Introducción a la OWASP

Logotipo Owasp

Logotipo Owasp

La OWASP, fundación sin ánimo de lucro, es una comunidad abierta y libre a nivel mundial dedicada a la seguridad de Aplicaciones Web, sin importar el lenguaje de programación.
Buscan poder compartir su conocimiento sobre la seguridad a las empresas, para que tomen las medidas necesarias a la hora de desarrollar una aplicación.
Además ponen a su disposición, libros y aplicaciones Testing y penetración de sitios para sus pruebas de seguridad.

Sobre el Meeting

Este último evento tuvo grandes cambios, el principal fue el lugar que se eligió: una sala excelente que permitió disfrutar de las ponencias, en el emblemático “Ateneu Barcelonès”.
Hubo sorteos para los asistentes y la gran sorpresa fue la mesa redonda entre los participantes e invitados que fue subiendo de temperatura a la hora de exponer, los diferentes puntos de vista, sobre la calidad de la seguridad y la importancia que le da en las empresas.
Lamentablemente Vicente, quien se encarga de organizar todas estas conferencias y lograr un trabajo eficaz, no pudo asistir.
Para el, mi reconocimiento, porque cada evento al que asistí, ha sido una experiencia enriquecedora.

Las ponencias

La primera ponencia me pareció larga y repetitiva, aunque la idea que nos intento trasladar, sobre como tratar al área de seguridad de una empresa frente a las demás áreas de trabajo y los jefes fue muy buena.
Destacando la importancia del valor de la seguridad cuando el negocio se basa en información electrónica y como tratar de concientizar a los empresarios sobre lo que se pone en riesgo cuando no se evalúa el mismo.
El ponente fue Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM. Miembro del Consejo Asesor. SANS Institute.

La segunda ponencia, fue muy introvertida, divertida por la picardía del ponente, aunque el tema que explica no es de lo mas común en el Hacking cotidiano. Pero supo mostrar con elocuencia  lo mal programado del lenguaje de LDAP y como no se tratan las inyecciones de código fuente en las consultas.
Como las distintas empresas que poseen herramientas de LDAP aplican filtros y la lógica de comportamiento, también los beneficios de una base de datos distribuida, lo cual acelera mucho los procesos a la hora de consultar sistemas distribuidos en una sesión de usuario.
Pero no tuvo piedad con nosotros, los programadores que no aplicamos filtros básicos a los códigos.
El ponente fue, José María Alonso. Microsoft MVP Windows Security. Consultor de Seguridad. Informatica64.

La tercera ponencia me sorprendió por lo bien que se dio la charla y como la gente preguntó con entusiasmo,. Quizás la ponencia que tuvo mas participación del público hubo y se quedó corta en tiempo para consultas.
Esta ponencia fue dada por Jorge Martín. Inspector. Jefe del Grupo de Seguridad Lógica. Cuerpo Nacional de Policía, que al principio dio una explicación sobre el organigrama de la policía, para explicar su ubicación, luego su exposición se puso muy interesante, porque representa a La ley y es quien realmente sabe como deberían ser las cosas, a la hora de penalizar los actos vandálicos ocurridos en la Web.
Los cuales en su gran mayoría hoy en día quedan libres de culpa. También comento lo desbordados que están, a la hora de hacer análisis forenses.
Por suerte pude hacer dos consultas que me tienen intrigado al día de hoy, una era la responsabilidad de las compañías de Software, que con sus errores muchas veces se puede hacer daño a otras empresas como las maquinas BOT. Si había alguna ley o algo pendiente sobre esto, a lo cual no pudo darme una respuesta certera y creo que nadie puede.

Sigo creyendo que las responsabilidades de un fallo de seguridad no pueden ser solamente absorbidas por un hacker que la encuentra y la explota y luego las empresas te cobran por tapar su falla, la cual fue la causante de las perdidas.

Y la segunda pregunta era sobre la responsabilidad de tener un ordenador en la casa, o donde sea, y su utilización.
Hoy en día un ordenador es una poderosa maquina de robar o estafar, engañar, hackiar y hacer daño a las empresas o sitios Web y hasta donde llega la responsabilidad del usuario, porque por ejemplo si tu dejas el coche mal estacionado te meten una multa o se lo lleva la grúa, ni hablemos de pisar a un peatón, para ello existen leyes que hacen un protocolo de comportamiento, que busca un orden social para un equilibro en la comunidad. Que pasa cuando un ordenador es infectado por un troyano, virus, y se hace un mal uso del mismo, el rol del dueño de ese ordenador, es responsable de cohecho ¿? Tiene culpa por no cuidar su propiedad y la cual debe ser controlada para evitar actos vandálicos, y me comento algo que fue como mi respuesta, que en un futuro no seria raro que empresas de seguros ofrezcan seguros hogareños para estos casos.

La cuarta y última ponencia previa la mesa redonda, hizo referencia a un software desarrollado por la OWASP para test de seguridad en sitios Web. La aplicación llamada Webgoat y desarrollada en JAVA simula un webserver con sus services y aplicaciones, donde se puede simular ataques de casi todos los tipos conocidos y ver como se comportan ciertos elementos. Creo que es de una  gran utilidad y se debería usar en las universidades a la hora de hablar de programación orientada a la web.
La charla no tuvo gran participación ya que mas que nada se trato de aprender sobre la herramienta. la cual fue de un gran interés para todos los visitantes en general.
El ponente fue: Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young

La Mesa Redonda

Como invitados de lujo participaron Francesc Rovirosa i Raduà G.O. d’Integració Tecnològica. UOC. Asociación de Técnicos de Informática (ATI)
En la mesa redonda se habló principalmente sobre como las empresas consideran la seguridad y la responsabilidad de los programadores en el desarrollo de las aplicaciones, donde nadie dejó de exponer sus ideas.

Este el final de el meeting y les recomiendo asistir auque no sean expertos en seguridad, y sobre todo si su entorno de trabajo tiene algo de aplicaciones. Las ponencias dan unas nociones muy buenas sobre la seguridad en la Web.
Link: http://www.owasp.org/index.php/Spain/Meetings
Pongo unas fotografías del evento (las que tuve el privilegio de hacer)

Spain_20090515_1_thumb.png
ampliar		 Spain_20090515_2_thumb.png
ampliar		 Spain_20090515_3_thumb.png
ampliar		 Spain_20090515_4_thumb.png
ampliar		 Spain_20090515_5_thumb.png
ampliar
Spain_20090515_6_thumb.png
ampliar		 Spain_20090515_7_thumb.png
ampliar		 Spain_20090515_8_thumb.png
ampliar		 Spain_20090515_9_thumb.png
ampliar		 Spain_20090515_10_thumb.png
ampliar
Spain_20090515_11_thumb.png
ampliar		 Spain_20090515_12_thumb.png
ampliar		 Spain_20090515_13_thumb.png
ampliar		 Spain_20090515_14_thumb.png
ampliar		 Spain_20090515_15_thumb.png
ampliar
Spain_20090515_16_thumb.png
ampliar		 Spain_20090515_17_thumb.png
ampliar		 Spain_20090515_18_thumb.png
ampliar		 Spain_20090515_19_thumb.png
ampliar		 Spain_20090515_20_thumb.png
ampliar
Posted: 26 may, 2009 | [2] Comments
Categorías: Seguridad | Etiquetas: | By: admin.