Crónica Defcon (III): Orgullo español

Tras los dos especiales donde os hemos mostrado las importantes vulnerabilidades descubiertas y presentadas en la Defcon por algunos de los investigadores españoles allí presentes, cerramos la cobertura de este importante evento con el resumen del tercer y último día.

Una de las charlas que más expectación había creado entre los asistentes era la que iban a dar los investigadores Sergey Gordeychik, Denis Baranov y Gleb Gritsai titulada “SCADA Strangelove: How I learned to start Worrying and love the nuclear plants”,donde supuestamente iban a desvelar nuevas vulnerabilidades en sistemas de control de infraestructuras críticas. No obstante, esta charla se canceló una semana antes de celebrarse la Defcon, no sabemos muy bien el por qué, pero quizá fuese debido al peliagudo material que contenía.

En su lugar, el investigador R. Wesley McGrew de la Universidad Estatal de Mississippi, realizó una presentación con una temática similar donde repasaba fallos conocidos en sistemas obsoletos de los años 90 (centrándose en el fallido Bob de Microsoft) y cómo algunos de estos fallos se seguían viendo en sistemas de control de infraestructuras críticas actuales. Algunos de los fallos de seguridad que se mostraron seguramente darán que hablar en las próximas semanas, por lo que más de un fabricante de estos sistemas ya estará tratando de solucionarlos tras esta presentación.

Otra de las charlas interesantes que vimos ese día fue la dio el investigador Michael Coppola, quien demostró cómo muchos de los routers que se usan en un ámbito doméstico o de pequeña empresa pueden ser comprometidos y convertirse en parte de una botnet al actualizarlos con una versión modificada del firmware proporcionado por el fabricante. Esto abre un nuevo mundo de posibilidades donde los modelos de routers afectados podrían ser controlados remotamente por delincuentes con todo el peligro que eso supone.

Siguiendo con vulnerabilidades en routers, la siguiente charla se centraba en los fabricados por la empresa china Huawei. En esta presentación, el investigador FX destrozó los routers de esta empresa dejándolos muy mal parados, algo que seguramente no le hará mucha gracia a la empresa que los fabrica. Fueron tantos los bugs que se encontraron que merecerían un post aparte pero, en resumen, la calidad de su código es muy pobre, existiendo puertos importantes (SSH, FTP, HTTP) abiertos por defecto que permiten, por ejemplo, acceder a la memoria flash del sistema por FTP.

Cambiando de temática drásticamente, nos llamó la atención una preentción titulada “¿Puede Twitter ayudar realmente a detectar a psicopatas?”, en la que una serie de investigadores habían analizado los comentarios de cientos de usuarios de Twitter y los comparaban con otras estadísticas para ver si se podía observar un comportamiento psicótico y que esta detección no fuese un falso positivo. Esta presentación nos demuestra que hay intereses en observar nuestra conducta online para prevenir actos delictivos, aunque aun estamos lejos del futuro planteado en la película Minority Report :-).

En la última hora de presentaciones, vino la sorpresa de la mano de Alberto García Illera, con su charla “Cómo vulnerar toda la red de transportes de un país”. En una convesación previa que tuvimos con el joven investigador este ya nos había comentado brevemente algunos puntos muy interesantes de la charla, por lo que decidimos no perdérnosla por nada del mundo.

El resultado lo habéis podido leer estos días en nuestro blog. Alberto realizó una presentación magistral donde, con un sentido del humor que hizo que la audiencia no parase de reír en casi toda la charla, vimos cómo se podía comprometer el sistema de tickets de Metro y de billetes de Renfe usando los kioskos electrónicos que hay a disposición de los usuarios en las estaciones.

Tras la presentación corrimos a encontrarnos con él y su compañero Luis Delgado, que también había dado una interesantisima charla el día anterior, y de la conversación posterior salieron los dos especiales que habéis podido leer estos días en nuestro blog.

Una vez terminada charla de clausura nos tocó decir adiós a esta vigésima edición de la Defcon, no sin mucho pesar en nuestro corazón. No obstante, nos vamos con la sensación de haber vivido una experiencia única, compartido muy buenos momentos con los mejores investigadores de todo el mundo y haber formado parte, por unos días, del mayor evento de seguridad informática del mundo. Ahora toca revisar todo lo que hemos aprendido y prepararnos para Defcon 21 el año que viene 🙂

Josep Albors

@JosepAlbors

Dropbox soluciona su brecha de seguridad y anuncia nuevas medidas