Vídeos de la conferencia: OWASP Europe Tour – Barcelona, viernes 14 de junio 2013

Vídeos de la conferencia: OWASP Europe Tour – Barcelona, viernes 14 de junio 2013

Un total de 4 conferencias, más la presentación y la mesa de debate.

Esta vez no tuve problemas para que Youtube me deje subir vídeos de larga duración!!

Un detalle, usé una cámara “Toshiba Camileo P100” que pensé que me ahorraría un poco de tiempo y mejoraría la calidad contra una vieja DV, pues al final, todo el tiempo está enfocando y la calidad del audio y vídeo no son lo mejor, por eso recomiendo no comprarla! :(

Pues aquí los vídeos:

OWASP Europe Tour – Barcelona 2013 / Presentación
(Bienvenida) Josep Maria Ribes / Director d’Enginyeria de La Salle Campus Barcelona.
(Introducción a la jornada) Vicente Aguilera Díaz / OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors.

Selva María Orejón Lozano / Directora ejecutiva de onbranding. Co-fundadora AERCO-PSM. Fundadora y Directora del Congreso Brand Care.

Seguridad en redes sociales.
Ya estamos todos conectados Online, incluso hiperconectados, hiperexpuestos con nuestros contactos. Saben qué hacemos, dónde estamos, con quién, qué compramos, qué consumimos … pero ¿y nuestra seguridad? ¿Ya sabemos quién ve qué? ¿Nos interesa comunicar todo lo que hacemos? ¿Tener tanta visibilidad? Y como empresa ¿ya controlamos a quien lleva nuestra comunicación? ¿Y si se va de la empresa? ¿Tenemos acceso real y completo en nuestra comunidad?.

Fabio Cerullo / CEO & Founder Cycubix Limited. OWASP Ireland Chapter Leader.
PCI Para Desarrolladores.
Los estándares PCI-DSS y PCI-PA DSS son bien conocidos por los profesionales de seguridad y auditoria informática, pero como son interpretados por los equipos de desarrollo de software? Muchas veces no es claro si todos los requerimientos son necesarios y mas importante, como tienen que ser implementados. Esta charla tiene como objetivo ayudar a los desarrolladores a interpretar de manera rápida y sencilla cuales son los puntos críticos de estos estándares a tener en cuenta y poder implementarlos durante el ciclo de desarrollo de software.

Chema Alonso / CEO en Telefónica Digital Identity & Privacy.

Why cyberspies always win.
Todos los días sitios webs pertenecientes a grandes empresas son vulneradas. Muchas de esas empresas pasan revisiones constantes de seguridad, y sin embargo, siguen apareciendo en las noticias las contraseñas de usuarios, los datos de los clientes o información sensible de la empresa. ¿Por qué? En esta sesión se presentarán algunas ideas al respecto sobre este tema… de forma muy maligna.

Albert López Fernández / Analista de Seguridad en Internet Security Auditors.

Low Level Miseries when Exploiting Linux Heap.
Se explicarán varias vulnerabilidades que afectan a la implementación del heap en sistemas GNU/Linux. Se realizará un repaso del estado del arte, y cómo aprovecharse de las vulnerabilidades presentes en el código encargado de gestionar la memoria dinámica en Linux y se detallará cuál ha sido la problemática al desarrollar los payloads necesarios para explotar dichas vulnerabilidades. Asimismo, se repasará a alto nivel cómo funciona la gestión de memoria dinámica en Linux para luego destripar su funcionamiento a bajo nivel.



Mesa de debate / OWASP Europe Tour – Barcelona 2013
Cierre de la jornada con la mesa de debate.

Análisis de la Conferencia OWASP Europe Tour – Barcelona 2013.

Análisis de la Conferencia OWASP Europe Tour – Barcelona 2013.

Ya ha pasado mucho tiempo desde la última conferencia, pero por suerte volvieron y con más fuerza, se dejó ver que para octubre tendremos otra conferencia más! 

Un viernes lleno de contenidos, desde las 10 de la mañana hasta las 18 de la tarde se habló de muchos y variados temas referentes a la seguridad.

La charla de Selva María, fue la que abrió la sesión, la cual de entrada no lo vi como muy técnico pero al pasar la charla comenzó a aportar muchísimo en aspectos del campo social y los ataques que se viven día a día en ellos. El negocio que se ha montado por la reputación online, el manejo de la información (falsa o no). En como Internet se puede convertir en tu aliado en el momento de manejar un perfil dependiendo lo que se busque. Vamos, en definitiva, que puedes hacer cosas malas, para que  nuevos clientes vean un perfil a medida.

La siguiente charla de Fabio Cerullo, estuvo muy bien, pero fue principalmente orientada al estándar de desarrollo PCI, sistemas de pago de tarjetas, donde expuso como se debe hacer el trabajo a la hora de trabajar con sistemas de pago, el “checklist” que se debe cumplimentar y los beneficios que aporta aplicar este estándar de pago, mostró alguna que otra vulnerabilidad a la hora de no guardar los datos del número de la tarjeta. Muy recomendada a la hora de tener que cumplimentar el estándar PCI.

La tercera y última charla de la mañana fue impartida por Chema Alonso, la cual fue directamente sobre seguridad, en sistemas de control de ataques, test de penetración.

Comentó sobre su adaptación de su programa La Foca, y los cambios de rubro que tendrá el mismo. La charla está llena de contenidos excelentes, mostrando como la gente y empresas dejan huella en el mundo online.

La primera charla de la tarde, impartida por Albert López Fernández, muy buena a pesar de ser justo la de después de comer y eso ya tira en contra por el sueñito que te agarra. Un tema muy interesante sobre las vulnerabilidades del Heap en Linux. En si como se utiliza la memoria y que cosas se pueden hacer para jugar con ellas, meter códigos para conseguir accesos a determinados temas. Es un mundo muy divertido, pero duro, ya que es a un nivel un poco más bajo a la hora de trabajar con la memoria directamente. Me agradó mucho la charla.

La última charla de la tarde, impartida conjuntamente por:  Marc Rivero López y Dani Creus

La cual me pidieron que no se grabe por los contenidos de los que se hablaron, era sobre la seguridad física y virtual de los sistemas de bancos con sus tarjetas de crédito. En sí mucha de esta información está disponible online, solo hay que saber buscarla.

Estuvo muy bien, la forma que cada día hay nuevos virus, troyanos, malware exclusivamente diseñados para el robo de cuentas, que poseen todo un sistema de negocio  montado donde te venden la distribución, instalación y más extras para el interesado en este negocio ilegal.
En como la policía se mueve para intentar estar a la par de esta gente.

Cierre con la mesa de debate. Fue interesante, ver como hoy en día estamos expuestos a gobiernos, espías y muchas cosas más, por culpa del sistema y diseño de Internet, la forma que acceden a nuestros datos privados, búsquedas en Internet y mil cosas más.

Pues ese es mi resumen de la jornada, para mí fue muy interesante, aportó nuevos conceptos y reforzó otros, espero que el trabajo de haberlas grabado para compartirlas ayuden a otros a entrar en estos temas.

“Aunque vengo con un poco de retraso en la edición de los vídeos de la conferencia, ya los tengo listos! Siguiente post los publico!”

Les dejo la galería de imágenes de la jornada.

El proyecto Muevala.com una muy interesante idea

Encontré este proyecto el cual me pareció muy interesante la verdad, www.muevala.com la idea es en general aprovechar tus viajes para transportar algo y ahorrarte un poco de dinero.

No sé, siempre que quiero mandar un paquete a mi familia, es totalmente prohibitivo de este modo, cambia un poco y lo que pague de paso sirve para ayudar a un viajero.

Recomiendo mirarse esto a la hora de viajar!

Estados Unidos nos espía! No solo existe el PRISM

Aunque esto parece una noticia nueva, está claro no lo es….

Es sabido por todos que un sistema operativo como el que produce Microsoft diseñado en USA no solo tiene puertas traseras si no que hasta debe enviar estadísticas de nuestro comportamiento, pero que no cunda el pánico, de momento somos demasiados PCs como para que puedan segmentar a cada ser del planeta y meterles un puro en USA ? no…?

Todo un tema, con eso de los centros de detención clandestinos, como en los que participo España, (http://es.wikipedia.org/wiki/Centros_clandestinos_de_detenci%C3%B3n_de_la_CIA)

Si bien, de momento dice ser usado por el tema del Terrorismo y ¿Pedofilia? Hago hincapié en mi anterior post.

Si bien USA siempre fue la vanguardia en desarrollos, mientras otros países no tenían mucho más que un “sistema operativo dependiente”, para entender esto tenemos que ir al pesado! Sí señor, agradezco mis años a veces… Ya está la NSA tocando las pel… con el PGP (http://www.satorre.eu/historia_pgp.htm)

Bueno y ahora viene lo bueno en mi juventud instalando un NT4 (Jo pedazo de Kernel jijijii) recuerdo que en unos de los “services packs” actualizaba el gran amado nucleo, y el gran hermano de la NSA, el Internet Explorer, si señor y ya como eran otras épocas por la cara te decía, que por estar fuera de USA solo podrías usar certificados de seguridad de 64Bits (si algo así como las claves web de las WIFI).
O sí un https muy seguro, Nuevamente por el año creo 1999/8 la NSA metiendo sus narices en los países que no son USA.

Bueno para todas esas personas y políticos que esto les suena como el medicamento que le da el Doctor para la presión alta, ósea a nada, estamos entregando hasta a nuestra madre en bandeja… o sí a veces la ignorancia en esto nos hace feliz (Ciertamente eso lo aprendí con el tiempo).
Bueno si bien el GNU es una rama interesante como sistema operativo, no quiere decir seguro, claro si lo comparamos a su primo lejano Winpocho la pantera, claro es seguro, pero eso es como comparar (…pienso analogía…) una comode64 (W), una nintendo Wii(L) Contra una PS4 (troll aun no está en la calle), Pero justamente lo que se dice seguro, es difícil de comprender, un kernel contra caídas, desbordes de pilas, llamadas no soportadas etc… (estará en la calle?)

Pues después del Stuxnet, llegue a leer que la Siemens prometía un sistema operativo para Alemania, será que se da cuenta el daño que hace esto día a día… (No encontré el enlace =( )

Volviendo al Linuxete, este amigo si bien es más seguro, no es el más grande, existen otras versiones de OS como BSD (freeBSD) el que tiene un diablito simpático de logo, pues acá hubo todo un tema de ataques a sus repositorios y eso es todo un marron, Debian, BSD y no sé cuantos más han sufrido este tipo de ataque, pensaremos que serán niños jugando con una red de bots no..?
Pues no, atacar y logar acceso a los repositorios de código fuente o tanto como de paquetes de la hermosa posibilidad de meter unos 32KBytes de código para accesos remotos y más cosas no deseadas. Ahí es donde entra en juego la seguridad, si piensan cuantas líneas de código que solo tiene el kernel de Linux?, pues por lo que busque en el señor Google amigo de la NSA, el kernel 3.2 sobrepasa las 15 millones de líneas de código, ahora esto es solo una pequeña parte del sistema, los paquetes como Apache, Php, Mysql y otros más que pueden correr como super root?
Bien esto es como esconder una aguja en 15 millones de pajares, no sé cuantos ojos harán falta para verlo, por ende el tema de que yo me lo cocino yo me lo como, si me bajo el código fuente y me lo compilo pero no tengo ni idea que hace ni como, aunque sepa de programación C, C++ y algo de ASM te lees todo el código por ejemplo del apache ¿? Vale, vamos mas allá si me leo el código, y mi pregunta tu GCC ósea tu compilador de C y C++ es realmente el compilador limpio, no te agregara nada a la salida de tus obj ¿?
Si lo sé es demasiada paranoia pero a que mola… :P

Con esto quiero solo contar lo que yo veo referente a la seguridad hoy en día, hay países que confían a ciegas en la tecnología como el caso de los IPADs en el gobierno Español, imagínate por un segundo activar los micrófonos de forma remota en una reunión…
También cabe recordar que todos los Hosting alojados en USA o Empresas que tengan parte de su negocio en USA se ven obligados a dar acceso a la NSA, ósea Dropbox, Amazon, (etc…) no alcanza la excusa de que tengan el servidor físicamente en Europa, Sudamérica, eso es solo un señuelo para pescar más datos que espiar.

Bueno dejo un par de enlaces para que profundicen un poco mas:

La NSA construyó puertas traseras en Windows en el 1999
http://goo.gl/avZCO

Un poco mas sobre PRISM
http://goo.gl/WkQSs

Que es PRISM:
http://goo.gl/o6BJC

PRISM extraería datos directamente desde los servidores de Facebook o Google
http://goo.gl/fXOU1

Saludos!

La Ley española intenta ser malvada con los internautas….

Si bien Internet es un mundo muy grande, donde mucho de lo que hay está diseñado para hacer daño, sea el mínimo o el más grande, desde empresas que ofrecen software con instaladores cambiados, que claramente te pone sus programas o te roba hasta las galletas más ricas de tu navegador. Desde páginas web infectadas con un pequeño “javascript” con la potencia de hacer de tu lindo ordenador un “superbot” que va desde la clase de spam a proxy para negocios o otros temas.

“Si navegar en internet es realmente peligroso”, pero nadie es consciente de ello, a veces hasta sentimos una falsa sensación de seguridad. Tengo Win7, tengo debían o hasta FreeBsd….

Pero en realidad es como circular en bicicleta por una autopista de 8 carriles de 140 de máxima. Las estadísticas lo dicen, te la van a pegar en algún momento.

Bien esto es a modo introducción, ahora que intente comentarte que Internet es media mala, no por si misma si no por la gente, y por un eslabón muy fuerte que son países que les encanta tener este poder bajo sus garras.

“Cuando la Ley quiere tener un marco legal donde es difícil demostrar la verdad absoluta, deja la puerta abierta al mal uso por parte de todos, no solo de los cuerpos de seguridad y de las presiones políticas para demostrar una verdad que tal vez no siempre sea la verdad.”

Ahora vamos a lo que nos ataña, si con la excusa de los delitos de “pornografía infantil” es lo más malo que puede haber en Internet, la pedofilia es un enemigo de la sociedad, pero también es la llave para la excusa perfecta para que otros paguen por los culpables.

Planteo un caso muy hipotético, imaginemos que el gobierno de turno tiene un problema con un político en sus filas que sabe que algo se hizo muy mal. Y que ya esta medio cansado o simplemente dejo de ser negocio para él, pues esta persona está dispuesta a apretar las tuercas a su partido, mandando el material que tiene en su ordenador…
Que pasaría si este señor no solo le borran esos contenidos de una forma segura y remota, y luego no solo eso, se los sobrescriben con otros datos y de paso le copian 50 Megas de fotos de pedofilia, le ponen el utorrent como proceso oculto y venga a compartir, cogemos el historial de otro pedófilo y se lo cargamos a esta persona.

YA TENEMOS UN PEDÓFILO MENOS EN LA SOCIEDAD!!!!!!

¿Piensan que no se puede hacer? ¿Creen que la policía no sería capaz d esto?
Si bien me gusta confiar en el estado, todos queremos vivir mejor, tranquilos, una vida justa, igualitaria….
Pero si el estado indulta a policías por penas, si el estado no tiene una ley de transparencia.
¿Cómo podemos confiar que esto no se use del modo transparente? Pues yo creo que no se puede.

Ahora solo siento que esto solo hace aun más insegura a la Red de Redes, si bien puede a ver herramientas para que esto se gestione correctamente en el siglo XXI, en España se da el caso que señores que deciden la Ley para todo un país se quedaron en el siglo XV más cosas por las cuales no puedo confiar del todo en este sistema de troyanos para gente evil.

Con esto solo busco exponer mi idea sobre el tema, no estoy en contra de que la Ley se actualice, pero estoy en contra en la forma que se hacen las cosas y sin transparencia.
Por otro lado, las personas que comenten delitos de momento van 50 pasos por delante, y también cabe recordar que los que más activos están en esto son los mismos gobiernos de otros países robando, manipulando y hasta destruyendo elementos de trabajo. Temas que pueden llevar hasta una guerra fría informática, si es que ya no la hay….

Y ahora les dejo una serie de enlaces para que cada uno saque su conclusión sobre este asunto:

El estado perdona: http://goo.gl/UizfI
USA registra todo: http://goo.gl/i8AMw
Otra fuente: Los troyanos policiales del borrador de la nueva ley http://goo.gl/7jGO7
Ya nos espían hace rato: http://goo.gl/URPQ6
Un tipo sin clave: Pena de cárcel en el Reino Unido por no revelar la contraseña de cifrado
http://goo.gl/0dnX7
Silent War http://goo.gl/cbwA1

 

Stuxnet

http://es.wikipedia.org/wiki/Stuxnet

 

Guerra informática

http://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica