La organización
OWASP (Open Web Application Security Project) está presentando durante el año 2013 una serie de conferencias a lo largo de toda Europa, siendo Barcelona una de las ciudades elegidas. La conferencia OWASP EU Tour 2013 Barcelona se celebró en el mes de junio y reunió a cerca de 130 asistentes presentándose un total de cinco exposiciones de diferente temática. El evento comenzó con una bienvenida por parte de
Josep María Ribes (
Director de Ingeniería del campus de La Salle en Barcelona) y con una introducción por parte de
Vicente Aguilera Díaz (
líder de OWASP Spain Chapter).
La primera ponencia vino a cargo de
Selva María Orejón Lozano y expuso casos controvertidos en los que había participado a lo largo de su carrera profesional, comentando detalles de cómo se inició cada caso, los pasos intermedios, y hasta cómo se terminó solucionando. La temática se centró en las redes sociales y cómo éstas pueden llegar a afectar de forma negativa tanto a una empresa como a un individuo, así como qué herramientas existen para gestionar esa imagen dañada.
La siguiente conferencia trató sobre cómo
PCI DSS afecta a los desarrolladores de software y la impartió
Fabio Cerullo. El estándar PCI DSS se conoce como una norma a cumplir en la mayoría de los casos sobre un entorno ya existente en producción. Fabio Cerullo en su exposición orientó a los desarrolladores para que vieran qué puntos deben tener en cuenta al desarrollar código, de tal forma que no se encuentren incumplimientos en las aplicaciones a la hora de pasar este tipo de auditoría.
A la mitad de la conferencia apareció
Chema Alonso para hablar sobre por qué los malos siempre ganan. La presentación comenzó con casos reales de cibercrimen para demostrar su teoría, entre los que se encontraban tanto
Operación Aurora como
Flame entre otros. A continuación presentó una serie de posibles problemas que permiten dar lugar a estas situaciones, como, por ejemplo, que la configuración de seguridad está generalmente enfocada a usuarios con un elevado conocimiento técnico, que se realizan malas prácticas en el uso de los metadatos por parte de las empresas y, finalmente, la existencia y mal gestión de los
zero days entre otros. La exposición finalizó con dos ideas interesantes, por un lado el
pentesting by design en la que los sistemas se deben diseñar teniendo en cuenta una cierta carga que se va a destinar a soportar ataques y revisiones de seguridad legítimas, y por otro lado el
pentesting continuo en la que los sistemas se van auditar de forma continua, pasando una batería de pruebas en la que para cada iteración probablemente habrá cambios, ya sea por la adición de alguna prueba de seguridad nueva, o porque los sistemas habrán sufrido alguna modificación.
Por fin llegó el turno de la presentación de nuestro compañero
Albert López con el interesante tema de
Exploiting Linux Heap. A pesar de ser la presentación más técnica del día, se realizó de una manera compresible para todo el público asistente no dando por sentado cierto tipo de conocimientos. No sólo se presentó la teoría de
exploiting de glibc, sino que se explicó su evolución temporal (los descubrimientos, soluciones iniciales y contramedidas encontradas a dichas soluciones) y se demostraron las vulnerabilidades con dos ejemplos en tiempo real en la misma exposición.
Para finalizar,
Marc Rivero y
Dani Creus hablaron sobre la evolución del fraude en Internet. Se trataron temas diversos desde las brechas de seguridad que provocan el afán de conocimiento hasta los ataques a gran escala que roban datos de usuario de forma masiva. Explicaron el fraude de los
troyanos bancarios así como la historia del fraude en seguridad física de cajeros, incluyendo
skimmers, el
lazo libanés y el caso
Roman Vega entre otros contenidos. Ambos demostraron el buen trabajo de campo que habían realizado, profundizando sobre los foros en los que se acostumbran a vender este tipo de servicios ilícitos, así como un poco de historia sobre la compra venta de datos bancarios y varias anécdotas policiales. Una charla muy variada, para todos los públicos, expertos o no.
Material
Bienvenida
Introducción a la jornada
Seguridad en Redes Sociales
PCI DSS para desarrolladores
Why cyberspies always win
Low Level Miseries when Exploiting Linux Heap
Mesa redonda
Autor: Giovanni López - CEH
Departamento de Auditoría