Hace poco más de tres semanas se celebraron las dos míticas conferencias de seguridad en Las Vegas, Black Hat y DEF CON.

Además, también a la vez tenía lugar la BSidesLV y algunos otros eventos para los que se necesitaba invitación, como el de IOActive. Tuve la suerte de estar por allá y vivir todo eso en primera persona, ya era hora No voy a hacer un post detallado de todo esto, sino más bien un resumen rápido de todo lo que se vio por allá y las sensaciones del post-Vegas.

La Black Hat comenzó el 21 de julio con una lista bastante larga de trainings que duraron hasta el 24. Posteriormente comenzaron las charlas, workshops y arsenal, donde más gente había, que transcurrieron durante el miércoles 25 y jueves 26. Según me comentaron este año hubo más gente que el anterior, unas 7500 personas.




Allá había unos cuantos españoles presentando: Chema Alonso con su charla de botnets usando Javascript, Rubén Santamarta hablando de ingeniería inversa de firmwares SCADA y Fermín J. Serna enseñando cómo convertir una vulnerabilidad en un “information leak” para evitar el ASLR. Aparte, también estábamos Luis Delgado y yo en el Arsenal, presentando XMPPloit y la última versión de peepdf, respectivamente. Además, Fermín J. Serna y Joxean Koret estaban nominados en los premios Pwnie Awards en las categorías "Pwnie for Best Client-Side Bug" y "Pwnie for Best Server-Side Bug". No pudo ser, pero el hecho de estar nominado ya es un premio por sí sólo.

Fuera del círculo Spanish había unas cuantas ponencias que merecían la pena, como la de Charlie Miller que hacía un repaso a la seguridad en NFC, la que trataba de corrupciones de memoria en PIN PADs (el vídeo no tiene desperdicio), técnicas para la explotación “sencilla” del kernel de Windows por César Cerrudo, o la que trataba sobre Google Bouncer. Decepcionó un poco a los asistentes la charla del responsable del equipo “Platform Security” de Apple sobre seguridad en iOS, ya que se limitó a comentar un paper publicado hace un tiempo y sin dejar tiempo para preguntas.




El viernes se jugaba la ya mítica Hack Cup, organizada por Immunity, y donde jugaban 12 equipos diferentes, incluyendo el Foca Team, ganador de la pasada edición. Este año el equipo español cambió jugadores pero llegó a la final igualmente, que se jugaba contra uno de los dos equipos brasileños. Bueno, realmente se jugó contra los dos equipos brasileños, ya que se juntaron para jugar la final. Por mi parte intenté poner mi granito de arena, pero fueron dos minutos muy duros A falta de veintiséis segundos para el final había empate en el marcador, pero los brasileños consiguieron marcar antes del pitido y llevarse así la copa de este 2012. Un poco polémica esta edición...




Después de este paréntesis deportivo tocaba la DEF CON, donde repetían algunos de los ponentes de Black Hat como Charlie Miller, Dan Kaminsky, Chema Alonso, Don C. Weber, Nicholas J. Percoco y Sean Schulte, etc. Una de las charlas que levantó expectación fue la de Moxie Marlinspike sobre la seguridad de VPNs PPTP y el “handshake” del protocolo MS-CHAPv2 en WPA2. Otra que ha tenido bastante repercusión fue la de Alberto G. Illera, relacionada con la seguridad de algunos sistemas informáticos de la red de transporte en España. También a la vez que las charlas oficiales de la DEF CON se impartían las ponencias llamadas Skytalks, donde Chema también hablaba, esta vez acompañado por Luis Delgado, sobre fallos de seguridad y procedimientos en diferentes empresas de alojamiento de dominios.

Además de las charlas, en la DEF CON había un sinfín de actividades como lockpicking, diferentes retos aparte del CTF (este año sin equipos españoles), sesiones de peluquería, donación de sangre, juegos online, etc, etc, etc. No faltaron tampoco los chicos de la NSA intentando reclutar nuevos compañeros...

Pero no todo eran charlas y no todo seguridad. También hubo tiempo para asistir a diferentes eventos nocturnos patrocinados por las empresas que acudieron tanto a Black Hat como a DEF CON, donde se podía hablar con los speakers o cualquier persona del mundillo de la seguridad. Como curiosidad, en el evento de Facebook se repartieron una cantidad limitada de teléfonos con Android a modo de badge, que se conectaba con una furgoneta para crear su propia red telefónica y consultar los contactos que estaban en ese momento allí.

Después de estos días en Las Vegas, donde Black Hat tenía nueve tracks simultáneos y DEF CON otros cinco, aparte de los demás eventos, creo que la información que se distribuye allá supera con creces lo que una persona puede asimilar. Es imposible asistir y enterarse de todas las charlas, cuando muchas que pueden resultar interesantes coinciden a la misma hora. Sin embargo, todo el material se distribuye en los CDs que se dan con la entrada y posteriormente se publicarán en vídeo la mayoría de estas charlas. Al final, aparte de toda esta información, lo importante en este tipo de eventos es conocer gente, hacer el llamado networking y, por supuesto, pasárselo bien en esta atmósfera. No voy a enumerar todas las personas con las que estuve allá, pero desde aquí un saludo a todos con los que estuve en charlas, comidas, eventos deportivos (y nocturnos), etc.


Jose Miguel Esparza
S21sec ACSS
(Blog / Twitter)