Este es el año de DevOps y RootedCon lo sabe


Si no has leído el artículo del año pasado es posible que no sepas que RootedCon es un congreso nacional de seguridad informática al que GFT intenta asistir cada año. La presente edición tuvo lugar los días 2,3 y 4 de Marzo y se celebró en Madrid.

Por segundo año se ha celebrado en el cine Kinepolis de Pozuelo de Alarcón, con dos salas disponibles para el congreso. La de mayor aforo estaba dedicada a seguridad y hacking tradicional mientras que la segunda estaba dedicada a temas de DevOps relacionadas con seguridad.

En el discurso de apertura hubo una sorpresa: se presentó un corto realizado con la colaboración de RootedCon. Con una duración de unos 13 minutos, Bea Cabrera nos cuenta la historia de un analista de seguridad que descubre que está siendo espiado. No revelaremos más acerca de la trama, podéis ver el corto a continuación:

La primera de las charlas la impartió Mikko Hypponen, un gran conocido dentro del ámbito de la seguridad informática y un veterano ponente de las charlas TED. Expuso su visión acerca del estado actual de la seguridad en los ámbitos de ciberguerra especialmente. Sus mensajes clave de “hemos perdido la guerra de la privacidad, me niego a perder también la de la seguridad” o que “los datos son el nuevo petróleo” resonaron mucho en el público, poniendo ejemplos acerca de cómo los usuarios medios de internet están dispuestos a sacrificar su privacidad a cambio de ceder sus datos a empresas como Google, los cuales explotan estos datos y los venden. Por otro lado también comentó lo que está sucediendo con IoT (Internet of Things), donde actualmente los fabricantes están cometiendo errores de seguridad que se daban en dispositivos tradicionales hace 10 años. Hizo especial hincapié en esta última parte, sugiriendo que los fabricantes fuesen responsables de los fallos de seguridad de sus productos de la misma forma que se les hace responsable en caso de fallos que puedan causar daños a sus consumidores.

Otra de las charlas de gran interés, fue la de “Actualizando Devops a SecDevOps”, en la cual Paúl Santapau nos contó cómo incluyen seguridad en el proceso de DevOps en su empresa. Este es un tema muy complejo, ya que la seguridad tradicional tiende a frenar al desarrollo hasta comprobar que todo sea seguro, mientras que DevOps tiende a automatizar y a sacar a producción software muy rápidamente (del orden de varias veces a la hora en algunos casos). Esto es inabordable por los equipos de seguridad tradicionales. Ahondó en temas de incluir seguridad en Continuous Delivery con automatización e integrarse con el equipo que utilice metodologías ágiles.

Al final del primer día, se reunieron varios de los líderes y ex líderes de la brigada de delitos telemáticos de la guardia civil en una mesa redonda donde expusieron sus experiencias al frente de un equipo joven y con pocos medios. Comentaron anécdotas durante sus épocas de mandato y compararon los cambios que han experimentado a lo largo de sus carreras. Finalmente abrieron la ronda de preguntas al público y finalmente lanzaron un mensaje de colaboración entre hackers y la guardia civil. Porque, como dijeron ellos, los hackers no son sinónimo de criminales, sino de expertos en una materia y que son capaces de idear soluciones creativas a problemas. Los que destrozan webs y roban datos son criminales.

El segundo día hubo 3 charlas que fueron especialmente interesantes:

  • “Seguridad del DNIE 3.0:¿Más problemas que soluciones?”: Ricardo J. Rodriguez recorrió la historia del DNI desde los primeros documentos hasta el reciente DNIE electrónico en su tercera versión. Estuvo estudiando la seguridad que ofrecen los chips integrados y cómo extraer información de ellos. Un ejemplo que expuso fue utilizando RFID, un medio inalámbrico o “contactless”, del propio DNI para extraer información. Estudió si existía alguna vulnerabilidad a nivel criptográfico e ideó un ataque utilizando un malware hecho a medida que utilice el lector RFID del móvil para extraer información del DNI. Ricardo comunicó varias propuestas de mejora para el DNI a las fuerzas y cuerpos del estado.
  • “Dirtytooth: It’s only rock’n roll, but I like it”: ¿alguien no conoce a Chema Alonso? Es un viejo conocido del campo de la seguridad informática y que aparece en televisión y en la radio a menudo para comentar acerca de la seguridad en la tecnología. Esta vez expuso un posible ataque utilizando un altavoz bluetooth para robar los contactos de usuarios de iphone
  • “¡¡OOOSINT nena!! Vamos a por tí Mr. Ripley”: Selva Orejón y Eduardo Sanchez estuvieron trabajando, como perito judicial y experto en seguridad informática respectivamente, para poder localizar a un estafador y embaucador que llevaba más de 20 años delinquiendo. Nos explicaron cómo hicieron para localizar a un hombre con más de 25 identidades falsas y que ha robado y engañado a muchas mujeres durante todo este tiempo. Utilizando OSINT y las redes sociales, fueron capaces de contribuir a la captura de este criminal.

Durante el tercer día, hubo otras 3 charlas que llamaron la atención a los asistentes:

  • “Docker puede no ser tu amigo: troyanizando imágenes de docker like a sir”: Dani García y Roberto Muñoz expusieron las bondades del software de virtualización de moda: Docker. Ellos nos explicaron que Docker tampoco es la panacea, que tiene sus riesgos y nos comentaron algunos fallos de seguridad que han encontrado en este software además de hacernos ver que existe un gran desconocimiento para utilizarlo de forma segura.
  • “Automate or die! How to survive to an attack in the cloud”: la cloud es otro de los temas de moda de este año. Toni de la Fuente trabaja en una empresa que utiliza cloud a diario y trabaja para protegerla. Durante su charla, nos explicó acerca de cómo monitorizar su cloud para enterarse de problemas en cuanto suceden, los distintos métodos que existen para realizar una investigación forense a servicios cloud y también varios ejemplos de cómo utilizar la cloud de forma insegura.
  • “Whatsapp end to end encryption”: muchos han sido los rumores acerca de la inseguridad de whatsapp. Y es que la aplicación se lanzó (y estuvo durante mucho tiempo) sin cifrado. Raul Siles, otro viejo conocido dentro del mundo de la seguridad, nos contó acerca de cómo funciona la criptografía actual de WhatsApp. Se trata de un sistema de cifrado bastante complejo y hoy por hoy seguro. Raúl nos lo explicó con todo lujo de detalles desde un punto de vista teórico.

Como conclusión podemos decir que este congreso ha sido de los más novedosos en temas de seguridad en DevOps, un tema que está muy de moda a día de hoy en cualquier empresa tecnológica importante. Hasta la fecha existen muy pocos estudios acerca de este tema y que va en aumento. Desde GFT nos mantendremos atentos acerca de todas las novedades y mejorar así la calidad de nuestro trabajo día a día.

Esperamos con impaciencia el congreso de RootedCon 2018.

Hasta entonces, recuerda: think evil!
@albhervalejo