Select Page

ekoparty 2018

Terminó.
Fue una semana muy intensa repleta de actividades. Pero la decimocuarta edición de la ekoparty ya es historia. Dejó como resultado más conocimiento, más temas en los que interesarse, más ganas de investigar, más amigos.

Ekoparty (o “la eko”) es la reunión anual más importante de curiosos-y-entusiastas-de-la-tecnología-y-de-la-seguridad-que-les-gusta-saber-cómo-funcionan-las-cosas-y-como-encontrar-nuevas-funcionalidades-que-el-programador-no-pensó…. de Argentina.
Convoca unos 2500 asistentes de nuestro país pero también de todo el mundo. Si bien hay años más fuertes y años más flojos, la eko va mejorando edición tras edición en contenidos y calidad. Si bien no siempre puedo hacerlo, este año tuve la fortuna de poder asistir a los tres días y a muchas de sus conferencias y workshops.
Fue una experiencia muy rica. Hubo expositores con CVs muy importantes, algunos fueron viejos conocidos y otros grandes amigos. Hubo eventos que disfruté, otros que me despertaron más curiosidades y otros que pasaron desapercibidos.

Habiendo recopilado algo de información, en esta nota, quise hacer análisis básico de algunos indicadores de la eko que tal vez les sean útiles a los lectores. Aclaro que si bien hubo como siempre, varias actividades como trainings, workshops, stands, etc. para el análisis solo me centré en las conferencias. Tengan en cuenta que muchos de los expositores o empresas a las que pertenecen, además de dar charlas, también llevaron adelante workshops o tuvieron sus propios stands. Por esto considero que tomando solo las conferencias, la muestra es representativa.

Como es la primera vez que hago esto, no puedo comparar con ediciones anteriores, pero de todos modos ahí van los resultados.

Uno de los indicadores que siempre me interesaron en estas conferencias, es quiénes son los expositores, los países a los que pertenecen y las empresas/grupos que representan. En la eko 2018 se dieron 25 charlas, brindadas por 30 expositores, los que pertenecen, hasta donde pude averiguar, a 7 países diferentes.

 

 

En el gráfico se puede ver que el 47% de los expositores fueron extranjeros. Un excelente número que muestra el interés por investigadores de otros países de compartir sus experiencias con la cumunidad en la eko. Por otro lado, en la tabla que sigue se pueden ver las empresas o grupos a los que pertenecen los investigadores que dieron las charlas..

Seis de los expositores lo hicieron en nombre de las universidades o grupos de investigación donde actúan, o en forma independiente. El resto de ellos pertentecen a empresas de seguridad.

 

Por último, el análisis que más me interesa cada vez que se dan conferencias de este tipo, es ver los temas que se trataron, que siempre tienen una característica importante: están en vigencia.

No necesariamente son novedosos o importantes, pero sí están “de moda” y hay un importante número de personas a las que les interesa, sino no los presentarían. Me tomé la libertad de agrupar los temas tratados en categorías para presentarlas en el siguiente gráfico:

Las categorías que tuvieron más interés por parte de los expositores este año, con 3 charlas por categoría, fueron las siguientes:

  • Sistemas BMC (Baseboard Manager Controllers) combinada con la seguridad de los sistemas de booteo UEFI (Unified Extensible Firmware Interface). Estos sistemas asociados a los servidores suelen tener muy pocas medidas de seguridad y pueden llevar no solo a vulnerar servidores individuales sino comprometer toda la red de management de una empresa, que suele ser insegura y no controlada.
  • Sistemas Operativos. Se tocaron temas de seguridad de los sistemas operativos de los iPhones y iPads (iOS) así como varias fallas en el kernel o en drivers de interfases de red de Windows.
  • Algunas aplicaciones populares. Se presentaron varias charlas sobre vulnerabilidades halladas en varias aplicaciones como por ejemplo: de lectura de PDFs, de archivos de posicionamiento en mapas de Google (KML), o en el sistema de de virtualización VirtualBox.

 

En segundo lugar, con 2 charlas por categoría, se presentaron:

  • Vulnerabilidades en sistemas de pagos, tanto en las terminales POS portátiles como en sistemas NFC a través de los cuales se mostró que es posible alterar la información que viaja entre los dispositivos y generar fraudes de forma relativamente sencilla.
  • Fallas de seguridad en lenguajes de programación de páginas web dinámicas, en especial en algunas características de .net y en el modo de inyectar objetos en php.

 

Las siguientes categorías tuvieron una charla por cada una y fueron:

  • Fallas de seguridad a la hora de implementar sistemas de redes definidas por software (SDN) sobre redes WAN por utilizar como base sistemas antiguos y vulnerables.
  • Ataques de tipo ROP Chain (Return Oriented Programming) en el que se construye un ataque con porciones de programas que ya están en la memoria.
  • Un caso particular de utilización de la Blockchain: los contratos inteligentes y de cómo se generan trampas a través de la publicación de contratos inteligentes vulnerables.
  • La utilización de la caché de diferentes proveedores y CDNs como vector de ataque en sistemas web.
  • Sistemas de administración de dispositivos móviles (MDM) vulnerables.
  • Análisis de arquitecturas inseguras de sistemas de Internet de las Cosas (IoT).
  • Resultados y recomendaciones para el análisis de artifacts de Malware en laboratorio.
  • Una charla nostálgica sobre emuladores para juegos.
  • Alertas sobre graves problemas en los optimizadores de los compiladores más populares que no solo introducen fallas de seguridad, sino que eliminan las contramedidas incluidas por los programadores.
  • El análisis y la utilización de la modificación dinámica de los sistemas de comando y control de los botnets (C&C).
  • Problemas serios en sistemas de autenticación en los que es posible comprometer cuentas de usuarios sin tener sus credenciales a través de las preguntas secretas.
  • La demostración de como los esquemas de arquitectura de desarrollo inseguros pueden llevar a difundir datos sensibles de producción a otros ambientes.

Estos temas, no son necesariamente los más importantes o destacados en ciber seguridad. Que no se hayan tocado temas como Advanced Endpoint Protection (AEP), Inteligencia Artificial, Phishing, Radio, etc. no significa que no sean importantes, simplemente los investigadores que estuvieron en esta eko no los presentaron.

La eko #14 ya finalizó.

En mi caso me llevé unas 20 herramientas para probar que desconocía y otro tanto de referencias de papers para analizar. A mí me fue muy útil y la disfruté mucho, casi como “una fiesta de cumpleaños” como deseó Federico Kirschbaum, uno de sus organizadores, en la ceremonia inaugural. Espero que al resto de los asistentes también.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.