Kamus Blog

lanyard

Hasta ahora solo había públicado post sobre experiencias personales, eventos y otros sucesos que me han pasado en este último tiempo, sin embargo, dentro de mi entorno de trabajo tenemos una frase llamada “Opinología Informática”, que se refiere en resumen a dar tu versión al respecto de un tema enfocado al área, aunque generalmente tiene una connotación negativa en esta oportunidad prefiero darle un enfoque más constructivo y me refiero específicamente a dar mi humilde opinión sobre lo que fue el primer evento técnico sobre “Seguridad Informática” en Chile.

Las charlas las pueden ver en http://8dot8.org/talks.php, y las resumí de esta manera:

Keynote (resumen del estado en Chile luego de 15 años) – Jose Miguel Piquer

Si bien no recuerdo el título exacto de la charla, a estas alturas un patriarca de la informática en Chile su visión de lo que ha pasado a nivel de seguridad era una teoría que quizás todos pensábamos pero nadie se había atrevido a comentar públicamente. Nada que decir respecto al nivel de la charla, si bien ocupo unas slides del siglo pasado (1995-1996) los puntos que plasmaron hace un par de años atrás siguen siendo tal vigentes como el problema de la educación y que realmente en estos 15 años no hemos progresado lo necesario para ir al ritmo de la tecnología que poseemos, lo que abre un campo preocupante y a la vez una oportunidad laboral bastante grande.

Mobile Device Security – What now?

El par de argentinos se notaba que tenían experiencia exponiendo juntos, fue como jugada de playstation la charla, todo fue muy entretenido y fluido. Básicamente mostraron algunos casos de vulnerabilidades para teléfonos que ocupan Android y ioS con ejemplos prácticos en vivo. Lo más recordado fue un exploit que afecta a las versiones antiguas del robot que permitía tomar total del contenido de la SD Card de tu dispositivo a través de la lectura de un código QR.

Gaining Full System Access via Virtual Memory

Aqui la jornada comenzaba a ponerse mas densa y oscura, ya que venia uno de los platos fuertes de la noche directamente de la república Alemana (y son un acento muy marcado). Creo que todos los que estuvieron presentes este día quedaron ‘preocupados’ por decirlo de alguna manera pues nos demostro que leer o capturas los hashes de los usuarios de un sistema operativo Linux (Centos fue el elegido para la ocasión) corriendo bajo virtualización es demasiado trivial, claro si tenias la ocurrencia y el conocimiento suficiente para darte cuenta. Luego de esta charla muchos usuarios se migraron desde Linux a Windows según dicen los mitos.

On Exploit Quality metrics and how to use them for automated pentesting

Esta fue una de esas charlas que todos esperábamos ver algo más práctico y entretenido, pues la verdad es que fue demasiada teoría comercial y  que a los asistentes generalmente no les interesa mucho ver. Una lastima tener solamente 3 minutos de Demo y a ratos ser un poco despectiva contra la competencia.

Automated Detection of HPP vulnerabilities in Web Applications

La mezcla entre Chilean-Spanish-Italian-English fue un poco compleja a ratos para los que no estábamos usando el traductor en línea pero se agradece hacer el intento de hablar en español. Il bambino nos mostró un nuevo tipo de ataque enfocado a web con una serie de ejemplos prácticos listos para ejecutar via google o yahoo, puede que en un futuro se agregue a la lista de los 5 más pedidos en OWASP, who knows.

nota: gracias a @Zuko por esta url donde aparece el HPP explicado en más detalle , http://blog.iseclab.org/2010/12/08/http-parameter-pollution-so-how-many-flawed-applications-exist-out-there-we-go-online-with-a-new-service/

Attack SAP Web Applications 

Fue el último en salir a escenario con un público que ya estaba cansado y ansioso por comenzar el sorteo de las consolas XBOX360 y Playstation3 que dejaron a los pies del escenario a modo de ‘incentivo’. La verdad nunca he tenido a oportunidad de trabajar con SAP pero me quedo absolutamente claro que es un software que vale una burrada de plata considerando que tiene una gran de bugs de nivel High/Critical que son fáciles de explotar y comprometer toda la contabilidad de una gran nacional sin mucho esfuerzo. Me saco el sombrero por el che, pues ya a estas alturas capturar la atención del público tiene un gran mérito.

You have already been hacked

You have already been hacked es una de las charlas que suma a la lista de “Esperabamos ver más”, la verdad fue un poco aburrida para mi gusto y para ser honestos no paso a formar parte de los “highlights” del fin de semana.

30k Feet Look at WIFI and Mobile privacy overview

El compañero de origen Brasileiro nos dejo asombrados con una serie de experimentos que habia realizado en sus vuelos Internacionales, donde varios nos quedamos boca abiertos cuando nos comento el pentest realizado a un avión comercial donde un hacker X llegó supuestamente a tener acceso total al sistemas de control de turbinas…si bien fue escalofriante debo decir que se gano mi respeto y paso a formar parte de mis favoritos de la jornada.

Hacking Automatizado by Zerial

Como hackear wordpresses y subir archivos al cloud de manera ‘legal’ modificando su contenido y parecer originales (sin modificación, cat foo.jpg foo.mp3 > foo.jpg). Entretenido y totalmente práctica, lastima que una de las últimas charlas y ya el cansancio me estaba ganando la lucha.

Proyecto SecureLess 

Acá se pudieron haber mostrado mucho más, pues el proyecto es muy interesante a pesar que esta en pañales, fue una presentación que necesita mas rodaje y quizás una estructura mas dinámica. Ksha debería haberle agradecido que estaba acompañado de Zerial

 Venue and others (El lugar, la organización y otros comentarios finales) 

El cine arte normandie fue el lugar escogido para el evento, tiene una ubicación relativamente céntrica, de acceso a ratos limitado en cuanto a espacios (al momento del break era un caos) y definitivamente tiene unas butacas que no son las optimas para un evento de estas características, mis riñones aun se estan recuperando (típicas de un cine de la época de las salitreras en humberstone).

El “mangiare tonino” estuvo muy bueno, había desde agua mineral hasta cerveza en cantidades industriales para llegar y llevar. Según el experto en brevajes ‘P’ la cerveza era de cálidad, “Kross” afirma. Las galletitas que nos dejaron se notaban recién preparadas, estaban muy buenas también (creo que eran TIP TOP y otras).

Las poleras que nos regalaron (para todos los que pagaron su ticket via electrónica) estaban bien decentes, el estampado se ve mejor que el común que puedes encontrar en cualquier evento de una multi nacional. Esperemos con el uso y lavado aguante un tiempo ya que el diseño simple y minimalista le da un toque de ‘elite’.

Seguramente fue un evento que fue preparado con relativamente poco tiempo y recursos, pero de todas maneras creo que paso la prueba y me queda claro que el próximo año se vendrá una nueva versión del 8dot8 v2.0 mejorada y recargada.

Le pongo un 5,8 como nota final (con un máximo de 7)

• http://8dot8.org/ , web oficial del evento
• había gente de 21tv grabando por lo que asumo que subirán los contenidos en algún momento para los que se lo perdieron

Be Sociable, Share!

•