ArDucky y DirtyTooth, herramientas con arduino y Raspberry Pi, charla de Álvaro Nuñez en TomatinaCON.

ArDucky, DirtyTooth e iBombShell: cacharreando con Arduino y Raspberry Pi

En un laboratorio de innovación relacionado con la ciberseguridad se mezclan muchas ideas, se proyectan muchas pruebas de concepto (PoC), se cacharrea mucho, se prueba demasiado, se descarta también demasiado y finalmente salen a la luz diferentes diferentes herramientas, diferentes patentes, diferentes cosas. Unas evolucionan y llegan lejos, otras se quedan en pequeñas herramientas o ponen al descubierto vulnerabilidades de seguridad a solventar.

Esta descripción se ajusta bastante a lo que sucede día a día en el departamento de ideas de innovación de Eleven Path la filial de ciberseguridad de Telefónica digital, bautizado por Chema Alonso como «el departamento de ideas locas» o como reza en su web ‘innovación radical y disruptiva en seguridad’. Así lo puso de manifiesto Álvaro Nuñez en su taller ofrecido en las Jornadas de Seguridad Informática TomatinaCON en el que explicó el funcionamiento de diversas herramientas que usan arduino y Raspberry Pi y que han surgido de PoC en el laboratorio: ArDucky, iBombShell y DirtyTooth. El taller está disponible a continuación tanto en formato vídeo como en podcast para los que prefieran tan solo escucharlo.

Álvaro Nuñez (@toolsprods) es un Ingeniero de Imagen y Sonido con Máster en Seguridad de la Información, entusiasta de la tecnología, la seguridad informática y el mundo maker que trabaja actualmente en el laboratorio de la Unidad de Ciberseguridad de Telefónica, Eleven Paths.

¿Qué es ArDucky, iBombShell y DirtyTooth?

Para empezar ArDucky viene a ser un arduino funcionando como un Rubber Ducky. Es decir uno evolución de esos USB que camuflan en su interior una herramienta maliciosa que permite controlar el dispositivo en el que se conectan tal y como se vio en la charla ‘BadUSB práctico: ataque y defensa‘.

Esta parte del taller es una evolución de la charla de Álvaro ‘¿Micro? Tomatuino. Microcontroladores y Rubber Ducky: ArDucky‘ que está disponible en el canal y la herramienta Arducky se encuentra en el repositorio de GitHub de Álvaro y que se puede complementar con un repositorio de herramientas para USB Rubber Ducky de Hayden Meloche disponible para Windows.

Otra herramienta que explica es iBombShell. Se trata de una herramienta Open Source para pentesting especializada en la parte de post-explotación de un sistema. Se trata de un sistema parecido a Metaexploit que permite disponer de funcionalidades de pentest en cualquier máquina que tenga un PowerShell. La herramienta iBombShell está disponible en el repositorio de GitHub de EleventPaths.

La última herramienta que describe Álvaro en su taller es DirtyTooth que usa Raspberry Pi 3 porque tiene WiFi y Bluetooth integrado y todo lo necesario a bajo coste. Mediante una PoC descubrieron una vulnerabilidad a través del altavoz Bluetooth en los dispositivos iPhone en la versión 5 y anteriores que ponía en entredicho la privacidad de los usuarios. Se podía producir una fuga de información de los contactos del dispositivo sin que apareciera ningún tipo de notificación y a raíz de este descubrimiento, esta vulnerabilidad se corrigió en las nuevas versiones y dio pie a la herramienta DirtyTooth para Raspberry Pi también disponible en el repositorio de GitHub de ElevenPaths.

Si te gusta cacharrear sin duda indagar un poco en esta selección de herramientas puede servir para descubrir cosas nuevas y quién sabe, quizás para que surja una idea loca que de pie a otra herramienta o similar.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast


¿Quieres recibir todas las novedades por newsletter?

Nombre Correo electrónico He leído la Política de Privacidad y acepto expresamente los términos y condiciones.


Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL – PRIVACIDAD – COOKIES

Yolanda Corral
Soy licenciada en Periodismo. Periodista y formadora freelance especializada en seguridad digital, alfabetización digital, TICs, redes sociales y contenidos digitales. Cuento con un máster en Community Management y siempre estoy en continuo aprendizaje. Fundadora y organizadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Dime qué necesitas y lo doy todo. ¡Conectemos en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario pero antes debes atender a esta información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar y moderar los comentarios realizados en la web. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal. ¡Gracias!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.