23rd USENIX Security Symposium
El USENIX Security Symposium es una conferencia que se realiza año a año de aspecto bastante práctico, donde se presentan los más interesantes logros y avances relacionados a aspectos de seguridad en computación. Pruebas de vulnerabilidades y nuevas propuestas para sistemas más seguros son la tónica de ésta reunión que atrae a los más importantes investigadores del área en todo el mundo.
Éste año, la conferencia celebró su 23º edición y tuvo lugar en los salones del Grand Hyatt en la ciudad de San Diego, California, Estados Unidos, entre los días 20 a 22 de Agosto donde se presentaron múltiples Technical Sessions. Adicionalmente los días 18 y 19 del mismo se desarrollaron variados Workshops relacionados.
Una comitiva del laboratorio tuvo la oportunidad de asistir a la conferencia y además de presentar trabajos en la sesión de Work In Progress y en la Poster Session. He aquí un resumen de la experiencia.
Personalmente pude asistir a WOOT, FOCI y HotSec, y en mi opinión, el mejor taller fue WOOT. Resultó impresionante como los trabajos presentados aquí exponían toda clase de vulnerabilidades en sistemas que están a nuestro total alcance y que son ya parte de nuestra rutina diaria. Se revisaron trabajos impresionantes que abarcan desde hackeos al sistema de semáforos de tránsito, aprovechar el acceso al parlante de un teléfono para transmisión de datos usando ultrasonido e incluso cómo aprovechar la alta resolución de cámaras de los teléfonos modernos para robar información biométrica como una huella dactilar. Trabajos que sin duda parecen salidos de la factoría cinematográfica y que, por lo mismo, sorprenden en sus logros concretos.
Para los más puristas en seguridad también había resultados increíbles. Un trabajo titulado "On the Practical Exploitability of Dual EC in TLS Implementations" presentó como era posible quebrar un canal seguro SSL aprovechando una puerta secreta descubierta que había dejado una modificación del estándar en el sistema de PRNG (Pseudo Random Number Generator) por NIST, y para eliminar toda duda, una impresionante prueba en vivo que ilustró el increíble resultado, donde, capturando un dump de una transmisión realizada por medio de un canal “seguro”, fue posible recuperar el texto plano transmitido. Osom.
¿Usted viaja mucho?, sabrá que el tránsito en los aeropuertos está más estricto que nunca, y que, como mínimo, ahora debe pasar por escáneres de rayos X para verificar que no porte ningún artefacto peligroso. Pues adivine, el trabajo "Security Analysis of a Full-Body Scanner" presentó la notable historia de cómo un grupo de investigadores se hizo con uno de estos scanner de cuerpo entero y lo estudiaron, consiguiendo vulnerarlo y así, logrando ocultar objetos peligrosos de un escaneo puntual. Impresionante historia.
Y para los menos impresionables, ¿Nunca ha tenido esa impresión de sentirse observado?, seguramente la sensación de sentirnos observados es conocida por todos, pues la investigación de Matthew Brocker y Stephen Checkoway nos dice que quizás no solo sea una sensación ficticia. En el trabajo "iSeeYou: Disabling the MacBook Webcam Indicator LED" se presentó como era posible acceder a una webcam de Apple sin activar el led identificador. De esta manera, el usuario no tenía idea de que estaba siendo observado. Más aún, los investigadores habían conseguido controlar el led a su voluntad.
Otra de las actividades interesantes fue la Poster Session, donde el laboratorio presentó el trabajo el trabajo “Detecting Anomalies in DNS Protocol Through Process Mining” de Cecilia Saint-Pierre y Javier Bustos-Jimenez pudiendo captar feedback de otros investigadores sobre el tema mismo y recibiendo muy buenos comentarios.
Finalmente, hubo también una WIP (Work In Progress) Session, donde Giselle Font del laboratorio presento los avances de su trabajo “Location Privacy for a Monitoring System of the Quality of Access to Mobile Internet” recibiendo muy buenos comentarios también.
Como lección al cierre de éste reporte sólo me queda la idea de que todo, TODO es hackeable, y por lo mismo, hoy más que nunca debemos estar atentos y prestar todo el trabajo posible para resguardar la integridad de los sistemas y servicios que diseñamos, en pos de la seguridad de nuestros usuarios.
La cita entonces es para el 2015, a la 24th USENIX Security Symposium en Washington, D.C.
Éste año, la conferencia celebró su 23º edición y tuvo lugar en los salones del Grand Hyatt en la ciudad de San Diego, California, Estados Unidos, entre los días 20 a 22 de Agosto donde se presentaron múltiples Technical Sessions. Adicionalmente los días 18 y 19 del mismo se desarrollaron variados Workshops relacionados.
Una comitiva del laboratorio tuvo la oportunidad de asistir a la conferencia y además de presentar trabajos en la sesión de Work In Progress y en la Poster Session. He aquí un resumen de la experiencia.
Los Workshops
En los dos días de workshops se repartieron las distintas temáticas en 7 talleres:- EVT/WOTE '14 2014 Electronic Voting Technology Workshop/Workshop on Trustworthy Elections
- CSET '14 7th Workshop on Cyber Security Experimentation and Test
- 3GSE '14 2014 USENIX Summit on Gaming, Games, and Gamification in Security Education
- FOCI '14 4th USENIX Workshop on Free and Open Communications on the Internet
- HotSec '14 2014 USENIX Summit on Hot Topics in Security
- HealthTech '14 2014 USENIX Summit on Health Information Technologies Safety, Security, Privacy, and Interoperability of Health Information Technologies
- WOOT '14 8th USENIX Workshop on Offensive Technologies
Personalmente pude asistir a WOOT, FOCI y HotSec, y en mi opinión, el mejor taller fue WOOT. Resultó impresionante como los trabajos presentados aquí exponían toda clase de vulnerabilidades en sistemas que están a nuestro total alcance y que son ya parte de nuestra rutina diaria. Se revisaron trabajos impresionantes que abarcan desde hackeos al sistema de semáforos de tránsito, aprovechar el acceso al parlante de un teléfono para transmisión de datos usando ultrasonido e incluso cómo aprovechar la alta resolución de cámaras de los teléfonos modernos para robar información biométrica como una huella dactilar. Trabajos que sin duda parecen salidos de la factoría cinematográfica y que, por lo mismo, sorprenden en sus logros concretos.
Technical Session
Ya con la conferencia en marcha, se presentaron trabajos igualmente interesantes que en los talleres. Por solo mencionar algunos de los más interesantes (desde mi punto de vista) ¿Se imaginan poder hacer un ataque web a un sitio aprovechando la señal de TV digital?, pues esa era una de las apuestas más interesantes que se presentaron. En el trabajo "From the Aether to the Ethernet—Attacking the Internet using Broadcast Digital Television" se mostró cómo era posible aprovechar vulnerabilidades en los protocolos y reglas de los smartTV para realizar ataques a sitios web.Para los más puristas en seguridad también había resultados increíbles. Un trabajo titulado "On the Practical Exploitability of Dual EC in TLS Implementations" presentó como era posible quebrar un canal seguro SSL aprovechando una puerta secreta descubierta que había dejado una modificación del estándar en el sistema de PRNG (Pseudo Random Number Generator) por NIST, y para eliminar toda duda, una impresionante prueba en vivo que ilustró el increíble resultado, donde, capturando un dump de una transmisión realizada por medio de un canal “seguro”, fue posible recuperar el texto plano transmitido. Osom.
¿Usted viaja mucho?, sabrá que el tránsito en los aeropuertos está más estricto que nunca, y que, como mínimo, ahora debe pasar por escáneres de rayos X para verificar que no porte ningún artefacto peligroso. Pues adivine, el trabajo "Security Analysis of a Full-Body Scanner" presentó la notable historia de cómo un grupo de investigadores se hizo con uno de estos scanner de cuerpo entero y lo estudiaron, consiguiendo vulnerarlo y así, logrando ocultar objetos peligrosos de un escaneo puntual. Impresionante historia.
Y para los menos impresionables, ¿Nunca ha tenido esa impresión de sentirse observado?, seguramente la sensación de sentirnos observados es conocida por todos, pues la investigación de Matthew Brocker y Stephen Checkoway nos dice que quizás no solo sea una sensación ficticia. En el trabajo "iSeeYou: Disabling the MacBook Webcam Indicator LED" se presentó como era posible acceder a una webcam de Apple sin activar el led identificador. De esta manera, el usuario no tenía idea de que estaba siendo observado. Más aún, los investigadores habían conseguido controlar el led a su voluntad.
Otras actividades
La conferencia incluyó diversas actividades. Se realizó un encuentro de jóvenes profesionales y estudiantes donde se dio la oportunidad de interactuar con personas de todos los rubros con el común interés de la computación, actividad que se cerró con una noche de juegos de mesa donde, ya afiatados, pudimos compartir una velada de entretención intercultural.Otra de las actividades interesantes fue la Poster Session, donde el laboratorio presentó el trabajo el trabajo “Detecting Anomalies in DNS Protocol Through Process Mining” de Cecilia Saint-Pierre y Javier Bustos-Jimenez pudiendo captar feedback de otros investigadores sobre el tema mismo y recibiendo muy buenos comentarios.
Finalmente, hubo también una WIP (Work In Progress) Session, donde Giselle Font del laboratorio presento los avances de su trabajo “Location Privacy for a Monitoring System of the Quality of Access to Mobile Internet” recibiendo muy buenos comentarios también.
Conclusión
La conferencia fue verdaderamente enriquecedora. Tener la oportunidad de compartir con los grupos más desarrollados y avanzados en aspecto de seguridad en computación es algo que no se puede hacer todos los días y, por lo mismo, no tiene precio. Una experiencia totalmente recomendable.Como lección al cierre de éste reporte sólo me queda la idea de que todo, TODO es hackeable, y por lo mismo, hoy más que nunca debemos estar atentos y prestar todo el trabajo posible para resguardar la integridad de los sistemas y servicios que diseñamos, en pos de la seguridad de nuestros usuarios.
La cita entonces es para el 2015, a la 24th USENIX Security Symposium en Washington, D.C.