honeycon2016

Por segundo año consecutivo nos vemos en una de las muchas actividades que la asociación HoneySec organiza en Guadalajara y que abarca a todo tipo de ámbitos, desde la infancia y la familia a la parte más profesional, ya sea desde una perspectiva más jurídica como técnica. En este post nos centraremos en la tarde del día inaugural.

La primera intervención vino de la mano de Miguel Ángel Arroyo (SVT Cloud) el cual abrió la ronda de ponentes con su charla “Swizzing en una aplicación iOS”. Hizo pasar los 50 minutos en un ambiente distendido, hablando sobre su experiencia en auditorías, tanto web como en aplicaciones móviles. Mencionó algunas herramientas para el desempaquetado de aplicaciones alojadas en la store (radare, otool)– ahora sabemos que te gusta el juego de chapas de fútbol, Miguel. Nos hizo una demo de este binario, modificando parámetros de funciones ya declaradas – algunas tan inocentes como sumar monedas – que pueden pasar a un siguiente nivel con temas más serios de manejo de datos.

El siguiente fue Manuel Guerra, del Grupo Técnico Operativo de la Unidad Central de Investigación Tecnológica de la Policía Nacional con un título inquietante “ Una historia de wifis ‘A saco Paco’”, para hacer una exposición de los hechos de un caso de APTs y el uso de una moneda de 5 céntimos a modo firewall y una cinta adhesiva a modo IDS. Al final nada era lo que parecía, y demostraba que la solución de seguridad más efectiva a veces es la más simple… o la que parece más absurda.

Recargadas las pilas con una buena merienda y algo de networking, volvemos a la carga con Alberto Ruiz Rodas (Sophos) y una buena ración de spam – lovely spam, wonderful spam – “No abras ese email, breve historia del spam”. Desde ese sketch de los Monty Python que le dio nombre, la evolución del spam en IRC a la actualidad, de qué manera se puede llegar a ganar mucha pasta con ese negocio, cómo se llega a ser un spammer involuntario y otras formas de trolleo por mail – historias insólitas por las que recaudar dinero “buenas causas, ¿quién no lo haría? ¿qué puede salir mal de todo esto?”.

Francisco Rodríguez (Incibe) nos trajo una inquietante muestra, ambientada en el hype de algunas películas de ciencia ficción, de lo que es hoy día el entorno de ciberataque, la exposición actual y la pregunta: “¿Estamos preparados para que todo lo que esté conectado sea objetivo de un ciberataque?”. Obviamente no hay suficiente control de todo aquello que por diseño se comunique por Internet. Y no es sólo el famoso Internet de las Cosas, hablamos de cosas mas simples como monitorizar los logs de nuestro propio router domestico, así como un indicador en línea de consola del país al que pertenece la IP, vamos viendo que el registro crece exponencialmente en un cortísimo espacio de tiempo.

Para redondear la tarde cerramos con un poquito de ambas pasiones, seguridad y videojuegos: “Yo soy cola, tú pegamento. Hacking de videojuegos”. Josep Albors (ESET) hizo un recorrido nostálgico que emocionó a más de uno. Desde las máquinas recreativas (Pong, Pac-Man…), donde ya existía la competitividad de copias de placas, evolucionando a la NES (1985) o la Super Nintendo con el cartucho copia, o con medidas antipiratería como las claves de acceso en juegos imposibles como La abadía del crimen o Indiana Jones (MS-DOS).

14494_2

Mítica la aventura gráfica de los chicos de Lucasarts ¿sí o no?

Dando un salto a la actualidad, con la llegada de los primeros juegos conectados aparecen nuevas formas de negocio, por ejemplo especulaciones inmobiliarias en juegos tipo Habbo o con modalidad multijugador (LOL, WOW…) las mafias encuentran un nicho no muy regulado hasta ahora. En el momento en que el juego conecta recursos con dinero real se convierte en un mercado muy rentable de monturas épicas, armas legendarias, skins de armas para Counter Strike, etc. Timos digitalizados de la estampita, DoS en mapas que arrasan con jugadores a X metros a la redonda, phising en chats, estas son las nuevas amenazas a las que se enfrentan los usuarios actualmente.

Y así concluimos la tarde, con ganas de más y mejor. Muchas gracias a la organización por montar un año más una edición y, como se dijo en la inauguración, que ésta sea peor que la tercera 🙂