2012/09/24

Ekoparty 2012

Este año me he llevado varias cosas:

La práctica hace al maestro

Muy buenos los HTExploit (Soler/Katz), parece un número de teatro [1], muy bien llevado.

Plan B


Brillante como el muchacho de los ataques USSD[2] contra Android zafó cuando le falló el primer ataque. Quizo mandar un sms que nunca llegó, entonces, sin perder la calma, le metió el link a manito.

 

Exótico

Que un overflow de unos enviado a un IVR[3] provoque un stack trace y que el sistema te lo lea.

 

Ataque o accidente de Ingeniería Social

El último día fuí víctima de un ataque de ingeniería social o de un accidente.

Mientras iba en bici municipal desde el centro, o mejor dicho, mientras caminaba las ocho cuadras desde el nodo hasta el Konex pensaba que hubiera estado bueno un nodo temporario allí. En la puerta me encontré a Juan Pablo, que sé que es uno de los organizadores y lo interpelé:

-Hola, tenés medio minuto? No me conocés pero...
-Sí que te conozco- me interrumpió.
-Puede ser, del barquito del año pasado, quizas...- agregué mientras forcejeaba con mis credenciales para entrar. (TOMAR NOTA DE ESTE MOMENTO)

Ya autenticado caminamos unos metros juntos mientras le exponía la idea.

-Quizas se pueda gestionar el año que viene un centro temporario de distribución de bicicletas acá. Yo he venido tanto ayer como hoy desde el centro asi.
-Buena idea, la anoto.

Paralelamente en mi mente otro thread conversaba conmigo

-Tanto el de seguridad de la puerta como Juan Pablo deben pensar que soy el tipo más estúpido del mundo, ¡no puede ser como le dí servida la información!

Aunque es verdad que habíamos conversado algo el año pasado y si tiene algo de memoria quizas me recordaría, obsérvese como soy yo quien provée la información. Él puede estar recordando o apostando.

Lo interesante es que nunca voy a saber que ocurrió en realidad:


RecordabaNo recordaba
Lo admiteNo lo admite
Es un ingeniero socialAcá no pasó nada...Se revela como ingeniero social y que me atacó, difícil¿Qué esperabas?
No es un ingeniero socialSimplemente me recordabaEs mentirosoEs un ingeniero social nomás

Always crashing in the same car [4][5]

El primer día ya quedó claro que la resolución, ajuste de color y contraste del proyector no se correspondían con lo que había en el monitor de cada expositor. Esto provocaba que ciertas combinaciónes de colores no se vieran y desaparecieran lineas.

Mis preguntas son:

¿Ningún expositor vió como un expositor previo fallaba y por ende ajustó su presentación para que no le pasara lo mismo?

¿Nadie de la organización tuvo una reflexión similar y alertó a los siguientes expositores?

Si la respuesta fuera "Alguien reparó en ello y los expositores alertados decidieron que no valía la pena", ¿por qué cada uno de ellos mostró sorpresa o consternación cuando le llegó el turno?


Las semillas


  • Unos señores pelados mostraron lo mal que están unos sistemas hogareños y comerciales de alarmas comunes en USA. Han recopilado un montón de mensajes que se construyen con un hash, cuya fórmula desconocen. Les he solicitado que me los envíen a ver si puedo aportar algo.

  • Conversando con el master de w3af: no lo pude convencer de migrar a erlang, pero si le sembré la duda acerca de como está su sistema de testing, tema para el próximo Agile Open [6] 
  • VGA Rootkit: flashearon el firmware de la placa de video y metieron código arbitrario. Si tuviera tiempo vería de...

La llave del conocimiento

El primer día lo "perdí" en lockpicking village. Cuando mi jefa se enteró me encajó un "eso no aporta valor". Permítanme disentir.

Por un lado aprendí lo fácil que es abrir un candado o cerradura, lo cual no es relevante en sí. Pero el poder ver como un mecanismo mecánico se puede trampear una vez que ha sido comprendido (o incluso sin comprenderlo, a lo script kiddie) al menos a mi me pone en un modo mental de ver los mecanismos informáticos, de procedimiento o mentales en la misma sintonía. Estos mundos son muy abstractos y en última instancia "irreales". Así como la autoridad, la ley y todas esas cosas de la conviviencia social terminan apoyándose en un revolver, las cerraduras, las cajas fuertes, las paredes, puertas y los alambres de púa son el cimiento final de la seguridad.

Recuerdo el final de 2001 (en libro) cuando Bowman en su nuevo plano de existencia se apodera de un arma en órbita, me parece, llega al final de todos los circuitos y allí hay un relé que lo detiene momentaneamente, pues es real.

Como anécdota sabrosa, al salir busqué una persona de cerca de ocho años, le mostré como y en pocos minutos abrió dos candados con mis herramientas recientemente construidas. El tercero lo abrió con un clip en pocos segundos.

Como detalle deprimente, acabo de probar un candado que uso. Me llevó veinte segundos poner las herramientas en posición y cuatro abrirlo. Yo no tengo experiencia, ¡es muy poco!

¿Esposas? menos de diez segundos, suerte de principiante. Supongo que son muy chotas.

El postre


Expuesto por /home/$user






[1] http://www.mkit.com.ar/labs/htexploit/
[2] http://en.wikipedia.org/wiki/Unstructured_Supplementary_Service_Data
[3] http://en.wikipedia.org/wiki/Interactive_voice_response
[4] http://www.youtube.com/watch?v=l2vEtfyveeY
[5] http://www.metrolyrics.com/always-crashing-in-the-same-car-lyrics-david-bowie.html
[6] http://www.agiles.org/agile-open-tour/agile-open-buenos-aires-2012---seguridad

No hay comentarios:

Publicar un comentario