Resumen del evento de seguridad #BarCamp_SE v2.0 en #Medellin


Hola a tod@s ,

Este es un resumen de las (des)conferencias (que me acuerdo) del evento de seguridad informática #BarCamp_SE v2.0,  celebrado el sábado 10 de Diciembre del presente año en la biblioteca EPM en Medellín; principalmente dirigido a todas aquellas personas que querían ir y por alguna razón no pudieron asistir.

Una vez llegue a la biblioteca, el maestro (de la U) Alexander Narváez realizo una des conferencia sobre Hacking Bancario, como la que realizo en el Campus Party (#CPCO4) de este año en Colombia y el cual pueden ver un resumen más detallado aquí.

Alex Narváez explicando recomendaciones en caso de un fraude virtual
Alex Narváez explicando recomendaciones en caso de un fraude virtual

Me sorprendió que aun la plataforma de la sucursal virtual personas de Bancolombia tenga la vulnerabilidad que este profesional (con ética) mostro y la cual revela información confidencial de los usuarios del banco, pues realizo la demostración y los que quisieron pudieron probarla en tiempo real.

Otra de las (des) conferencias que más me impacto, sobre todo porque la falla de seguridad demostrada aún no tiene mitigación o solución definitiva, esta estuvo a cargo de David Mora y en la cual demostró cómo es posible modificar el tiempo de ejecución del usuario para que se comporte como el atacante quiera, para esto mostro un ejemplo con un código de JAVA simple “Hello World” en el que se modificó el tiempo de ejecución para duplicar la salida de cualquier programa que se corriera en esta máquina (con Linux), pero que por medio de un malware se podría realizar para cualquier plataforma y cualquier otro lenguaje de programación (PHP, .NET, etc), pues lo evidenciado es más un error de diseño, que una vulnerabilidad que NO se puede resolver con una actualización.

 

David Mora
David explicando el Entorno en tiempo de ejecución

Otra de las des conferencias fue la de Ingeniería Social en el cual “sniffer”, presento su grupo de investigación en seguridad y mostro por medio de un ejemplo de ingeniería social en social media (en Facebook) como es posible sacar información confidencial a los usuarios, en este caso la contraseña del facebook; Me pareció muy “chistosa” la técnica que utilizo y muy claro para entender el poder de este ataque tan difícil de mitigar o detectar (no pasa por un IDS/IPS), por que como dice una frase “Because there is no patch for human stupidity”. Att: Social Engineering Specialist.

Para los que quieran profundizar más sobre este tema,  se recomienda leer libros de Kevin David Mitnick, como por ejemplo “El arte de la intrusión”. Lo pueden comprar en alguna librería, desde Amazon, o también se encuentra disponible en la red para descargarlo en PDF.

Sniffer explicando las cualidades para el éxito en la Ingeniería Social

Otra des conferencia fue sobre una investigación que está realizando Ana María Mesa de “Informatica Forense y su aplicación de los delitos informáticos consagrados en la ley 1273 del 2009”; recordemos esta ley es la referente a la “protección de la información y de los datos”.  

Hablo temas muy interesantes y debatibles tales como la ambigüedad de algunas palabras en esta ley para interpretarla por abogados e ingenieros, por otro lado hablo sobre el perfil y la importancia de investigadores forenses certificados en el país, entre otros.

El resultado de la investigación será un libro y otras recomendaciones para mejorar la aplicación de este tema en el país, este será publicado aproximadamente en el primer semestre del próximo año.

Finalmente, nos realizó una invitación a una conferencia sobre Informatica forense que se realizara en la universidad EAFIT en el primer trimestre del próximo año, en la cual estarán personajes muy importantes del tema, tales como el creador de la ley 1273, investigadores forenses certificados a nivel internacional, entre otros.

Ana María empezando su presentación de la investigación sobre Informatica Forense.

 

Otra des conferencia la realizo 4V4T4R y fue acerca de los responsables de la (in)seguridad, en el cual listo los principales actores más comunes, es decir los usuarios, webmasters, CIOs, CSOs, CEOs, Gobierno, entre otros y por medio de un mapa mental que fue completando con los aportes de todos, mostro la importancia de que todos somos responsables de la seguridad de la información.

4v4t4r mostrando algunas fallas de los CEOs en la seguridad de la información.

Finalmente, Juan Berrio explico sobre el Hacking como emprendimiento, en donde mostro la forma en que podemos aprovechar oportunidades para generar ingresos y como ha sido su experiencia en la creación y sostenimiento de su empresa DS TEAM, la cual le ayudo inicialmente para financiar sus estudios formales (préstamo del ICETEX, Maestría, entre otros) y como ahora a pesar de los errores cometidos, muestra el emprendimiento y el foco de su empresa para generar valor en este mercado tan competitivo.

Juan Berrio explicando sobre el Hacking como Emprendimiento

Conclusiones:

  • ·         La seguridad financiera empieza por nosotros mismos y también son responsables las entidades financieras al tratar de tener plataformas seguras para administrar nuestro dinero, esto con el fin de que haga la diferencia entre la seguridad del “colchon” de la casa y el banco.
  • ·         Hay errores de diseño como el presentado por David en el cual son difíciles de mitigar pero que no sobra decir que debemos tener un buen sistema de seguridad y mucha “malicia indígena” para evitar instalar malware en nuestros equipos o ser víctimas de redes botnets por ejemplo.
  • ·         La ingeniería social es una de las técnicas más usadas por los Hackers y la más difícil de contrarrestar, ya que ataca la capa 8 (usuario) y se requiere ser muy hábil para evitar que te saquen información confidencial.
  • ·         Falta mucho formalismo y normatividad para contrarrestar los delitos informáticos en nuestro país (Colombia), por ejemplo debería existir por lo menos un centro que certifique sobre esta disciplina y además nosotros mismo inventar nuestros propios protocolos, que sean públicos (como en USA) para generar más conocimiento y conciencia en este tema.
  • ·         Todos somos responsables de la seguridad de la información, sin importar el ROL que desempeñemos en la empresa o  en la cyber sociedad.
  • ·         El emprendimiento es una forma de sacarle provecho a nuestros conocimientos para generar valor y resolver necesidades de las empresas de nuestro país, como por ejemplo las PyMES y las empresas del estado que tanto lo necesitan porque muchas no le dan trascendencia.

Solo falta agradecer a los organizadores del evento y motivar a más personas para que el próximo año no se pierdan este encuentro y compartamos conocimiento/experiencias entorno a la seguridad de la información!

 Si quieren ver más fotos o información del evento pueden acceder aquí o al sitio Web oficial: http://barcampse.org/.

Salu2.

By @JOGAcrack.

Anuncios