Resultados del 4º Seminario de Segu-Info

Seba Bortnik —  11 abril 2008 — 2 comentarios

Hoy, de vuelta en casa y habiendo acudido a la segunda jornada del evento organizado por Segu-Info en Santa Fe, quiero contarles cuáles fueron las experiencias que viví, no solo como expositor, sino más bien como oyente del seminario y los talleres.

A mi criterio el seminario fue un éxito y la gente se fue contenta. Armar un evento en el interior con semejante cantidad de gente (más de 250 personas) no es tarea fácil y llevar la temática de la seguridad y el robo de identidad al interior del país, es algo que ninguna empresa “se anima” a hacer porque muchas veces “no es lo más rentable” o “lo más comercial”. Y que Segu-info, “una comunidad” como la define su propio director, se anime a hacerlo es una alegría y además un orgullo de pertenecer a esa comunidad.

La gente se va contenta del evento porque, como dijo Cristian en la apertura, es un evento que “no le va a vender nada a nadie” y maneja filosofías e ideas similares a la comunidad del software libre: compartir el conocimiento. Cada charla está apuntada solo a eso y sin ningún fin comercial. Comentaba Cristian en la apertura que se hace complicado conseguir sponsors porque cuando una empresa pregunta “qué recibirá a cambio de apoyo” la respuesta es “nada” (esto es casi literal). Es decir, las empresas que apoyaron tuvieron su logo en la prensa, su stand y su folletería… y nada más. En ningún momento los auspiciantes pudieron interferir con el principal eje del evento que es compartir y capacitar, sino que su rol es el de acompañar. Por lo que me parece más valioso aún aquellos sponsors que estuvieron presentes en el evento.

Una cosa más que me interesa destacar es que el evento empezó demorado por contratiempos realmente inesperados y, la calidad del evento, se vio reflejada en que muy a pesar de que cuando empezó el evento los asistentes estaban un poco “enojados” por la demora, fue increíblemente rápido como un ámbiente de enojo se convirtió en ver a la gente contenta y compenetrada en las charlas, y eso fue solo por la calidad del evento, las charlas y la organización (más allá del contratiempo).

A continuación, me interesa contar como oyente, una oración sobre de qué fue la charla y otras sobre las conclusiones que saqué de ellas.

  • Presentación del Seminario por Cristian Borghello

Como Cristian nos tiene acostumbrados, arrancó con algo original haciendo un muy buen quiebre brindando mucha información personal de él, aparentando ser extremadamente egocentrico y luego preguntandose: “¿no estaré contando demasiado de mí?”. Luego, una breve presentación de Segu-Info.

  • Web 2.0 Information Disclosure, “Webear puede costar caro” Ezequiel Sallis & Claudio Caracciolo

La charla se centró, en resúmen, en mostrar cuán fácil es encontrar información de una persona, simplemente utilizando herramientas libres (y principalmente Google) y visualizando los rastros que dejamos cuando navegamos por Internet.

Dieron una excelente explicación sobre cómo Google cachea en sus servidores los contenidos de la web y ejemplos concretos con screenshots realmente increíbles con información personal de usuarios comunes.

Mi conclusión, la misma que la que ellos presentaron a través de una campaña cuyo slogan fue: “Think before you post” (Pensá antes de postear). Todo lo que subimos a Internet, allí queda, aunque nosotros creamos que lo borramos y por eso es importante pensar antes de subir algo o, como lo llamé yo en mi charla, “hacer un uso responsable de las nuevas tecnologías”.

  • Privacidad y Nuevas Tecnologías pos Sebastián Bortnik

No voy a habla de mi propia charla en este post pero fue piola que venga después de la de Ezequiel y Claudio ya que los temas estaban relacionados y se pudo dar una idea común, por suerte, al público, bajo la línea que ya mencioné.

La charla anterior pudo mostrar técnicamente ejemplos más concretos y yo intenté ponerle un poco de humor y un cierre teórico aprovechando muchas de las cosas que en la charla anterior ya habían sido explicadas por profesionales en el área.

  • Los Cazadores de Mitos de la Seguridad por Federico Pacheco

A pesar de que me perdí un fragmento de esta charla (para tomar un refresco luego de hablar), Federico se centró en desmitificar algunos mitos que dan vueltas respecto a la seguridad informática. Una charla interesante que simplemente presentaba un mito y luego ponía la firma: “Falso” o “Verdadero”. El verdadero es porque también presentó ciertos “mitos” que la gente cree falsos y en realidad no lo son. Realmente una muy buena charla y explicada con mucho humor.

Está bueno ver cómo muchas veces es importante pensar y repensar cada cosa que escuchamos en los medios o de boca en boca y validar los contenidos es importante.

En este caso puntual, estará piola aprovechar las diapositivas que Segu-Info publicará en breve para ver todos los mitos que se nombraron en la charla.

  • Identidad en los Bancos por Nicolas Mautner

Nicolás centró su charla en las diferentes formas que existen (o existirán) para identificar a los clientes y las diferencias entre ellas respecto a la seguridad y cómo validar de forma más correcta la identidad de las personas en aplicaciones web.

A pesar de tomar como eje los bancos, la charla tiene un alcance mayor y sus contenidos también.

Como conclusiones me gustaron dos cosas. Por un lado las posibilidades técnicas de generar nuevos métodos de identificación y autenticación y la necesidad de pensar que no siempre los métodos más tecnológicos son los mejores. Por otro lado, algo que explicó Nicolás al comenzar que es que con los usuarios internos, uno puede exigirle un montón de cosas para la seguridad y autenticación pero que tomar medidas de seguridad con los clientes es mucho más jodido porque si se sienten incómodos, se pasan a la competencia que, esto en mis palabras no las del orador, “no les hinchan tanto las pelotas”.

  • El Robo de Identidad legalmente por Facundo Malaureille Peltzer

Esta charla fue el aporte legislativo al seminario y es de suma importancia incluír este eje en la temática.

Facundo se centró, en el poco tiempo que da una charla, en brindar a los asistentes en su mayoría técnicos la visión de un abogado sobre el robo de identidad, y contar un poco sobre la legislación vigente.

Me pareció muy interesante cómo él siente que muchas veces los tecnológicos nos cuesta laburar mano a mano con los abogados para trabajar en el tema y, evidentemente, habrá que mejorara en este punto porque la legislación sigue siendo pobre y especialmente en Argentina.

  • Blind SQL Injection basado en tiempos, mediante el uso de Consultas Pesadas por Chema Alonso

Chema fue la estrella del seminario y eso que me esforcé por hacer una buena charla 😉 . Más allá del nivel profesional y excelencia del resto de los oradores argentinos, el hecho de contar con alguien que viene de afuera y con los conocimientos de Chema Alonso, fue fantástico para el seminario. El loco es un fenómeno y se nota que sabe mucho y además tiene mucha experiencia dando charlas.

Cristian remarcó antes de empezar el seminario, que en Europa Chema dió charlas en eventos cuyo costo supera los mil dólares, y nosotros tuvimos la suerte de verlo (por duplicado porque hizo un taller al otro día) por los increíbles y accesibles costos del seminario de Segu.

La charla quedó corta para el tema en cuestión y lamentablemente se iba haciendo tarde y el tema es muy interesante.

Básicamente Chema contó un método para inyectar código en sitios web y extraer información de ellos. Mi fuerte no es la parte técnica y menos explicar qué es un Blind SQL Injection basado en tiempos pero lo más rescatable más allá del método, es lo que el orador mencionaba como conclusión: lo simple que es evitar estos ataques solo “programando bien” y evidentemente la mayoría de los sitios no están protegidos contra este método.

  • HTML Scripting Attack por Hernán Racciatti

La charla de Hernán cerró el seminario y, para la mala suerte del orador, se iba haciendo tarde.

Hernán presentó un método de ataque a sitios web que consisten en insertar código script html, cuando los sitios no validan las entradas de los usuarios. Es un método muy simple de utilizar y, como dije en el comentario anterior, la gran mayoría de los sitios no están protegidos por las malas practicas de programación que se están dando en el mercado.

Hernán mostró a través de una aplicación práctica que él desarrolló ejemplos concretos sobre la extrema simplicidad del ataque y los costos de sufrirlo pueden ser altos y puede hacerse de forma muy simple robo de información o ataques al sistema.

Fue un buen nexo con la charla anterior de Chema.

😮

Estas son mis impresiones sobre las charlas del seminario. En el día de hoy tuvimos tres excelentes talleres que cuento más resumidos ya que dos, fueron una continuación práctica de lo explicado en el seminario. Ezequiel y Claudio avanzaron en la idea de recolectar con herramientas libres, información personal o empresarial en Internet. En este caso el taller fue bien práctico y la gente pudo seguir los ejemplos en sus ordenadores y se avanzó mucho más desde el punto de vista técnico. Chema pudo hacer que unas 40 personas resuelvan un reto de hacking y encuentren una contraseña de acceso con métodos similares a los que había explicado en la charla el día anterior. Por último Gustavo Presman desarrolló un taller en donde explicó un “Análisis forense de un caso de Robo de Identidad”. Este taller me encantó y por el entusiasmo de los participantes y el orador se extendió más de la cuenta ya que es fascinante los avances en esta materia y cómo se puede extraer “información oculta” de un ordenador. La informática forense es un campo muy interesante y que está creciendo día a día. Destaco además, que Gustavo no solo mostró herramientas pagas (él utiliza y comercializa una) sino que también brindo algunas alternativas libres para quienes quieran investigar en el área.

😮

Quería dejar más allá de mi charla mis conclusiones como oyente del seminario. Fue un evento realmente importante para la comunidad de Seguridad del país y los resultados se seguirán viendo con el pasar del tiempo.

El robo de identidad y la pérdida de la privacidad aumentan día a día y la capacitación de los usuarios es indispensable.

Segu-Info, como comunidad, dio un gran paso y esperemos seguir viendo eventos como este en el país.

Post relacionados:
Éxitos en el seminario de Segu-Info
Prescencia en seminario de Segu-Info
4to Seminario y Taller de Segu-Info
Anuncios

2 comentarios para Resultados del 4º Seminario de Segu-Info

  1. 

    Lower Lakes is a highly customer focused holiday
    accommodation and is known for its warm hospitality and attention to each individual customer.
    Running roughly east-west across the moors are a number
    of ridges and knolls which were once the only land above water level
    when Somerset was literally “the land of summer”.
    Garden office manufacture is specialist industry, and
    whilst a couple of fly-by-nights could have some pretty photos there is little replacement to a history of manufacturing and installment.

Trackbacks y pingbacks:

  1. Entrevista: Gustavo Presman, informático forense « Mundo Binario - octubre 26, 2009

    […] } A Gustavo Presman lo conocí en el Seminario de Segu-Info del año pasado, donde dictó un interesantísimo taller. Allí, pudimos compartir algunos momentos […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s