Formación en Hardware Hacking e Ingeniería Inversa ARM

Blog

- Abril

2018

Publicado por: Javier Tallón

[Técnicas y herramientas de ciberseguridad y hacking]

Formación en Hardware Hacking e Ingeniería Inversa ARM

Finaliza con éxito la primera edición de nuestro curso adaptado de Hardware Hacking e Ingeniería Inversa.

Durante toda una semana hemos estado divirtiéndonos con un grupo internacional de alumnos enseñándoles los fundamentos del hardware hacking y los principios de la ingeniería inversa aplicada a dispositivos del Internet de las Cosas. Ha sido una semana muy intensa en la que hemos ido estudiando los protocolos de comunicaciones más utilizados y cómo interceptarlo, aprendiendo a identificarlos y a hacer accesibles conexiones ocultas utilizando técnicas de decapado y de sondado de buses para realizar ataques Man-In-The-Middle.

Hemos tenido tiempo de aprender a realizar ataques a microcontroladores, con ejemplos prácticos de cómo saltar protecciones contra lectura de diversos fabricantes, utilizando en todo momento herramientas ampliamente disponibles en el mercado y con un coste de acceso realmente bajo.

También ha habido lugar para ataques más avanzados que incluían la aplicación de técnicas de fuzz testing en interfaces poco habituales, donde este tipo de técnicas no suelen aplicarse.

Por último, el capítulo dedicado a la ingeniería inversa de dispositivos a IoT nos ha permitido centrarnos en técnicas específicas cuando trabajamos con arquitecturas ARM, los binarios carecen de símbolos, y la información proporcionada por el fabricante es nula.

Y todo esto sin perder de vista cómo afecta a los posibles escenarios de certificación para normas como Common Criteria o FIPS 140-2 en cuanto al modelado de requisitos y del problema de seguridad.

Nuestros alumnos han podido tener una experiencia realmente práctica de cómo afrontar la evaluación de seguridad de un dispositivo IoT, permitiéndoles obtener experiencia de primera mano, realizando ataques hardware y software con tecnología al alcance de cualquiera a dispositivos comerciales. Estamos seguros de que sabrán aplicar con maestría los conocimientos adquiridos.

Abrimos de esta manera una nueva serie de capacitaciones personalizadas enfocadas a ataques de nivel básicos e intermedios aplicados a dispositivos hardware e IoT.

¡No dejes de contactarnos si necesitas formación adaptada a tus necesidades!

tags

Javier Tallón/Director Técnico

Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.