Gaston Aznarez

RT @ekoparty: ¿Confiás tu red a un router DrayTek? 👀 🗣️ En esta charla dictada por @ogianatiempo y @GastonAznarez en la #EKO2025, descubri…

Doggie - Car Hacking - Octavio Gianatiempo @ogianatiempo y Gaston Aznarez @GastonAznarez // cc. @faradaysec youtu.be/Yrsx3s77-Kg

Hoy en @bysepatw 18.30 hs 🇦🇷 22.30 🇪🇸 @GastonAznarez y @ogianatiempo . Hablando sobre Doggie un adaptador open source que permite comunicarse con la computadora del auto. No te lo pierdas! #CarHacking 👉linktr.ee/BySepa

Mañana (Martes 25/11) tenemos un gran stream sobre #carhacking con dos referentes del tema @ogianatiempo y @GastonAznarez de @faradaysec para hablar del proyecto #Doggie 🐶 Sin duda, no se lo pueden perder! Los esperamos a las 22:30hs (GMT+1) en vivo por linktr.ee/BySepa

Our @ekoparty talk is out! 💥 @DrayTek_HQ New RCEs Complete the Chain-from discovery to exploitation. From research to real-world exploitation - check out how researchers @GastonAznarez & @ogianatiempo connected the dots. ▶️ youtube.com/watch?v=D0kz2s…

“The Missing Link: Draytek’s New RCEs Complete the Chain" dictada por @GastonAznarez y @ogianatiempo | Sala E - Main Track #EKO2025 🔥

Arrancamos! Y con mucho estilo nos metemos en el barro de la mano de @GastonAznarez y @ogianatiempo con su training “Hands ON…” 🙌 Seguí toda nuestra agenda de la @ekoparty te esperamos! faradaysec.com/ekoparty-2025/

Charlas Main Track #EKO2025 🔥 🗣️ “The Missing Link: Draytek’s New RCEs Complete the Chain” dictada por @GastonAznarez y @ogianatiempo. 💡 Los routers DrayTek son dispositivos de borde ampliamente desplegados y confiados por miles de organizaciones, por lo que siguen siendo un objetivo de alto valor para atacantes. Partiendo de su presentación previa en la EKO 2024 (youtu.be/_8RxffDdivU) sobre cómo implantar puertas traseras en estos dispositivos — en la que además expusieron seis vulnerabilidades y publicaron Draytek Arsenal (github.com/infobyte/drayt…), una caja de herramientas para analizar el firmware de DrayTek— Gastón y Octavio vuelven con dos nuevos RCEs no autenticados: CVE-2024-51138, un desbordamiento de búfer en el manejo de STUN CGI, y CVE-2024-51139, un desbordamiento por entero en el parseo de CGI. Al encadenarlos con sus técnicas previas de persistencia, estos bugs permiten la toma completa del dispositivo y la instalación de una puerta trasera desde Internet. 📌 Esta charla ofrece un análisis en profundidad de las nuevas vulnerabilidades y sus estrategias de explotación, con demostraciones y la cadena de explotación completa de extremo a extremo. También explorarán su posible vínculo con los incidentes masivos de reinicio de DrayTek de marzo de 2025, sugiriendo que la explotación en el mundo real de algunas de estas vulnerabilidades podría ya estar en curso. Los asistentes obtendrán visión sobre explotación de dispositivos de borde, compromisos persistentes y la importancia de la transparencia y de las herramientas en la investigación de seguridad embebida. ✅ Esta charla será dictada en español. 📍 22, 23 y 24 de octubre en el CEC - Buenos Aires. 🎟️ ¡Comprá tu entrada ahora! >> entradas.ekoparty.org

Si querés iniciarte en la búsqueda de vulnerabilidades con orientación práctica y resultados tangibles, sumate. ekoparty.org/training-hands… 3/3

Querés aprender a encontrar vulnerabilidades en routers, cámaras y más? En nuestro training te damos las herramientas para empezar hoy. Desde análisis de firmware hasta explotación con ejercicios reales. 2/3

Las vulnerabilidades en routers y VPNs siempre estuvieron ahí y van a seguir estando. Calentando motores para la @ekoparty . 1/3

💠 Faraday en @nerdearla 💠 El viernes vivimos una jornada increíble con la presentación de Doggie y evilDoggie, dos proyectos open-source de nuestro equipo de research 🔥 Felicitaciones a @ogianatiempo y @GastonAznarez por este gran breakthrough. ¡Más novedades pronto!

Es el turno de @ogianatiempo y @GastonAznarez presentan "¿Es tu auto si no sabés cómo funciona? Doggie, un adaptador CAN DIY". 🚀 📍 En la antesala.  Seguí la charla desde nerdear.live #Nerdearla

🚨 LAST CALL 👇 En minutos arranca la presentación de nuestro equipo en @nerdearla. Encontrá a @GastonAznarez y @ogianatiempo en vivo mostrando lo último en #carhacking. ⏰ 13:20 📍 @CCKonex ¡Nos vemos allá!

🚨FARADAY EN @nerdearla🚨 ¡Muy contentos de anunciar la 1er presentación en Argentina de Doggie y evilDoggie! El software y hardware para #carhacking que les va a volar la cabeza, a cargo de @ogianatiempo y @GastonAznarez 📅 Viernes 26 :: 13:20–14:00 🔗nerdear.la/agenda/es-tu-a…

➡️ Track Security @GastonAznarez @ogianatiempo

🔵 FARADAY AT @defcon 🔵 Once again, our researchers @ogianatiempo and @GastonAznarez delivered a lecture on hardware hacking. This time sharing their latest findings on Draytek routers: new vulnerabilities and new security implications. Congrats to them for their great work!

DOS HACKERS ARGENTINOS PRESENTAN UN DISPOSITIVO PARA TESTEAR LA SEGURIDAD DE LOS SISTEMAS QUE USAN LOS AUTOS Lectura rápida En Blacj Hat, una de las conferencias de ciberseguridad más grandes del mundo, mostraron “evilDoggie”, un dispositivo de código abierto que pone a prueba la seguridad del protocolo CAN, que es un estándar de comunicación interna que usan los autos para que las distintas computadoras internas (como las que controlan el motor o los frenos) se comuniquen entre sí. Contexto El “car hacking” aplica técnicas de ciberseguridad a vehículos, que hoy funcionan como “computadoras con ruedas”. Cómo funciona Puede operar en dos modos: monitoreo (“Doggie”), para leer y analizar la comunicación entre las computadoras internas, o ataque (“evil”), para inyectar o modificar mensajes y así probar vulnerabilidades. Su diseño es abierto y modular para que otros investigadores puedan replicarlo o mejorarlo. Cómo sigue La herramienta despertó interés de especialistas en la conferencia que quisieron comprar la herramienta. (+) en Clarín: clar.in/46UknrH Foto: Octavio Gianatiempo y Gastón Aznarez, investigadores de Faraday Security, en Black Hat.

Dos argentinos presentaron evilDoggie, un dispositivo para testear la seguridad de los autos modernos: tiene una versión para atacar que se activa como Krusty el payaso 🐶 Además, el keynote de Nicole Perlroth y la "lista" de Moss ✍️ Black Hat USA, día 2: Dark News #155 📧

PART 2 OF OUR DRAYTEK INVESTIGATION DROPS AT @defcon Last year, @ogianatiempo & @GastonAznarez exposed 0-days in Draytek routers. This year, they’re SO back with even more: – 2 new unauth RCEs – Full exploit chain Don’t miss it! 📅 Sat, Aug 9 – 2PM 📍 Hardware Hacking Village