Artículos de investigaciónConferenciasOSINTPentesting

EastMadH4ck2017: Todo sobre mi objetivo

Buenas!!!

En este post voy a mostrar un breve resumen del congreso EastMadH4ck que el pasado fin de semana se celebró En Arganda del Rey, siendo ésta su segunda edición.

 

 

En este evento hubó representación por parte de Follow The White Rabbit. En el mismo estuvimos mi compañero @_n4rr34n6_ con su ponencia «Ser curioso NO es una opción», así como un servidor N4xh4ck5 con la ponencia «Todo sobre mi objetivo» como ponentes. Además, también acudió para apoyarnos @naivenom que llevó pegatinas 😉

 

 

La ponencia de @_n4rr34n6_ estaba orientada en la rama de forense, simulando un posible caso de fuga de información en el que se había empleado la herramienta anti-forense «USBOblivion».

 

 

Mientras en mi caso, enseñé una serie de tool’s de desarrollo propio que desarrollé con objeto de recolectar información en lo que se conoce como un «scan de visibilidad» orientado en realizarlo de manera anónima, es decir, la fase footprinting que se emplearía en un test de intrusión externo. Aunque, otras de las herramientas que mostré interactúan con el target (fingerprinting), sin embargo, simulan una navegación de un usuario.

 

 

Durante mi ponencia, presenté las siguientes tool’s:

  • Th4sD0m
  • N4xD0rk
  • NoD0M
  • RastLeak
  • CMSsc4n
  • fInd0

 

 

Mi compañero Rober, se curró los logos de mis tools RastLeak (la foto es de mi perro) y N4xD0rk.

Para las mismas se explicó el uso que se puede dar más orientada a obtener información en un test de intrusión externo o a prevenir fuga de información y fraude online.

Entre las tool’s anteriores, RastLeak (Hack&Beers Vol.8 Madrid), findo y N4xD0rk  (destacar que para N4xD0rk sí he incluido nuevas mejoras y optimización del código) ya las había mostrado anteriormente, por lo que realmente se estrenaban el resto, que como ya comenté en breve iré subiendo a mi github

Durante la ponencia expliqué el objetivo de cada tool y la información que facilitaba. Además, para que vierais que no me lo inventaba 😉

 

 

Hice para cada una de ellas una demo =D

A continuación, podéis ver la presentación que utilicé en la misma:

 

Finalmente, estuve todo el congreso con mi amigo y compañero de curro Yeray, que impartió la ponencia “Motor de detección de fraude temprano (Heimdal)”, que fue su estreno como ponente. Estoy seguro de que ésta será la primera de muchas.

Respecto a las charlas no pude quedarme a todas el sábado pero la calidad de las mismas estuvo muy bien. Particularmente, me gustó mucho la ponencia de @Adastra “Hacking NodeJS applications for fun and profit”, que se basó en las principales vulnerabilidades que afectan a aplicaciones con node.js, durante la misma explicó la parte teórica y a continuación, PoC, de la misma. También me sorprendió de la charla de @CiberPoli «Forense a gogo» las bolsas de Faraday para aislar un móvil y evitar que se comuniqué con el exterior. Estas bolsas las había escuchado pero nunca las había visto físicamente. Sin embargo, el mensaje de la charla de mi compañero @_N4rr34n6_ me encantó, «Ser curioso NO es una opción». Como a través de la investigación y la curiosidad se puede obtener gran información sobre lo que se supone que hace una herramienta y posteriormente, lo que realmente hace.

Finalmente, lo que más me gusta de este tipo de eventos, es encontrarse con amigos y antiguos compañeros de curro. Además, también sirve para desvirtualizar a gente que conoces a través del canal de Telegram del blog, que no le pones cara hasta que te dicen que están por el evento. Y también por qué no decirlo, conseguir pegatinas!!! (para adornar nuestro portátil de juanker jajja) tanto del evento como de otros congresos  o blogs. Entre mi compañero @naivemon y yo dejamos unas 55 pegatinas en recepción y todas volaron el primer día 😉 Además, conseguí pegatinas de la tool 4nonimizer de los compañeros de Hackplayers que estuvieron por allí, fácilmente identificables con las camisetas del blog que se han hecho (están muy guapas por cierto =D).

También aprovecho para dar las gracias a la organización por llevar a cabo este evento que me imagino que aunque desde fuera no se ve, debe llevar mucho trabajo. Además con la acreditación, regalaban dos camisetas, una pegatina, una bolsa y una revista, casi nada!

 

Espero que os sirva de resumen esta pequeña entrada sobre el evento, y si fuisteis, espero que os gustarán nuestras ponencias y sobre todo que os fueran útiles.

 

 

Nos vemos en la siguiente entrada 😉

«La mejor defensa, es un buen ataque»

N4xh4ck5

 

Un comentario en “EastMadH4ck2017: Todo sobre mi objetivo

  1. Gracias Nacho, en cuanto haga más camisetas de Hackplayers quedamos para el intercambio 😉
    Gracias también por el feedback del evento, que pena que no pudimos ir el domingo también.

    Un saludo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Los datos introducidos se guardarán en nuestra base de datos como parte del comentario publicado, como se indica en la política de privacidad.