Vídeos de la conferencia: OWASP Europe Tour – Barcelona, viernes 14 de junio 2013

Vídeos de la conferencia: OWASP Europe Tour – Barcelona, viernes 14 de junio 2013

Un total de 4 conferencias, más la presentación y la mesa de debate.

Esta vez no tuve problemas para que Youtube me deje subir vídeos de larga duración!!

Un detalle, usé una cámara “Toshiba Camileo P100” que pensé que me ahorraría un poco de tiempo y mejoraría la calidad contra una vieja DV, pues al final, todo el tiempo está enfocando y la calidad del audio y vídeo no son lo mejor, por eso recomiendo no comprarla! 🙁

Pues aquí los vídeos:

OWASP Europe Tour – Barcelona 2013 / Presentación
(Bienvenida) Josep Maria Ribes / Director d’Enginyeria de La Salle Campus Barcelona.
(Introducción a la jornada) Vicente Aguilera Díaz / OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.

Selva María Orejón Lozano / Directora ejecutiva de onbranding. Co-fundadora AERCO-PSM. Fundadora y Directora del Congreso Brand Care.

Seguridad en redes sociales.
Ya estamos todos conectados Online, incluso hiperconectados, hiperexpuestos con nuestros contactos. Saben qué hacemos, dónde estamos, con quién, qué compramos, qué consumimos … pero ¿y nuestra seguridad? ¿Ya sabemos quién ve qué? ¿Nos interesa comunicar todo lo que hacemos? ¿Tener tanta visibilidad? Y como empresa ¿ya controlamos a quien lleva nuestra comunicación? ¿Y si se va de la empresa? ¿Tenemos acceso real y completo en nuestra comunidad?.

Fabio Cerullo / CEO & Founder Cycubix Limited. OWASP Ireland Chapter Leader.
PCI Para Desarrolladores.
Los estándares PCI-DSS y PCI-PA DSS son bien conocidos por los profesionales de seguridad y auditoria informática, pero como son interpretados por los equipos de desarrollo de software? Muchas veces no es claro si todos los requerimientos son necesarios y mas importante, como tienen que ser implementados. Esta charla tiene como objetivo ayudar a los desarrolladores a interpretar de manera rápida y sencilla cuales son los puntos críticos de estos estándares a tener en cuenta y poder implementarlos durante el ciclo de desarrollo de software.

Chema Alonso / CEO en Telefónica Digital Identity & Privacy.

Why cyberspies always win.
Todos los días sitios webs pertenecientes a grandes empresas son vulneradas. Muchas de esas empresas pasan revisiones constantes de seguridad, y sin embargo, siguen apareciendo en las noticias las contraseñas de usuarios, los datos de los clientes o información sensible de la empresa. ¿Por qué? En esta sesión se presentarán algunas ideas al respecto sobre este tema… de forma muy maligna.

Albert López Fernández / Analista de Seguridad en Internet Security Auditors.

Low Level Miseries when Exploiting Linux Heap.
Se explicarán varias vulnerabilidades que afectan a la implementación del heap en sistemas GNU/Linux. Se realizará un repaso del estado del arte, y cómo aprovecharse de las vulnerabilidades presentes en el código encargado de gestionar la memoria dinámica en Linux y se detallará cuál ha sido la problemática al desarrollar los payloads necesarios para explotar dichas vulnerabilidades. Asimismo, se repasará a alto nivel cómo funciona la gestión de memoria dinámica en Linux para luego destripar su funcionamiento a bajo nivel.



Mesa de debate / OWASP Europe Tour – Barcelona 2013
Cierre de la jornada con la mesa de debate.

Análisis de la Conferencia OWASP Europe Tour – Barcelona 2013.

Análisis de la Conferencia OWASP Europe Tour – Barcelona 2013.

Ya ha pasado mucho tiempo desde la última conferencia, pero por suerte volvieron y con más fuerza, se dejó ver que para octubre tendremos otra conferencia más! 

Un viernes lleno de contenidos, desde las 10 de la mañana hasta las 18 de la tarde se habló de muchos y variados temas referentes a la seguridad.

La charla de Selva María, fue la que abrió la sesión, la cual de entrada no lo vi como muy técnico pero al pasar la charla comenzó a aportar muchísimo en aspectos del campo social y los ataques que se viven día a día en ellos. El negocio que se ha montado por la reputación online, el manejo de la información (falsa o no). En como Internet se puede convertir en tu aliado en el momento de manejar un perfil dependiendo lo que se busque. Vamos, en definitiva, que puedes hacer cosas malas, para que  nuevos clientes vean un perfil a medida.

La siguiente charla de Fabio Cerullo, estuvo muy bien, pero fue principalmente orientada al estándar de desarrollo PCI, sistemas de pago de tarjetas, donde expuso como se debe hacer el trabajo a la hora de trabajar con sistemas de pago, el “checklist” que se debe cumplimentar y los beneficios que aporta aplicar este estándar de pago, mostró alguna que otra vulnerabilidad a la hora de no guardar los datos del número de la tarjeta. Muy recomendada a la hora de tener que cumplimentar el estándar PCI.

La tercera y última charla de la mañana fue impartida por Chema Alonso, la cual fue directamente sobre seguridad, en sistemas de control de ataques, test de penetración.

Comentó sobre su adaptación de su programa La Foca, y los cambios de rubro que tendrá el mismo. La charla está llena de contenidos excelentes, mostrando como la gente y empresas dejan huella en el mundo online.

La primera charla de la tarde, impartida por Albert López Fernández, muy buena a pesar de ser justo la de después de comer y eso ya tira en contra por el sueñito que te agarra. Un tema muy interesante sobre las vulnerabilidades del Heap en Linux. En si como se utiliza la memoria y que cosas se pueden hacer para jugar con ellas, meter códigos para conseguir accesos a determinados temas. Es un mundo muy divertido, pero duro, ya que es a un nivel un poco más bajo a la hora de trabajar con la memoria directamente. Me agradó mucho la charla.

La última charla de la tarde, impartida conjuntamente por:  Marc Rivero López y Dani Creus

La cual me pidieron que no se grabe por los contenidos de los que se hablaron, era sobre la seguridad física y virtual de los sistemas de bancos con sus tarjetas de crédito. En sí mucha de esta información está disponible online, solo hay que saber buscarla.

Estuvo muy bien, la forma que cada día hay nuevos virus, troyanos, malware exclusivamente diseñados para el robo de cuentas, que poseen todo un sistema de negocio  montado donde te venden la distribución, instalación y más extras para el interesado en este negocio ilegal.
En como la policía se mueve para intentar estar a la par de esta gente.

Cierre con la mesa de debate. Fue interesante, ver como hoy en día estamos expuestos a gobiernos, espías y muchas cosas más, por culpa del sistema y diseño de Internet, la forma que acceden a nuestros datos privados, búsquedas en Internet y mil cosas más.

Pues ese es mi resumen de la jornada, para mí fue muy interesante, aportó nuevos conceptos y reforzó otros, espero que el trabajo de haberlas grabado para compartirlas ayuden a otros a entrar en estos temas.

“Aunque vengo con un poco de retraso en la edición de los vídeos de la conferencia, ya los tengo listos! Siguiente post los publico!”

Les dejo la galería de imágenes de la jornada.

El proyecto Muevala.com una muy interesante idea

Encontré este proyecto el cual me pareció muy interesante la verdad, www.muevala.com la idea es en general aprovechar tus viajes para transportar algo y ahorrarte un poco de dinero.

No sé, siempre que quiero mandar un paquete a mi familia, es totalmente prohibitivo de este modo, cambia un poco y lo que pague de paso sirve para ayudar a un viajero.

Recomiendo mirarse esto a la hora de viajar!

Estados Unidos nos espía! No solo existe el PRISM

Aunque esto parece una noticia nueva, está claro no lo es….

Es sabido por todos que un sistema operativo como el que produce Microsoft diseñado en USA no solo tiene puertas traseras si no que hasta debe enviar estadísticas de nuestro comportamiento, pero que no cunda el pánico, de momento somos demasiados PCs como para que puedan segmentar a cada ser del planeta y meterles un puro en USA ? no…?

Todo un tema, con eso de los centros de detención clandestinos, como en los que participo España, (http://es.wikipedia.org/wiki/Centros_clandestinos_de_detenci%C3%B3n_de_la_CIA)

Si bien, de momento dice ser usado por el tema del Terrorismo y ¿Pedofilia? Hago hincapié en mi anterior post.

Si bien USA siempre fue la vanguardia en desarrollos, mientras otros países no tenían mucho más que un “sistema operativo dependiente”, para entender esto tenemos que ir al pesado! Sí señor, agradezco mis años a veces… Ya está la NSA tocando las pel… con el PGP (http://www.satorre.eu/historia_pgp.htm)

Bueno y ahora viene lo bueno en mi juventud instalando un NT4 (Jo pedazo de Kernel jijijii) recuerdo que en unos de los “services packs” actualizaba el gran amado nucleo, y el gran hermano de la NSA, el Internet Explorer, si señor y ya como eran otras épocas por la cara te decía, que por estar fuera de USA solo podrías usar certificados de seguridad de 64Bits (si algo así como las claves web de las WIFI).
O sí un https muy seguro, Nuevamente por el año creo 1999/8 la NSA metiendo sus narices en los países que no son USA.

Bueno para todas esas personas y políticos que esto les suena como el medicamento que le da el Doctor para la presión alta, ósea a nada, estamos entregando hasta a nuestra madre en bandeja… o sí a veces la ignorancia en esto nos hace feliz (Ciertamente eso lo aprendí con el tiempo).
Bueno si bien el GNU es una rama interesante como sistema operativo, no quiere decir seguro, claro si lo comparamos a su primo lejano Winpocho la pantera, claro es seguro, pero eso es como comparar (…pienso analogía…) una comode64 (W), una nintendo Wii(L) Contra una PS4 (troll aun no está en la calle), Pero justamente lo que se dice seguro, es difícil de comprender, un kernel contra caídas, desbordes de pilas, llamadas no soportadas etc… (estará en la calle?)

Pues después del Stuxnet, llegue a leer que la Siemens prometía un sistema operativo para Alemania, será que se da cuenta el daño que hace esto día a día… (No encontré el enlace =( )

Volviendo al Linuxete, este amigo si bien es más seguro, no es el más grande, existen otras versiones de OS como BSD (freeBSD) el que tiene un diablito simpático de logo, pues acá hubo todo un tema de ataques a sus repositorios y eso es todo un marron, Debian, BSD y no sé cuantos más han sufrido este tipo de ataque, pensaremos que serán niños jugando con una red de bots no..?
Pues no, atacar y logar acceso a los repositorios de código fuente o tanto como de paquetes de la hermosa posibilidad de meter unos 32KBytes de código para accesos remotos y más cosas no deseadas. Ahí es donde entra en juego la seguridad, si piensan cuantas líneas de código que solo tiene el kernel de Linux?, pues por lo que busque en el señor Google amigo de la NSA, el kernel 3.2 sobrepasa las 15 millones de líneas de código, ahora esto es solo una pequeña parte del sistema, los paquetes como Apache, Php, Mysql y otros más que pueden correr como super root?
Bien esto es como esconder una aguja en 15 millones de pajares, no sé cuantos ojos harán falta para verlo, por ende el tema de que yo me lo cocino yo me lo como, si me bajo el código fuente y me lo compilo pero no tengo ni idea que hace ni como, aunque sepa de programación C, C++ y algo de ASM te lees todo el código por ejemplo del apache ¿? Vale, vamos mas allá si me leo el código, y mi pregunta tu GCC ósea tu compilador de C y C++ es realmente el compilador limpio, no te agregara nada a la salida de tus obj ¿?
Si lo sé es demasiada paranoia pero a que mola… 😛

Con esto quiero solo contar lo que yo veo referente a la seguridad hoy en día, hay países que confían a ciegas en la tecnología como el caso de los IPADs en el gobierno Español, imagínate por un segundo activar los micrófonos de forma remota en una reunión…
También cabe recordar que todos los Hosting alojados en USA o Empresas que tengan parte de su negocio en USA se ven obligados a dar acceso a la NSA, ósea Dropbox, Amazon, (etc…) no alcanza la excusa de que tengan el servidor físicamente en Europa, Sudamérica, eso es solo un señuelo para pescar más datos que espiar.

Bueno dejo un par de enlaces para que profundicen un poco mas:

La NSA construyó puertas traseras en Windows en el 1999
http://goo.gl/avZCO

Un poco mas sobre PRISM
http://goo.gl/WkQSs

Que es PRISM:
http://goo.gl/o6BJC

PRISM extraería datos directamente desde los servidores de Facebook o Google
http://goo.gl/fXOU1

Saludos!