Conferencia 2014 | Superhéroes
01 RESTORING COOPERATION – ONE KOLAB SERVER AT A TIME
Georg Greve
Kolab
Suiza
The perhaps greatest achievement of information technology is its ability to enable coordination and cooperation of globally distributed groups of people. It’s darkest hour came when people learned these same technologies they had come to rely upon had been turned against them as tools of control. Kolab started in 2001 with the goal to revert that trend. Its design principles included a strong requirement for Free Software and Open Standards, security oriented architecture, decentralisation, and end-to-end encryption. Kolab Systems CEO Georg Greve will take you on a journey of where and why Kolab started, the lessons learned, and how Kolab can enable you in taking back control over your own personal information.
06 HTTP BREAK-HEADER ON GSM NETWORKS
Julián Zarate
izit
Argentina
GSM es una arquitectura compleja de comunicación, que provee la capacidad de comunicación always-on, esto quiere decir que el móvil esta conectado todo el tiempo a la red de datos. Para esto hay componentes específicos que proveen esta capacidad. Mi investigación trata sobre la vulnerabilidad que presentan estos componentes, en especial el SGSN que es el encargado de proveer la conexión.
En la actualidad muchas empresas tienen sus servicios de valor agregado (VAS), como venta de contenido exclusivo, consulta de saldos y datos de facturación, ya sea por portales especiales o apps.
En este ataque basicamentente se engaña a los servidores que tengan los sistemas de consulta de datos y de saldo, enviándoles en el encabezado HTTP un tag llamado X-MSISDN, que basicamente es el numero de teléfono del usuario.
Este tag en el encabezado HTTP lo envia el SGSN, que es uno de los eslabones que forman parte de la red GSM, al cambiar este valor por otros se pueden obtener datos personales o de facturación de clientes con solo saber su número de móvil, y en el peor de los casos efectuar compras de contenido a nombre de otro cliente.
02 HARDWARE BACKDOORING X11 WITH MUCH CLASS AND NO PRIVILEGES
Matias Katz
Mkit
Argentina
X11 es mucho mas poderoso de lo que creemos. En esta charla voy a mostrar como generar un backdoor para cualquier Linux o BSD que utilice X11, X-Window o Xorg, usando solamente syscalls a X, sin binarios, ni Opcodes, ni privilegios para ejecutarlo, que pueda ser invocado por interrupciones de hardware en el equipo víctima.
07 LOS SIETE PECADOS CAPITALES DEL HACKING
Cesar Chávez
Ediciones Forenses SAC
Perú
Cuando recordamos los Siete Pecados Capitales, nos adentramos a un mundo en donde se nos viene a la mente los siete círculos de la divina comedia, obra del genial Dante Alighieri, en ellos tenemos la lujuria, la pereza, la gula, la ira, la envidia, la avaricia y la soberbia. Cada uno de ellos nos conlleva a situarnos en distintos estadios del comportamiento cibercriminal, es así que información relevante a cada uno de ellos, es fácil accesible mediante estos rastros.
Mediante mi experiencia, he logrado encontrar el rastro de muchos de ellos, sin necesidad de emplear métodos intrusivos, el perfil del cibercriminal y del potencial cibercriminal de Sudamérica es único, debido a ello he logrado investigar y crear un patrón de conducta de ellos.
Mediante el desarrollo de métodos de data gathering y en mi experiencia como consultor tengo una gran gama de detalles que son de utilidad para las autoridades policiales y los analistas de seguridad, mediante esta presentación daré los detalles al respecto, los mismos que se vienen desarrollando en el protocolo de seguridad informática que redacte y estoy editando para su publicación.
11 NETOBSERVATORY, SOMEBODY IS WATCHING
03 CSI MADRID S13E37
Lorenzo Martínez
Securízame
España
Suena el teléfono! Un amigo que me dice que se trata de un compromiso en el servidor de un cliente suyo. El dueño sospecha de un ataque interno. Hay que delimitar el alcance y el impacto, actuando lo más rápidamente posible. Llamo al cliente. Un centro médico al que le han cifrado los datos de la máquina donde almacenan toda la información de sus pacientes y han dejado un fichero de texto en el escritorio con un correo electrónico de contacto que termina en mail.ru.
En esta conferencia expongo cuál fue mi línea de investigación, describiendo los pasos cometidos por los ciberdelincuentes, en el ejercicio de análisis forense más apasionante que he tenido oportunidad de hacer.
08 THE GOVERNMENT AS YOUR HACKING PARTNER
José Garduño
Dreamlab Technologies
México
Las sociedades democráticas se enfrentan actualmente a un dilema muy difícil, por un lado, existe una demanda para tener acceso a los datos manejados por el gobierno como un mecanismo de control y auditoría, y por otra parte, que no hay marcos legales internacionales actualizados para el establecimiento de límites sobre la información que debe ser expuesto, especialmente en relación con los datos personales privados.
En esta charla se presentará los resultados de la tesis de maestría titulada ‘Las deficiencias en protección de la privacidad de Chile: una visión general de las políticas públicas, la cultura, el diseño del sistema, implementaciones y herramientas informáticas para su explotación.’
12 BITCOIN Y (IN) SEGURIDAD: 5 PARADOJAS
Philippe Camacho
Synaptic
Francia
Bitcoin partió a principios de 2009 como un simple proyecto de código abierto cuyo objetivo era crear un banco descentralizado. Sin embargo en a penas 5 años se ha transformado en un ecosistema que involucra millones de usuarios, más de 300 startups al rededor del mundo y que esta forzando los gobiernos a repensar la definición del dinero. La tecnología detrás de Bitcoin es poco entendida y plantea varios desafíos de punto de vista de la seguridad. En esa charla veremos porque Bitcoin esta por un lado abriendo extraordinarias posibilidades para manejar datos de forma segura en una red abierta, pero por otra parte genera nuevos riesgos globales e incentivos para el cibercrimen.
04 HACKEANDO CARROS EN LATINOAMERICA
Jaime Andrés Restrepo
DragonJAR
Colombia
Se realiza un recorrido por los diferentes problemas de seguridad encontrados en los últimos años por investigadores de seguridad en reconocidas marcas de automóviles de países anglosajones, teniendo claro que los carros de gama alta no son los únicos que se ven afectados por estos problemas. En esta charla mostraremos cómo marcas de carros económicas y altamente extendidas por países latinoamericanos, también cuentan con problemas de seguridad que podrían poner en riesgo a su conductor, acompañantes y peatones.
09 TRASH ROBOTIC DRONE ROUTER PLATFORM: AN INSANE DIY APPROACH TO EMBEDDED SYSTEMS
David Meléndez
http://taiksonprojects.blogspot.com.es
España
Trash Robotic Drone Router Platform involves an intense DIY journey for five years of personal investigation. It uses in most cases spare parts and promotes ‘reuse, not recycle’ idea and Hardware hacking, sensors, embedded C programming and robotics. Also shows all the internals of nowadays trending topic about robotics: multicopters and rovers. Real implementation of this paper is also unconventional, because it opens the door to control multicopters via it’s own Web server via Wifi.
A lateral investigation has been performed on the drone. A mitigation sistem that prevents Deauth attacks to access point Drone, preventing the pilot to loose the control in a attack event.
13 HACKING US AND UK, AUSTRALIA, FRANCE, ETC TRAFFIC CONTROL SYSTEMS
Cesar Cerrudo
IOActive
Argentina
Probably many of us have seen that scene from ‘Live Free or Die Hard’ (Die Hard 4) were the ‘terrorist hackers’ manipulate traffic signals by just hitting Enter key or typing a few keys, I wanted to do that! so I started to look around and of course I couldn’t get to do the same, that’s too Hollywood style! but I got pretty close. I found some interesting devices used by traffic control systems on important cities such as Washington DC, Seattle, New York, San Francisco, Los Angeles, etc. and I could hack them 🙂 I also found that these devices are also used in cities from UK, France, Australia, China, etc. making them even more interesting. This presentation will tell the whole story from how the devices were acquired, the research, on site testing demos (at Seattle, New York and Washington DC), vulnerabilities found and how they can be exploited, and finally some possible NSA style attacks (or should I say cyberwar style attacks?) Oh, I almost forgot, after this presentation anyone will be able to hack these devices and mess traffic control systems since there is no patch available (sorry didn’t want to say 0day ;)) I hope that after this I still be allowed to enter (or leave?) the US.
05 CYBERWAR: LOOKING FOR… CITIZEN!
Pablo González
Eleven Paths
España
Para el presente trabajo, se ha realizado un piloto con dispositivos móviles de tipo Android, por su gran cuota de mercado, aunque este modelo es extensible a otros sistemas y componentes. Se ha analizado cómo Internet y las nuevas tecnologías han situado a usuarios con y sin recursos en un plano equivalente, el cual, con los bajos costes de la tecnología hacen que los usuarios con menos recursos puedan alcanzar objetivos en los que en otras circunstancias no sería posible.
Se presentará una vía innovadora para, en caso de necesidad tanto de una organización, un estado o un grupo de personas, reclutar la tecnología de los ciudadanos (con o sin su aceptación). Para ello, se ha diseñado una infraestructura que permitiría gobernar a la ciudadanía, administrando, gestionando y utilizando la tecnología disponible alrededor del mundo.
10 HASTA LOS SUPERHEROES NECESITAN PROTECCION
Claudio Caracciolo
Eleven Paths
Argentina
14 HISTORIA DE LOS SUPERHEROES
Dr. Zombie
Zombiewalk Chile
Chile