En un laboratorio de innovación relacionado con la ciberseguridad se mezclan muchas ideas, se proyectan muchas pruebas de concepto (PoC), se cacharrea mucho, se prueba demasiado, se descarta también demasiado y finalmente salen a la luz diferentes diferentes herramientas, diferentes patentes, diferentes cosas. Unas evolucionan y llegan lejos, otras se quedan en pequeñas herramientas o ponen al descubierto vulnerabilidades de seguridad a solventar.
Esta descripción se ajusta bastante a lo que sucede día a día en el departamento de ideas de innovación de Eleven Path la filial de ciberseguridad de Telefónica digital, bautizado por Chema Alonso como ‘el departamento de ideas locas’ o como reza en su web ‘innovación radical y disruptiva en seguridad’.
Así lo puso de manifiesto Álvaro Nuñez en su taller ofrecido en las Jornadas de Seguridad Informática TomatinaCON en el que explicó el funcionamiento de diversas herramientas que usan arduino y Raspberry Pi y que han surgido de PoC en el laboratorio: ArDucky, iBombShell y DirtyTooth. El taller está disponible a continuación tanto en formato vídeo como en podcast para los que prefieran tan solo escucharlo.
Álvaro Nuñez (@toolsprods) es un Ingeniero de Imagen y Sonido con Máster en Seguridad de la Información, entusiasta de la tecnología, la seguridad informática y el mundo maker que trabaja actualmente en el laboratorio de la Unidad de Ciberseguridad de Telefónica, Eleven Paths.
¿Qué es ArDucky, iBombShell y DirtyTooth?
Para empezar ArDucky viene a ser un arduino funcionando como un Rubber Ducky. Es decir una evolución de esos USB que camuflan en su interior una herramienta maliciosa que permite controlar el dispositivo en el que se conectan tal y como se vio en la charla ‘BadUSB práctico: ataque y defensa‘.
Esta parte del taller es una evolución de la charla de Álvaro ‘¿Micro? Tomatuino. Microcontroladores y Rubber Ducky: ArDucky‘ que está disponible en el canal y la herramienta Arducky se encuentra en el repositorio de GitHub de Álvaro y que se puede complementar con un repositorio de herramientas para USB Rubber Ducky de Hayden Meloche disponible para Windows.
Otra herramienta que explica es iBombShell. Se trata de una herramienta Open Source para pentesting especializada en la parte de post-explotación de un sistema. Se trata de un sistema parecido a Metaexploit que permite disponer de funcionalidades de pentest en cualquier máquina que tenga un PowerShell. La herramienta iBombShell está disponible en el repositorio de GitHub de EleventPaths.
La última herramienta que describe Álvaro en su taller es DirtyTooth que usa Raspberry Pi 3 porque tiene WiFi y Bluetooth integrado y todo lo necesario a bajo coste. Mediante una PoC descubrieron una vulnerabilidad a través del altavoz Bluetooth en los dispositivos iPhone en la versión 5 y anteriores que ponía en entredicho la privacidad de los usuarios.
Se podía producir una fuga de información de los contactos del dispositivo sin que apareciera ningún tipo de notificación y a raíz de este descubrimiento, esta vulnerabilidad se corrigió en las nuevas versiones y dio pie a la herramienta DirtyTooth para Raspberry Pi también disponible en el repositorio de GitHub de ElevenPaths.
Si te gusta cacharrear sin duda indagar un poco en esta selección de herramientas puede servir para descubrir cosas nuevas y quién sabe, quizás para que surja una idea loca que de pie a otra herramienta o similar.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!