de noviembre de 2016
“Mucha gente”, mucha buena gente en el campus de la UNED.
Y comienza la II HoneyCON. Rompe el hielo…

#1 Miguel Ángel Arroyo. Haciendo no-se-qué (Method Swizzling) a aplicaciones iOS móviles.
Además de insistir - que lo va bordando- en el método de impartir charlas divertidas…da una charla interesante, más aún para quienes le han entendido al 100%.
Los que no, nos quedamos con la idea de que aplica los métodos OWASP para analizar las aplicaciones móviles, de iOS en este caso, destrozándolas para comprobar que en su desarrollo se han seguido las indicaciones antes mencionadas que coinciden con los diez mayores riesgos a tener en cuenta en el desarrollo de apps, y termina con los diez métodos de control al final del desarrollo.
¿Y que app se ha prestado voluntaria para la disección? SoccerStar, con la que juega la gente menuda de casa. Y llega a la siguiente conclusión: en la app “SoccerStar” se puede elevar el ”cash” de 30 a 500 monedas… o incluso más ¿Tontería?¿Es solo un juego,? No, hay algo más, y es que ha faltado el control, el desarrollo seguro.
Al final Miguel Ángel es un paladín cuya lucha es conseguir que la seguridad de las app sea tomada en cuenta desde el principio del desarrollo, y no esperar a que esté acabada para buscar las vulnerabilidades.
¡Ah! El resultado de la partida en su iPad fue de Miguel 1 - App/iOs 0 ¿O acaso esperabais otra cosa?

¡Si! A #2 Manu, quien cual de ”McGyver” empapeló por unos céntimos al peligroso ciber-delincuente APT a.k.a. ”Paco”. Pero esta historia la tenéis aquí contada-cantada...().

Volviendo a la Honey es turno de #3 Alberto Ruiz advirtiéndonos para no abrir el correo electrónico a tontas y a locas y dando un repaso a la historia del Spam amenaza a la par que una ”carne” enlatada de hace ya unos años… ¡o tal vez no tantos! De lo que no cabe duda es de que el spam no es tan solo una molestia sino que puede llegar a causar un perjuicio económico severo, por ejemplo, a una empresa que haya sido infectada y sus máquinas ”reconvertidas” a bots generadores de spam que provocan que la dirección IP de la empresa acabe indexada en listas de spammers y el consiguiente daño económico y reputacional.
El spam, además es el punto previo al scam, lo que lleva al phising, quedando el riesgo de ser víctimas de un ransomware  a sólo un paso; más bien a un clic de ratón.
Retomando el hilo de la historia, Alberto hace casi, casi la prueba del carbono-14 al spam, y nos muestra al “Padre de todos los timos”, o Zero-day letter, que resulta ser una carta fechada en 1905 con el curioso asunto de un prisionero español y una fortuna… Para troncharse: otra vez somos los primeros en algo. A partir de esa nos cuenta otras cuantas, del mismo tipo pero adecuándose al paso del tiempo y al devenir de la Historia, llegando a la conclusión de que, al final -y desde el principio- las técnicas de Ingeniería Social han funcionado, funcionan y funcionarán porque nuestro cerebro está aún en la versión V1.0, sin que se haya liberado parche alguno, que dicho sea de paso, tampoco se espera.
Y su último consejo fue el de ¡¡cifrad la información!! Porque así aunque nos la roben los malos no les será de utilidad.

Como fue de una utilidad indiscutible la charla de #4 Fran, maestro Jedi, quien despertó a la vez risas y admiración por un trabajo tan bien hecho, para nada juego y para todo real. Y no es que al hablarnos de honeypots quisiera congraciarse con la organización de la HoneyCon, sino que hay formas y formas de contar las cosas del Internet de las Cosas, y él lo hace como nadie para que le entendamos todos.
Porque ¿quién no va a entender lo que es una muñeca Barbie, un test de embarazo o una “taza del váter”? En el mundo 1.0 está claro para qué sirve cada uno, pero cuando se les dota de conectividad a Internet ya no está tan claro para qué quieren los fabricantes de la muñeca los datos (voz, imagen, etc) que recopilan, ni para qué pueden emplearse los resultados de un test de embarazo que, en lugar de “ver” las rayitas te muestran un mensaje en el móvil; claro que si mientras se resuelve el test la propia app te entretiene ¿por qué vamos a sospechar? Y ya, de lo de las tazas de váter, japonesas por supuesto y con todo tipo de “comodidades” y servicios añadidos: ¡se acabaron las penurias para tirar de la cadena! Un click en la pantalla del móvil y basta (por cierto ¿tiene opción de ahorro de agua? porque la mía, analógica, sí) Y tras las carcajadas, lo serio: todo esto es IoT, y hace unas semanas “muchos cacharros” hicieron un DDoS contra los servidores de DNS de Dyn que causaron serios perjuicios a importantes corporaciones (y hasta a los grupos de Twitter donde estoy…) Al final nos quedaron claritas dos cosas:
-una, el riesgo que corremos de tener ataques DDoS “de mierda” (con perdón, pero la expresión -que NO es mía- la leí en algún comentario de twitter -si me lees, autor, o puedes referenciarla, editaré esta entrada para hacer justicia-)
- dos, que Fran es grande como persona, pues en su magnífica charla hubo menciones para todos, y como profesional, lo que durante un café que compartimos Pilar, Marcos y yo con él pudimos comprobar.
Y es que todos estos cacharros terminan siendo controlados por los malos malotes desde no-se-sabe-dónde (o sí) que se camuflan por entre los cerca de 7K nodos de TOR, llenita la “cebolla” con servicios ocultos y otros abiertos, pero que por su peculiar funcionamiento no están indexados en la Internet “normal”. En resumen: o nos han… vulnerado o vamos a serlo.

Así que mejor nos vamos a jugar un poco con #5 Josep Albors y sus historias de videojuegos… y bichos correspondientes. Que ya desde el muy principio el tema de la burbuja inmobiliaria se veía venir en los videojuegos, al igual que el resultado de las elecciones presidenciales estadounidenses en los dibujos animados de Los Simpson años ha. En resumen: no hay resumen, pues la charla comenzó con los proto-videojuegos de quienes se entretenían con osciloscopios haciéndolos pintar recorridos de una pelota de tenis, para de ahí pasar a que dibujaran polígonos que eran bien naves espaciales bien...yo qué se; que de las lágrimas de risa pasé a las de pena al ver el Pong, ese complicadísimo videojuego al que recuerdo haber jugado “insertando coins” de 5 ptas…
Con lo que me quise quedar, que considero lo más importante de la charla -desde mi punto de vista- es que debemos concienciar a los peque-usuarios de los teléfonos móviles de que han de tener mil ojos cuando descarguen juegos desde las aplicaciones oficiales ¡ya no decimos desde las no oficiales, que no deberían hacerlo!
Así, entre risas y marcianitos terminó Josep su charla y con el Game Over correspondiente la HoneyCon en su segunda edición, dejando un listón muy muy alto que no dudo superarán en la próxima… ¡en la que espero estar de nuevo!

Un cordial saludo.
Publicado por en
Etiquetas: , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)