REDUSERS | Seguridad | Todo el Mundo

Lo que nos dejó la DEFCON 23


 

Por Emiliano Piscitelli

Desde que llegamos pudimos apreciar que esto no se trataba de una simple conferencia que iba a pasar inadvertida, sino que se trataba de algo mucho más grande. Con el solo hecho de saber que contó nada más y nada menos que con más de 300 organizadores, 130 disertantes, más de 48 hs de Workshops, juegos como CTF (Capture de Flag), CTP (Capture the Packet), CTF SE (Capture the Flag Social Engineer), entre tantas otras cosas, nos puede dar una idea de la gigantesca dimensión que fue tomando este evento año tras año siendo este el numero 23.

Pero esto son solo números, repasemos cómo estaban estructurados los diferentes espacios para poder así tomar dimensión de lo que les estoy contando:

Este año los hoteles elegidos para montar la conferencia fueron el Hotel París y el Hotel Bally´s, aprovechando que ambos se conectan internamente (como muchos otros en Las Vegas).

Hotel Paris:

Este hotel fue el encargado de recibir a todos los asistentes ya que en él se encontraban montados los escritorios de registración, como así también los salones de las charlas y las áreas de ventas:

Track 1, 2, 3, 4 y 101: cada uno de los denominados tracks estaban compuestos por una sala muy amplia y fue en cada una de ellas donde se dictaron las diferentes charlas del programa.

Swag: en este espacio se podía encontrar todo el merchandising de la DefCon, allí podíamos comprar tazas, llaveros, remeras, chombas, camperas y diferentes artículos con muy buen diseño.

Vendor area: esta zona es donde se encontraban los stands de las diferentes empresas. A comparación de otros eventos (ej: CES (Consumer Electronics Show) al cual pude asistir en el año 2012) en este se podía comprar todo lo exhibido y allí encontrábamos desde servidores y notebooks por 100 U$S hasta teléfonos celulares, placas de todo tipo, ganzúas para lockpicking, etc.

Hotel Bally´s:

En este Hotel se encontraban las distintas Villages (¡entre tantas otras cosas!), las mismas se dividían por especialidades y estaban tan bien armadas con tanto contenido que asistir a cada una de ellas era como asistir a varias conferencias:

Mesa de Hardware Hacking
Mesa de Hardware Hacking

Villages:

Social Enginner: este espacio fue sponsoreado principalmente por social-engineer.org (famoso por su framework y podcast mensual sobre Ingeniería Social) y trustedsec.com (famoso por su herramienta SET (Social Engineer Tool)). Tanto el día Viernes como el Sábado se llevaron a cabo distintas charlas como así también su CTF SE, el objetivo que tenían que lograr los participantes que se habían inscripto días previos era tratar de obtener la mayor cantidad de datos de distintas empresas solo con una llamada Telefónica, para ello se montó una cabina acústica con un frente de vidrio y una cámara dentro para que los asistentes pudieran observar la llamada en vivo de los participantes. Esto estuvo realmente increíble!, y podemos afirmar que el ser mujer y dedicarse a la Ingeniería Social es una combinación explosiva ya que muchas de las víctimas eran hombres y cuando estas chicas los llamaban casi que le decían hasta cómo se llaman sus mascotas :).

Wireless: tal como su nombre nos indica este sitio estaba dedicado íntegramente a todo lo relacionado con la radiofrecuencia y allí podíamos encontrar mucha información, dispositivos y casi cualquier cosa que se nos ocurra relacionado con RFID, SDR, Bluetooth entre otros.

Lockpick: esta técnica que crece día a día está atrayendo cada vez más adeptos, no es ni más ni menos que “El arte de abrir cerraduras sin su llave original”.

Al entrar a este espacio nos encontramos con un lugar realmente increíble, tanto por lo amplio como por la cantidad de actividades que se estaban llevando a cabo. Pudimos apreciar desde un desafío para abrir un maletín y cortar el cable correcto de “La Bomba” antes de que esta explote, hasta mesas gigantes con miles de cerraduras de todo tipo con asistentes tratando de abrirlas utilizando diferentes técnicas y herramientas.

Tamper Evident: compartiendo espacio con la Lockpick Village se encontraba esta área dedicada a la seguridad física más específicamente a la manipulación de la evidencia. Para que se den una idea en una de las mesas se encontraban unos aparatos que generaba vapor y con este los asistentes despegaban el pegamento de cartas dispuesta a modo “evidencia cerrada” y por otro lado se podía ver algunos asistentes despegando etiquetas como las que están en los productos para proteger de aperturas y evitar la pérdida de la garantía, todo esto con la ayuda de un cutter y un liquido especial.

Crypto & Privacy: este espacio estaba íntegramente dedicado a la criptografía, se dictaron distintos tipos de charlas las cuales iban desde consejos para enrobustecer nuestros sistemas hasta cómo romper algunos otros :).

IoT: debido al crecimiento exponencial que están teniendo distintos dispositivos que se conectan a internet no podía dejar de faltar un espacio como este donde se vieron distintos tipos de dispositivos (pulseras, relojes, etc) y se trataron en profundidad vulnerabilidad 0-day, tutoriales, demos, etc.

Hardware Hacking: cerca del área de Lockpick se encontraba una mesa muy grande donde se podía observar miles de soldadoras, estaño, resistencias, capacitores, placas y distintos componentes electrónicos. Los asistentes podían comprar un Kit con todos sus componentes y ahí mismo armarlo con la ayuda de algunos de los organizadores.

Algunos de los Kits que se vendían eran dispositivos para clonar tarjetas RFID.

Car Hacking: muy cerquita de donde se estaba disputando el CTF podían verse unos automóviles, entre ellos un Tesla deportivo y una camioneta Jeep totalmente desmontada, también pudimos apreciar unas mesas con tableros y dispositivos de vehículos los cuales podían ser manipulados por los asistentes para poder así “Hackear” los mismos. En paralelo se llevaron a cabo distintas charlas donde se daban detalles y tips para poder llegar a hacer esto.

Interior de camioneta sin el instrumental
Interior de camioneta sin el instrumental

Packet Hacking: en este espacio se dictaron varias charlas y se realizaron desafíos que consistían en capturar los packetes vía WiFi y a modo concientización se mostraban en una pantalla gigante los nombres de usuarios, primeros caracteres de las password y servidores donde se estaban conectando algún que otro asistente distraído/confiado, siempre y cuando este se encuentre utilizando servicios que trafican sus datos en texto plano (sin utilizar SSL/TLS). Esta actividad es más conocida como Wall of Sheep dentro de la DefCon.

Workshops: dentro del hotel podíamos encontrar un área compuesta por 7 salas en las cuales se llevaban a cabo distintos Workshops, como así también salas denominadas “Skyview” por su ubicación en el último piso del hotel, el cual tenía una vista panorámica de Las Vegas.

Corte de cabello: Ya es una tradición dentro de la DefCon ver un área dispuesta a cortar el cabello, pero no es como cualquier peluquería sino que en este espacio predomina la maquinita y el rapado donde los cortes generalmente pueden ser al estilo Punk, teñidos y algún que otro diseño “especial” o porque no directamente sin pelo.

Temática: Desde el momento que nos acreditamos y obtuvimos el tan preciado badge pudimos notar que este año la conferencia iba a dar mayor importancia a la “Vulnerabilidad Humana” y esto pudo verse reforzado en el crecimiento de la Social Engineer Village la cual ofreció gran cantidad charlas y actividades predominando el CTF SE (comentado anteriormente).

A la misma concurrieron gran parte de los asistentes de la DefCon y pudimos notar que muchos de ellos casi que ni salían de la zona de SE a menos que les avisen que ya no iba a haber actividad alguna :).

Cierre del evento:  El cierre tuvo lugar en los salones denominados Tracks pero esta vez sin estar divididos,  formando así un lugar gigante y muy cómodo, totalmente acorde para poder alojar a tantas personas sentadas.

Al principio se mostraron unos cortos filmados durante el evento los cuales también eran una especie de competencia (algunos muy divertidos!), luego se hizo entrega de los premios a los primeros puestos del CTF, en este caso el equipo ganador resultó ser uno compuesto por surcoreanos (si tenían una media de 22 años era mucho!) a los que pudimos ver en acción y solo con pasar cerca daban ganas de apagar el teléfono, el reloj y cualquier otro dispositivo electrónico que tuviésemos como así también cubrir con papel aluminio las tarjetas y documentos :), por las dudas vio!. También se entregó el premio del CTF SE el cual fue ganado por una chica (tal como comentamos al principio ser mujer suma muchos puntos para la Ingeniería Social (Vulnerabilidad masculina quizás?)), luego se realizaron algunas menciones a organizadores que ya no participaran en las próximas ediciones, se dio a conocer la estructura que comentamos al principio de la nota (cantidad de organizadores, disertantes, workshops, etc) como así también lo recaudado por Hackers for Charity (entidad sin fines de lucro) que si mal no entendimos entre todo lo que recaudaron llegaron casi a los U$S 100.000! y por último cerraron el evento gran parte de la organización en el escenario aprovechando para invitarnos a la DefCon 24 que ya tiene fecha (4, 5, 6 y 7 de Agosto de 2016), lugar (mismos hoteles que esta edición) y hasta eventos organizados!.

Entrega de los premios CTF
Entrega de los premios CTF

Sinceramente entre tantas actividades (charlas, workshops, labs, etc) en simultáneo no sabíamos cual elegir y todo el tiempo sentíamos que algo nos estábamos perdiendo por mas que estemos en una charla increíble. Creo que este es el efecto que causa Las Vegas en general donde hay tanta oferta de hoteles, casinos, restaurantes, comercios y actividades que al menos nos llevaría unos cuantos meses poder recorrer todo y de seguro al terminar ya habrá otros tantas cosas nuevas que visitar, es por ello que creo lo mejor es ir con las actividades pre-seleccionadas y mal que nos pese saber de antemano que nos vamos a estar perdiendo otras tantas, pero no nos preocupemos! ya que anunciaron que a partir de esta edición se van a estar filmando la gran mayoría de las actividades y este material junto con el de otros eventos va a estar disponible inmediatamente en el sitio de la DefCon, algo realmente muy útil para ver, disfrutar y volver a ver una y otra vez.

Más leídas

Últimas noticias