OWASP EU Tour 2013 Barcelona

La organización OWASP (Open Web Application Security Project) está presentando durante el año 2013 una serie de conferencias a lo largo de toda Europa, siendo Barcelona una de las ciudades elegidas. La conferencia OWASP EU Tour 2013 Barcelona se celebró en el mes de junio y reunió a cerca de 130 asistentes presentándose un total de cinco exposiciones de diferente temática. El evento comenzó con una bienvenida por parte de Josep María Ribes (Director de Ingeniería del campus de La Salle en Barcelona) y con una introducción por parte de Vicente Aguilera Díaz (líder de OWASP Spain Chapter).

La primera ponencia vino a cargo de Selva María Orejón Lozano y expuso casos controvertidos en los que había participado a lo largo de su carrera profesional, comentando detalles de cómo se inició cada caso, los pasos intermedios, y hasta cómo se terminó solucionando. La temática se centró en las redes sociales y cómo éstas pueden llegar a afectar de forma negativa tanto a una empresa como a un individuo, así como qué herramientas existen para gestionar esa imagen dañada.

La siguiente conferencia trató sobre cómo PCI DSS afecta a los desarrolladores de software y la impartió Fabio Cerullo. El estándar PCI DSS se conoce como una norma a cumplir en la mayoría de los casos sobre un entorno ya existente en producción. Fabio Cerullo en su exposición orientó a los desarrolladores para que vieran qué puntos deben tener en cuenta al desarrollar código, de tal forma que no se encuentren incumplimientos en las aplicaciones a la hora de pasar este tipo de auditoría.
A la mitad de la conferencia apareció Chema Alonso para hablar sobre por qué los malos siempre ganan. La presentación comenzó con casos reales de cibercrimen para demostrar su teoría, entre los que se encontraban tanto Operación Aurora como Flame entre otros. A continuación presentó una serie de posibles problemas que permiten dar lugar a estas situaciones, como, por ejemplo, que la configuración de seguridad está generalmente enfocada a usuarios con un elevado conocimiento técnico, que se realizan malas prácticas en el uso de los metadatos por parte de las empresas y, finalmente, la existencia y mal gestión de los zero days entre otros. La exposición finalizó con dos ideas interesantes, por un lado el pentesting by design en la que los sistemas se deben diseñar teniendo en cuenta una cierta carga que se va a destinar a soportar ataques y revisiones de seguridad legítimas, y por otro lado el pentesting continuo en la que los sistemas se van auditar de forma continua, pasando una batería de pruebas en la que para cada iteración probablemente habrá cambios, ya sea por la adición de alguna prueba de seguridad nueva, o porque los sistemas habrán sufrido alguna modificación.

Por fin llegó el turno de la presentación de nuestro compañero Albert López con el interesante tema de Exploiting Linux Heap. A pesar de ser la presentación más técnica del día, se realizó de una manera compresible para todo el público asistente no dando por sentado cierto tipo de conocimientos. No sólo se presentó la teoría de exploiting de glibc, sino que se explicó su evolución temporal (los descubrimientos, soluciones iniciales y contramedidas encontradas a dichas soluciones) y se demostraron las vulnerabilidades con dos ejemplos en tiempo real en la misma exposición.
Para finalizar, Marc Rivero y Dani Creus hablaron sobre la evolución del fraude en Internet. Se trataron temas diversos desde las brechas de seguridad que provocan el afán de conocimiento hasta los ataques a gran escala que roban datos de usuario de forma masiva. Explicaron el fraude de los troyanos bancarios así como la historia del fraude en seguridad física de cajeros, incluyendo skimmers, el lazo libanés y el caso Roman Vega entre otros contenidos. Ambos demostraron el buen trabajo de campo que habían realizado, profundizando sobre los foros en los que se acostumbran a vender este tipo de servicios ilícitos, así como un poco de historia sobre la compra venta de datos bancarios y varias anécdotas policiales. Una charla muy variada, para todos los públicos, expertos o no.


Material

Bienvenida
Introducción a la jornada
Seguridad en Redes Sociales
PCI DSS para desarrolladores
Why cyberspies always win
Low Level Miseries when Exploiting Linux Heap
Mesa redonda 


Autor: Giovanni López - CEH
Departamento de Auditoría