Conclusiones del Seminario de Segu-Info
Por Sebastian Bortnik
Hoy, de vuelta en casa y habiendo acudido a la segunda jornada del
evento organizado por Segu-Info en Santa Fe, quiero contarles cuáles
fueron las experiencias que viví, no solo como expositor, sino más bien
como oyente del seminario y los talleres.
A mi criterio el seminario fue un éxito y la gente se fue contenta.
Armar un evento en el interior con semejante cantidad de gente (más de
250 personas) no es tarea fácil y llevar la temática de la seguridad y
el robo de identidad al interior del país, es algo que ninguna empresa
“se anima” a hacer porque muchas veces “no es lo más rentable” o “lo más
comercial”. Y que Segu-info, “una comunidad” como la define su propio
director, se anime a hacerlo es una alegría y además un orgullo de
pertenecer a esa comunidad.
La gente se va contenta del evento porque, como dijo Cristian en la
apertura, es un evento que “no le va a vender nada a nadie” y maneja
filosofías e ideas similares a la comunidad del software libre:
compartir el conocimiento. Cada charla está apuntada solo a eso y sin
ningún fin comercial. Comentaba Cristian en la apertura que se hace
complicado conseguir sponsors porque cuando una empresa pregunta “qué
recibirá a cambio de apoyo” la respuesta es “nada” (esto es casi
literal). Es decir, las empresas que apoyaron tuvieron su logo en la
prensa, su stand y su folletería… y nada más. En ningún momento los
auspiciantes pudieron interferir con el principal eje del evento que es
compartir y capacitar, sino que su rol es el de acompañar. Por lo que me
parece más valioso aún aquellos sponsors que estuvieron presentes en el
evento.
Una cosa más que me interesa destacar es que el evento empezó demorado
por contratiempos realmente inesperados y, la calidad del evento, se vio
reflejada en que muy a pesar de que cuando empezó el evento los
asistentes estaban un poco “enojados” por la demora, fue increíblemente
rápido como un ámbiente de enojo se convirtió en ver a la gente contenta
y compenetrada en las charlas, y eso fue solo por la calidad del evento,
las charlas y la organización (más allá del contratiempo).
A continuación, me interesa contar como oyente, una oración sobre de qué
fue la charla y otras sobre las conclusiones que saqué de ellas.
* Presentación del Seminario por Cristian Borghello
Como Cristian nos tiene acostumbrados, arrancó con algo original
haciendo un muy buen quiebre brindando mucha información personal de él,
aparentando ser extremadamente egocentrico y luego preguntandose: “¿no
estaré contando demasiado de mí?”. Luego, una breve presentación de
Segu-Info.
* Web 2.0 Information Disclosure, “Webear puede costar caro”
Ezequiel Sallis & Claudio Caracciolo
La charla se centró, en resúmen, en mostrar cuán fácil es encontrar
información de una persona, simplemente utilizando herramientas libres
(y principalmente Google) y visualizando los rastros que dejamos cuando
navegamos por Internet.
Dieron una exelente explicación sobre cómo Google cachea en sus
servidores los contenidos de la web y ejemplos concretos con screenshots
realmente increíbles con información personal de usuarios comunes.
Mi conclusión, la misma que la que ellos presentaron a través de una
campaña cuyo slogan fue: “Think before you post” (Pensá antes de
postear). Todo lo que subimos a Internet, allí queda, aunque nosotros
creamos que lo borramos y por eso es importante pensar antes de subir
algo o, como lo llamé yo en mi charla, “hacer un uso responsable de las
nuevas tecnologías”.
* Privacidad y Nuevas Tecnologías pos Sebastián Bortnik
No voy a habla de mi propia charla en este post pero fue piola que venga
después de la de Ezequiel y Claudio ya que los temas estaban
relacionados y se pudo dar una idea común, por suerte, al público, bajo
la línea que ya mencioné.
La charla anterior pudo mostrar técnicamente ejemplos más concretos y yo
intenté ponerle un poco de humor y un cierre teórico aprovechando muchas
de las cosas que en la charla anterior ya habían sido explicadas por
profesionales en el área.
* Los Cazadores de Mitos de la Seguridad por Federico Pacheco
A pesar de que me perdí un fragmento de esta charla (para tomar un
refresco luego de hablar), Federico se centró en desmitificar algunos
mitos que dan vueltas respecto a la seguridad informática. Una charla
interesante que simplemente presentaba un mito y luego ponía la firma:
“Falso” o “Verdadero”. El verdadero es porque también presentó ciertos
“mitos” que la gente cree falsos y en realidad no lo son. Realmente una
muy buena charla y explicada con mucho humor.
Está bueno ver cómo muchas veces es importante pensar y repensar cada
cosa que escuchamos en los medios o de boca en boca y validar los
contenidos es importante.
En este caso puntual, estará piola aprovechar las diapositivas que
Segu-Info publicará en breve para ver todos los mitos que se nombraron
en la charla.
* Identidad en los Bancos por Nicolas Mautner
Nicolás centró su charla en las diferentes formas que existen (o
existirán) para identificar a los clientes y las diferencias entre ellas
respecto a la seguridad y cómo validar de forma más correcta la
identidad de las personas en aplicaciones web.
A pesar de tomar como eje los bancos, la charla tiene un alcance mayor y
sus contenidos también.
Como conclusiones me gustaron dos cosas. Por un lado las posibilidades
técnicas de generar nuevos métodos de identificación y autenticación y
la necesidad de pensar que no siempre los métodos más tecnológicos son
los mejores. Por otro lado, algo que explicó Nicolás al comenzar que es
que con los usuarios internos, uno puede exigirle un montón de cosas
para la seguridad y autenticación pero que tomar medidas de seguridad
con los clientes es mucho más jodido porque si se sienten incómodos, se
pasan a la competencia que, esto en mis palabras no las del orador, “no
les hinchan tanto las pelotas”.
* El Robo de Identidad legalmente por Facundo Malaureille Peltzer
Esta charla fue el aporte legislativo al seminario y es de suma
importancia incluír este eje en la temática.
Facundo se centró, en el poco tiempo que da una charla, en brindar a los
asistentes en su mayoría técnicos la visión de un abogado sobre el robo
de identidad, y contar un poco sobre la legislación vigente.
Me pareció muy interesante cómo él siente que muchas veces los
tecnológicos nos cuesta laburar mano a mano con los abogados para
trabajar en el tema y, evidentemente, habrá que mejorara en este punto
porque la legislación sigue siendo pobre y especialmente en Argentina.
* Blind SQL Injection basado en tiempos, mediante el uso de
Consultas Pesadas por Chema Alonso
Chema fue la estrella del seminario y eso que me esforcé por hacer una
buena charla. ;-) Más allá del nivel profesional y excelencia del resto
de los oradores argentinos, el hecho de contar con alguien que viene de
afuera y con los conocimientos de Chema Alonso, fue fantástico para el
seminario. El loco es un fenómeno y se nota que sabe mucho y además
tiene mucha experiencia dando charlas.
Cristian remarcó antes de empezar el seminario, que en Europa Chema dió
charlas en eventos cuyo costo supera los mil dólares, y nosotros tuvimos
la suerte de verlo (por duplicado porque hizo un taller al otro día) por
los increíbles y accesibles costos del seminario de Segu.
La charla quedó corta para el tema en cuestión y lamentablemente se iba
haciendo tarde y el tema es muy interesante.
Básicamente Chema contó un método para inyectar código en sitios web y
extraer información de ellos. Mi fuerte no es la parte técnica y menos
explicar qué es un Blind SQL Injection basado en tiempos pero lo más
rescatable más allá del método, es lo que el orador mencionaba como
conclusión: lo simple que es evitar estos ataques solo “programando
bien” y evidentemente la mayoría de los sitios no están protegidos
contra este método.
* HTML Scripting Attack por Hernán Racciatti
La charla de Hernán cerró el seminario y, para la mala suerte del
orador, se iba haciendo tarde.
Hernán presentó un método de ataque a sitios web que consisten en
insertar código script html, cuando los sitios no validan las entradas
de los usuarios. Es un método muy simple de utilizar y, como dije en el
comentario anterior, la gran mayoría de los sitios no están protegidos
por las malas practicas de programación que se están dando en el mercado.
Hernán mostró a través de una aplicación práctica que él desarrolló
ejemplos concretos sobre la extrema simplicidad del ataque y los costos
de sufrirlo pueden ser altos y puede hacerse de forma muy simple robo de
información o ataques al sistema.
Fue un buen nexo con la charla anterior de Chema.
:o
Estas son mis impresiones sobre las charlas del seminario. En el día de
hoy tuvimos tres excelentes talleres que cuento más resumidos ya que
dos, fueron una continuación práctica de lo explicado en el seminario.
Ezequiel y Claudio avanzaron en la idea de recolectar con herramientas
libres, información personal o empresarial en Internet. En este caso el
taller fue bien práctico y la gente pudo seguir los ejemplos en sus
ordenadores y se avanzó mucho más desde el punto de vista técnico. Chema
pudo hacer que unas 40 personas resuelvan un reto de hacking y
encuentren una contraseña de acceso con métodos similares a los que
había explicado en la charla el día anterior. Por último Gustavo Presman
desarrolló un taller en donde explicó un “Análisis forense de un caso de
Robo de Identidad”. Este taller me encantó y por el entusiasmo de los
participantes y el orador se extendió más de la cuenta ya que es
fascinante los avances en esta materia y cómo se puede extraer
“información oculta” de un ordenador. La informática forense es un campo
muy interesante y que está creciendo día a día. Destaco además, que
Gustavo no solo mostró herramientas pagas (él utiliza y comercializa
una) sino que también brindo algunas alternativas libres para quienes
quieran investigar en el área.
Quería dejar más allá de mi charla mis conclusiones como oyente del
seminario. Fue un evento realmente importante para la comunidad de
Seguridad del país y los resultados se seguirán viendo con el pasar del
tiempo.
El robo de identidad y la pérdida de la privacidad aumentan día a día y
la capacitación de los usuarios es indispensable.
Segu-Info, como comunidad, dio un gran paso y esperemos seguir viendo
eventos como este en el país.
,,,,,,,,,,,,,,,,,
Hasta aquí fueron las impresiones tal y como las escribí en mi blog
personal. Pero en el mail al foro quería agregar algo porque tuve la
suerte de poder exponer mi paper en el seminario.
Hace dos años escuché de casualidad las palabras "Seguridad Informática"
y escuché que estaba creciendo un nuevo campo de accion y nuevas
necesidades en el ámbito de la informática.
Obviamente que buscando en Internet me topé con Segu-Info y me inscribí
a un foro. Nunca había estado inscripto antes a un foro y empecé a
comprener cómo funciona una comunidad. Empecé a aprender con cada mail
que leía y con el increíble nivel humano y profesional que conforma este
foro.
Hoy, un año y medio después aproximadamente, pude dar mi charla y fue en
gran parte gracias al increíble aporte que ha hecho el foro en mi vida.
Leo practicamente todos los correos y quería decir a quienes recién
llegan al foro que le sigan sacando el jugo como lo hice yo porque es
realmente muy bueno lo que aquí se genera.
Esperemos que esta comunidad siga creciendo día a día y saludos para
todos y especiales felicitaciones de mi parte a todos los organizadores
en particular y a Cristian y su mujer por el esfuerzo dedicado en el evento.
Espero las opiniones de otros asistentes...
Sebastian
Hoy, de vuelta en casa y habiendo acudido a la segunda jornada del
evento organizado por Segu-Info en Santa Fe, quiero contarles cuáles
fueron las experiencias que viví, no solo como expositor, sino más bien
como oyente del seminario y los talleres.
A mi criterio el seminario fue un éxito y la gente se fue contenta.
Armar un evento en el interior con semejante cantidad de gente (más de
250 personas) no es tarea fácil y llevar la temática de la seguridad y
el robo de identidad al interior del país, es algo que ninguna empresa
“se anima” a hacer porque muchas veces “no es lo más rentable” o “lo más
comercial”. Y que Segu-info, “una comunidad” como la define su propio
director, se anime a hacerlo es una alegría y además un orgullo de
pertenecer a esa comunidad.
La gente se va contenta del evento porque, como dijo Cristian en la
apertura, es un evento que “no le va a vender nada a nadie” y maneja
filosofías e ideas similares a la comunidad del software libre:
compartir el conocimiento. Cada charla está apuntada solo a eso y sin
ningún fin comercial. Comentaba Cristian en la apertura que se hace
complicado conseguir sponsors porque cuando una empresa pregunta “qué
recibirá a cambio de apoyo” la respuesta es “nada” (esto es casi
literal). Es decir, las empresas que apoyaron tuvieron su logo en la
prensa, su stand y su folletería… y nada más. En ningún momento los
auspiciantes pudieron interferir con el principal eje del evento que es
compartir y capacitar, sino que su rol es el de acompañar. Por lo que me
parece más valioso aún aquellos sponsors que estuvieron presentes en el
evento.
Una cosa más que me interesa destacar es que el evento empezó demorado
por contratiempos realmente inesperados y, la calidad del evento, se vio
reflejada en que muy a pesar de que cuando empezó el evento los
asistentes estaban un poco “enojados” por la demora, fue increíblemente
rápido como un ámbiente de enojo se convirtió en ver a la gente contenta
y compenetrada en las charlas, y eso fue solo por la calidad del evento,
las charlas y la organización (más allá del contratiempo).
A continuación, me interesa contar como oyente, una oración sobre de qué
fue la charla y otras sobre las conclusiones que saqué de ellas.
* Presentación del Seminario por Cristian Borghello
Como Cristian nos tiene acostumbrados, arrancó con algo original
haciendo un muy buen quiebre brindando mucha información personal de él,
aparentando ser extremadamente egocentrico y luego preguntandose: “¿no
estaré contando demasiado de mí?”. Luego, una breve presentación de
Segu-Info.
* Web 2.0 Information Disclosure, “Webear puede costar caro”
Ezequiel Sallis & Claudio Caracciolo
La charla se centró, en resúmen, en mostrar cuán fácil es encontrar
información de una persona, simplemente utilizando herramientas libres
(y principalmente Google) y visualizando los rastros que dejamos cuando
navegamos por Internet.
Dieron una exelente explicación sobre cómo Google cachea en sus
servidores los contenidos de la web y ejemplos concretos con screenshots
realmente increíbles con información personal de usuarios comunes.
Mi conclusión, la misma que la que ellos presentaron a través de una
campaña cuyo slogan fue: “Think before you post” (Pensá antes de
postear). Todo lo que subimos a Internet, allí queda, aunque nosotros
creamos que lo borramos y por eso es importante pensar antes de subir
algo o, como lo llamé yo en mi charla, “hacer un uso responsable de las
nuevas tecnologías”.
* Privacidad y Nuevas Tecnologías pos Sebastián Bortnik
No voy a habla de mi propia charla en este post pero fue piola que venga
después de la de Ezequiel y Claudio ya que los temas estaban
relacionados y se pudo dar una idea común, por suerte, al público, bajo
la línea que ya mencioné.
La charla anterior pudo mostrar técnicamente ejemplos más concretos y yo
intenté ponerle un poco de humor y un cierre teórico aprovechando muchas
de las cosas que en la charla anterior ya habían sido explicadas por
profesionales en el área.
* Los Cazadores de Mitos de la Seguridad por Federico Pacheco
A pesar de que me perdí un fragmento de esta charla (para tomar un
refresco luego de hablar), Federico se centró en desmitificar algunos
mitos que dan vueltas respecto a la seguridad informática. Una charla
interesante que simplemente presentaba un mito y luego ponía la firma:
“Falso” o “Verdadero”. El verdadero es porque también presentó ciertos
“mitos” que la gente cree falsos y en realidad no lo son. Realmente una
muy buena charla y explicada con mucho humor.
Está bueno ver cómo muchas veces es importante pensar y repensar cada
cosa que escuchamos en los medios o de boca en boca y validar los
contenidos es importante.
En este caso puntual, estará piola aprovechar las diapositivas que
Segu-Info publicará en breve para ver todos los mitos que se nombraron
en la charla.
* Identidad en los Bancos por Nicolas Mautner
Nicolás centró su charla en las diferentes formas que existen (o
existirán) para identificar a los clientes y las diferencias entre ellas
respecto a la seguridad y cómo validar de forma más correcta la
identidad de las personas en aplicaciones web.
A pesar de tomar como eje los bancos, la charla tiene un alcance mayor y
sus contenidos también.
Como conclusiones me gustaron dos cosas. Por un lado las posibilidades
técnicas de generar nuevos métodos de identificación y autenticación y
la necesidad de pensar que no siempre los métodos más tecnológicos son
los mejores. Por otro lado, algo que explicó Nicolás al comenzar que es
que con los usuarios internos, uno puede exigirle un montón de cosas
para la seguridad y autenticación pero que tomar medidas de seguridad
con los clientes es mucho más jodido porque si se sienten incómodos, se
pasan a la competencia que, esto en mis palabras no las del orador, “no
les hinchan tanto las pelotas”.
* El Robo de Identidad legalmente por Facundo Malaureille Peltzer
Esta charla fue el aporte legislativo al seminario y es de suma
importancia incluír este eje en la temática.
Facundo se centró, en el poco tiempo que da una charla, en brindar a los
asistentes en su mayoría técnicos la visión de un abogado sobre el robo
de identidad, y contar un poco sobre la legislación vigente.
Me pareció muy interesante cómo él siente que muchas veces los
tecnológicos nos cuesta laburar mano a mano con los abogados para
trabajar en el tema y, evidentemente, habrá que mejorara en este punto
porque la legislación sigue siendo pobre y especialmente en Argentina.
* Blind SQL Injection basado en tiempos, mediante el uso de
Consultas Pesadas por Chema Alonso
Chema fue la estrella del seminario y eso que me esforcé por hacer una
buena charla. ;-) Más allá del nivel profesional y excelencia del resto
de los oradores argentinos, el hecho de contar con alguien que viene de
afuera y con los conocimientos de Chema Alonso, fue fantástico para el
seminario. El loco es un fenómeno y se nota que sabe mucho y además
tiene mucha experiencia dando charlas.
Cristian remarcó antes de empezar el seminario, que en Europa Chema dió
charlas en eventos cuyo costo supera los mil dólares, y nosotros tuvimos
la suerte de verlo (por duplicado porque hizo un taller al otro día) por
los increíbles y accesibles costos del seminario de Segu.
La charla quedó corta para el tema en cuestión y lamentablemente se iba
haciendo tarde y el tema es muy interesante.
Básicamente Chema contó un método para inyectar código en sitios web y
extraer información de ellos. Mi fuerte no es la parte técnica y menos
explicar qué es un Blind SQL Injection basado en tiempos pero lo más
rescatable más allá del método, es lo que el orador mencionaba como
conclusión: lo simple que es evitar estos ataques solo “programando
bien” y evidentemente la mayoría de los sitios no están protegidos
contra este método.
* HTML Scripting Attack por Hernán Racciatti
La charla de Hernán cerró el seminario y, para la mala suerte del
orador, se iba haciendo tarde.
Hernán presentó un método de ataque a sitios web que consisten en
insertar código script html, cuando los sitios no validan las entradas
de los usuarios. Es un método muy simple de utilizar y, como dije en el
comentario anterior, la gran mayoría de los sitios no están protegidos
por las malas practicas de programación que se están dando en el mercado.
Hernán mostró a través de una aplicación práctica que él desarrolló
ejemplos concretos sobre la extrema simplicidad del ataque y los costos
de sufrirlo pueden ser altos y puede hacerse de forma muy simple robo de
información o ataques al sistema.
Fue un buen nexo con la charla anterior de Chema.
:o
Estas son mis impresiones sobre las charlas del seminario. En el día de
hoy tuvimos tres excelentes talleres que cuento más resumidos ya que
dos, fueron una continuación práctica de lo explicado en el seminario.
Ezequiel y Claudio avanzaron en la idea de recolectar con herramientas
libres, información personal o empresarial en Internet. En este caso el
taller fue bien práctico y la gente pudo seguir los ejemplos en sus
ordenadores y se avanzó mucho más desde el punto de vista técnico. Chema
pudo hacer que unas 40 personas resuelvan un reto de hacking y
encuentren una contraseña de acceso con métodos similares a los que
había explicado en la charla el día anterior. Por último Gustavo Presman
desarrolló un taller en donde explicó un “Análisis forense de un caso de
Robo de Identidad”. Este taller me encantó y por el entusiasmo de los
participantes y el orador se extendió más de la cuenta ya que es
fascinante los avances en esta materia y cómo se puede extraer
“información oculta” de un ordenador. La informática forense es un campo
muy interesante y que está creciendo día a día. Destaco además, que
Gustavo no solo mostró herramientas pagas (él utiliza y comercializa
una) sino que también brindo algunas alternativas libres para quienes
quieran investigar en el área.
Quería dejar más allá de mi charla mis conclusiones como oyente del
seminario. Fue un evento realmente importante para la comunidad de
Seguridad del país y los resultados se seguirán viendo con el pasar del
tiempo.
El robo de identidad y la pérdida de la privacidad aumentan día a día y
la capacitación de los usuarios es indispensable.
Segu-Info, como comunidad, dio un gran paso y esperemos seguir viendo
eventos como este en el país.
,,,,,,,,,,,,,,,,,
Hasta aquí fueron las impresiones tal y como las escribí en mi blog
personal. Pero en el mail al foro quería agregar algo porque tuve la
suerte de poder exponer mi paper en el seminario.
Hace dos años escuché de casualidad las palabras "Seguridad Informática"
y escuché que estaba creciendo un nuevo campo de accion y nuevas
necesidades en el ámbito de la informática.
Obviamente que buscando en Internet me topé con Segu-Info y me inscribí
a un foro. Nunca había estado inscripto antes a un foro y empecé a
comprener cómo funciona una comunidad. Empecé a aprender con cada mail
que leía y con el increíble nivel humano y profesional que conforma este
foro.
Hoy, un año y medio después aproximadamente, pude dar mi charla y fue en
gran parte gracias al increíble aporte que ha hecho el foro en mi vida.
Leo practicamente todos los correos y quería decir a quienes recién
llegan al foro que le sigan sacando el jugo como lo hice yo porque es
realmente muy bueno lo que aquí se genera.
Esperemos que esta comunidad siga creciendo día a día y saludos para
todos y especiales felicitaciones de mi parte a todos los organizadores
en particular y a Cristian y su mujer por el esfuerzo dedicado en el evento.
Espero las opiniones de otros asistentes...
Sebastian
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!