BAQUIA

Mundo Hacker Day 2015: Working for a safer world

MundoHacerDay-1.jpg

La semana pasada se celebró en Madrid la segunda edición de Mundo Hacker Day con el apoyo institucional de INCIBE. Durante los dias 28 y 29 de abril Antonio Ramos y Mónica del Valle lideraron su equipo de expertos informáticos en el evento Mundo Hacker Day.

A lo largo de las dos jornadas especialistas españoles e internacionales debatieron sobre el estado actual de la seguridad en España, y propusieron soluciones para mitigar las principales amenazas a la que se enfrenta la industria y la sociedad.

En este sentido las palabras de Antonio Ramos son muy claras:

Aún seguimos viendo cómo existen muchas empresas que no invierten lo necesario en seguridad, porque sólo contemplan esta partida como un gasto. Sin embargo, las pérdidas, no sólo económicas, sino de activos o incluso de prestigio, que una brecha de seguridad ocasiona a una organización pueden acabar con ella. El objetivo que pretendemos en Mundo Hacker Day 2015 es concienciar de la necesidad de contemplar la seguridad como algo esencial dentro de la empresa”.

Durante el evento pudimos asistir a más de 20 ponencias (en dos salas paralelas), a 5 mesas redondas, y a diferentes demos técnicas de gran interés. Todo ello a cargo de reconocidos expertos en la materia.

Los asistentes al congreso también aprovecharon para hacer networking y para conocer de primera mano la soluciones más novedosas de algunos fabricantes de seguridad informática que habían acudido también. La lista de fabricantes es bastante larga, pero por resumirla podríamos decir que había representantes de la seguridad de red como F5,Palo Alto, Check Point, Fire Eye, Arbor, Aruba, Infoblox, y Alien Vault; soluciones para proteger el puesto de trabajo como G Data, TrendMicro, Sophos, Panda, y Eset; y también asistieron organizaciones como OWASP Madrid y X1RedMasSegura. A destacar, el detalle de CheckPoint, que patrocinó el desayuno, y la comida de los asistentes.

A continuación resumo brevemente algunas de las ponecias a las que pude asistir en directo el dia 28 y por streaming el dia 29.

 

Publica, publica … que yo cosecho. Owasp Madrid

b2ap3_thumbnail_OwaspMadrid.jpg

El capítulo de Owasp Madrid asistió con tres de sus miembros: Daniel García, Fran Gómez, y Rafael Sánchez. Owasp Madrid ha sido creado este mismo año, y tiene como objetivo difundir el conocimiento de la seguridad informática mediante la celebración de reuniones y tallares en los que compartir información.

La charla se basó en la descripción de un posible ataque a una compañía de refrescos conocida; en el cual se aprovechaba la sobreexposición de información en Internet que tiene hoy en día un ciudadano normal. La estrategia del ataque empieza por buscar en la red social Linkedin perfiles de gente que trabaje en la compañía objetivo. Una forma de conseguir más información es pedirle contacto a la persona; cosa que mucha gente acepta rápidamente. A continuación se buscan datos sobre el objetivo, como contactos, preferencias, sus cuentas de twitter, facebook; y si tiene blog también se puede obtener más información. En el ejemplo, se observa que la persona compra a menudo en una tienda online de accesorios de bicicletas hecha con wordpress. Herramienta que tiene bastantes vulnerabilidades conocidas y exploits públicos; lo cual podría ser aprovechado para comprometer el equipo y la red del objetivo.

Con este ejemplo se demuestra la veracidad de la siguiente frase tan usada últimamente entre los especialistas de la seguridad:Un sitio es tan robusto como su eslabón más débil

 

How to be a hacker and how to get a name in IT-Security – Marc ‘Van Hauser’

b2ap3_thumbnail_Marc-Van-Hauser.jpg

Marc, Fundador del grupo ‘The Hacker’s Choice’, y creador de herramientas como Hydra y SuseFirewall, explicó a los asistentes su visión de qué es un hacker. Marc, destacó la importancia de los hackers en la sociedad, puesto que ayudan a encontrar vulnerabilidades en el software; lo que permite mejorar la seguridad de las aplicaciones.

A la pregunta de cómo se debe preparar un hacker, Marc recomienda que no dejes de aprender y de investigar; y afirma que las famosas certificaciones son prueba de que dispones de unos conocimientos básicos, pero no de que poseas habilidades y experiencia en el tema.

En el turno de preguntas Marc respondió sobre su opinión a cerca del beneficio de los Firewall de aplicaciones web (WAF); de los que dijo que son una excelente herramienta; pero que necesitan de un técnico que los administrase, dando valor también con ello al elemento humano.

 

Cybersecurity at Microsoft – Héctor Sánchez Montenegro,

Héctor Sánchez habló de las razones de por qué se habla tanto hoy en dia de la seguridad informática. Destacó el aumento de los vectores de ataque, remarcó el crecimiento del número de empresas u organizaciones objetivo, habló de la sofisticación de los ataques, y subrayó que la tecnología no es invulnerable. Por todo ello las empresas deben tener el conocimiento de cómo responder ante un incidente de ciberseguridad

Como una de la empresas de software con más clientes en el mundo, Héctor cree que Microsoft puede aprovechar el conocimiento de sus incidentes para aportar soluciones de seguridad.

El representante de Microsoft habló de la nueva tecnología Lockbox; la cual permite otorgar autorizaciones de acceso limitadas a los técnicos de la compañía para acceder al contenido de los clientes durante la resolución de aquellos problemas que puedan tener. En principio esta funcionalidad se ofrece para los usuarios de Office 365; pero se pretende extender también a Exchange y SharePoint

 

Generando inteligencia OSINT con Whatsapp – Deepak Daswani

b2ap3_thumbnail_Deepak-Daswani.jpg

Deepak empezó explicando qué es OSINT y para qué se puede emplear. Para los que no hayáis oido hablar de ello, la definción que dió Deepak fue algo así como “Conocimiento recopilado a partir de fuentes públicas”. Es decir, se trata de crear inteligencia sobre información obtenida a partir de una gran variedad de orígenes como: prensa, radio, televisión, redes sociales, videos, wikis, blogs, fores, informes gubernamentales, etc.

Deepak, comentó que en principio este tipo de conocimiento se empezó usando en los departamentos de marketing para evaluar tendencias de mercado; pero que también se usa en el ámbito de la seguridad informática para la identificación y prevención de amenazas, y para la planificación de APTs (Ataques persistentes avanzados)

Para demostrar cómo obtener datos aprovechando una vulnerabilidad de whatasapp, Deepak expuso el ejemplo de una aplicación que había preparado él. De tal forma que consiguió filtrar en directo el tráfico de Internet de algunos móviles de la sala. A parte del filtrado de tráfico, dijo que la herramienta podía recolectar datos como fechas, localizaciones, fotos, contactos, etc … Y como funcionalidades futuras para su herramienta apuntó el análisis de las emociones basándose en la propiedad estado de Whatsapp.

 

Identificando individuos en un honeypot Wifi – Yago Hansen

b2ap3_thumbnail_Yago-Hansen.jpg

Yago Hansen quiso demostrar en su charla la debilidad de los puntos de acceso wifi mediante una herramienta creada por él para interceptar y analizar tráfico wifi.

Y es que no es que la red wifi sea de por si insegura, sino que las aplicaciones que usamos sobre todo desde los dispositivos móviles si lo son. Muchas aplicaciones como Gmail y Facebook son seguras ( usan protocolo https ), pero hay otras muchas como Instagram, y muchas extranets que transmiten su información sin cifrar. A esto se suma el hecho de que algunos smartphones se conectan por defecto, y sin conocimiento del usuario a wifis abiertas. Por tanto un atacante podría aprovechar estas debilidades para filtrar información del objetivo y aprovecharlo después en un ataque.

 

RSA Intelligence Driven Security Strategy – James Grehan

El portavoz de RSA expuso su punto de vista sobre la situación actual de la seguridad informática. Él ve el tema bastante negro porque piensa que estamos en una carrera sin fin en la que los fabricantes de seguridad facilitan la creación de murallas para proteger a sus clientes; las cuales son superadas por los atacantes tarde o temprano. Es más, aseguró que si un grupo cibercriminal pone el dinero suficiente sobre la mesa, se logra el objetivo del ataque con mucha probabilidad.<>

Grehan afirma que las soluciones actuales están basadas en las amenazas conocidas; por lo que propone innovar, es decir, crear nuevas herramientas de seguridad.

En este escenario pesimista, RSA recomienda la gestión de identidades. Con ella facilitan el trabajo de los usuarios puesto que les permiten usar la tecnología cómodamente sin demasiadas restricciones de funcionalidad; pero a la vez le aplican el criterio de los permisos mínimos para que realice sus tareas. Esto facilita también la localización del responsable de una brecha de seguridad. Además sugiere que se centren los esfuerzos en proteger no cualquier tipo de información, sino la verdaderamente importante para la empresa.

Y vosotros ¿ Creéis que vuestra empresa está tomando las medidas de seguridad informática adecuadas ? ¿Habéis sufrido alguna vez algún tipo de ataque informático ?

En el siguiente artículo comentaré lo que debatió en algunas de las mesas redondas celebradas durante el MundoHacker Day; y en las que reconocidos expertos en seguridad informática dieron su opinión sobre temas de gran actualidad.


Compartir en :


Noticias relacionadas




Comentarios