Como otro año más parte del equipo de Section9 Security se ha desplazado a las Vegas, con el fin de asistir a la Defcon 19. La Defcon es uno de los acontecimientos más conocidos a nivel internacional. Por sus instalaciones se pasean todo tipo de eminencias en el campo de la seguridad Informática, así como muchos adeptos que no se quieren perder nada de lo ocurre en él.
En la concentración se pueden encontrar varios tipos de eventos, múltiples charlas de temas totalmente variados y para todo tipo de público. Un concurso de Capture The Flag (CTF) dónde equipos de todo el mundo se baten en un duelo de ataque/defensa, además de otros retos de hacking menores para los asistentes.
Incluso hay la Defcon Kids, el evento para los más pequeños. Este año una chica de tan solo 10 años comentó varias deficiencias en múltiples programas de Android que permitían manipular el comportamiento mediante una simple modificación del reloj del sistema.
Otro aspecto interesante de este evento es el Budge o entrada, habitualmente se trata de elementos electrónicos con algún tipo de funcionalidad curiosa que despierta el interés de los asistentes, sin embargo, este año la organización sorprendió con unos Budge algo más sencillos que los últimos años. No contenían nada de electrónica ni tenían ningún tipo de usabilidad lúdica.En el siguiente enlace se puede apreciar el aspecto de uno de estos Badges. En este caso se trata de un visitante habitual, catalogado como 'HUMAN':
Cada una de estas piezas contenía una pequeña muesca en el lateral. En la imagen se observa esta muesca en -45º (tomando el anclaje como punto de referencia). El símbolo que se encuentra en medio se observaba también en varios elementos de la Defcon, como los carteles publicitarios o el cuaderno que facilitaban junto con la entrada. La idea era solucionar un rompecabezas que requería una cierta interacción social y obtener conclusiones en base a las muescas, números y simbolos.
CHARLAS
La cantidad de charlas era tan extensa que no hay espacio para hablar de todas ellas. Los temas eran sumamente variados desde cómo destripar sistemas de hardware, búsqueda de información en la red y la nube, e incluso nuevas vulnerabilidades aparecidas en los últimos meses.
Se puede obtener un listado completo de las charlas y speakers que conformaron la Defcon en el siguiente enlace
También podeis descargar las charlas y DVD's haciendo click aquí
WORKSHOP
La Defcon ofrece un sinfín de talleres prácticas que ayudan a familiarizarse con las herramientas y procedimientos utilizados por los profesionales de la seguridad en todos los ámbitos. Al igual que las charlas, los Workshops cubren un abanico infinito de campos y niveles de complejidad.
La temática pasaba de aspectos tan extravagantes como Hacking de coches, a temas más usuales como Explotación de inyecciones SQL o Hacking de móviles. Todos ellos llevados con gran dinamismo y haciendo pasar un rato muy interesante a todos los asistentes. Un gusto haber podido disfrutar de ellos.
En el siguiente enlace se puede encontrar el listado completo de Workshops realizados en la última edición del congreso:
CAPTURE THE FLAG
El Capture the Flag (CTF) de la Defcon, es uno de los más importantes a nivel internacional. Ha cambiado muchodesde que se organizaba bajo el mando de Kenshoto. Actualmente sus organizadores son DDtek, que fueron ganadores de ediciones pasadas bajo el nombre "Sk33l 0f r00ts".
Es costumbre que los organizadores den sorpresas año tras año para dificultar la tarea a los equipos participantes del concurso, este año se ha migrado la infraestructura a IPv6 en lugar de la antecesora IPv4. Esto ocasionó que muchos grupos tuvieran que adaptar todas sus infraestructuras a este nuevo protocolo, así como las herramientas ya que los servidores tenían deshabitado el soporte para IPv4.
El resultado final puede observarse en la web oficial de los organizadores ddtek.
1. European Nopsled Team
2. Routards
3. Hates Irony
4. IV
5. int3pids
6. lollersk8ers
7. Plaid Parliament of Pwning
8. PLUS@Postech
9. Shellphish
A. ACME Pharm
B. VelociROPtors
C. sutegoma2
Pese a que este año int3pids no hayan sido los ganadores, desde aquí queremos felicitarlos por su clasificación en este dificilísimo CTF, seguro que el proximo no se les resiste el primer puesto.
Se rumorea y se comenta que algunos equipos pudieron acceder a todos los servidores como administradores y obtener así multitud de puntos. Desde la organización no se ha hecho mención a nada de esto… será verdad?
Marc Brush
Security Evangelist - Section9 Security
