ElevenPaths en DEFCON, la crónica

Aunque lo importante es la investigación presentada (daremos los detalles en una publicación posterior), vamos a repasar en esta entrada algunas de las curiosidades vividas en la convención de seguridad informática más grande del mundo, la DefCon. Esta semana varios de nuestros expertos nos contarán la experiencia vivida en este evento referencial en seguridad informática, en esta ocasión Sergio de los Santos, director de Innovación y Laboratorio de ElevenPaths, nos cuenta la suya.

Vista general del auditorio principal durante la charla

Junto a Sheila Berta presentamos la investigación en el Track 1 de DefCon, la sala más grande reservada para las investigaciones. Existían dos tracks más. El resto de convención se componía principalmente de lo que llamaban «villages» que no eran más que salas temáticas de diferentes tamaños donde se podían dar charlas, talleres, cursos, labs, concursos, demostraciones… Existían villages de ingeniería social, biohacking, lockpicking, bitcoins, recon, packet sniffing, un museo de aparatos antiguos… Las salas se repartían entre varias plantas del gran Caesar’s Palace, y la de car hacking tuvo que desplazarse al hotel de enfrente, el Flamingo’s.

Lo primero que llama la atención es la cantidad de gente, eventos, salas, charlas, actividades e incluso perfomances que puedes encontrar. A cada paso, un evento interactivo donde literalmente podías desde intentar controlar la parte electrónica de un coche, pasando por destripar y conectarte a los circuitos de una máquina de votación real para intentar «romper»”, hasta un cursillo rápido de cómo abrir cualquier cosa sin que se note (desde una caja sellada, hasta una presilla, pasando por unas esposas con ganzúas). Sin olvidar los concursos de hacking en tiempo real de todo tipo y las charlas más oficiales en los «tracks». Todo tremendamente interactivo, informal, práctico, con aficionados tirados por el suelo con portátiles de lo más estrafalarios, disfraces con leds imposibles y siempre todo lo expuesto y explicado complementado con material real que puedes palpar, romper y abrir, aquí lo prohibido es no tocar.

Casi 25.000 personas, un evento con inevitables detalles negativos en la organización pero muy bien en general. Había tanto espacio, que incluso tenían actividades más extravagantes como un concurso de sombreros de papel de plata («tin foils» en inglés, ya sabes por aquello de que si nos espían no nos lean los pensamientos), un sitio para hacerte un corte de pelo a lo mohicano (mohawkCON, lo llamaban), DJ sets por la noche… Parecía un festival de música, donde ves de todo y hay de todo pero sin alcohol ni apenas música de por medio, solo cables, placas, código y hacking en estado puro. Cabe destacar que mantienen la tradición de cuando apenas iban cien personas al congreso, si hablas por primera vez en él, debes tomarte un chupito de Bourbon en el escenario frente a tu nuevo público justo antes de la charla. Y así lo hicimos. «Shot the n00b» se llama.

El badge era la sensación entre asistentes y ajenos a la convención. Cargado con 4 pilas AA, en realidad es un circuito inteligente que contiene un reto/juego que había que resolver con pistas situadas por toda la DefCon y, sobre todo,  conectando badges entre sí para desbloquear niveles. Pero había que suponer todo esto, ni siquiera te lo decían, el ganador se lleva entradas gratis para siempre.

No solo hemos conseguido presentar nuestra investigación, sino que tres compañeros de la Dirección Global de Seguridad e Inteligencia en Telefónica (Martina, Javier y Jesús), participaron en el iCTF que este año patrocinaba PayPal, DC480, Qintel y organizaba Shadowdragon. Se trata de un CTF especial, una competición centrada en la ciberinteligencia aplicada a un incidente. Con el nombre de “Las Matildes” se enfrentaron a 145 equipos de todo el mundo y quedaron los primeros al encontrar las 14 flags de la competición, donde se mezclaban distintas disciplinas, OSINT (inteligencia de fuetes abiertas), Pentesting (intrusiones en sistemas), SIGINT (inteligencia sobre señales) y HUMINT (inteligencia aplicada a relaciones humanas). La trama que Shadowdragon habían preparado no podía ser más interesante, aquí un enlace al video.