Saturday, October 16, 2010

Resumen de 2 Conferencias en 24hs y un robo.



Entre el jueves 14  y el viernes 15 de Octubre concurri a dos eventos de seguridad, los mismos orientados a diferente tipo de publico.

Las conferencias de Owasp que organiza el grupo de trabajo de Argentina se realizaron en la universidad de la Marina Mercante, el perfil de las charlas fue orientado a concientizar a gerentes y desarrolladores a implementar ciclos de desarrollo seguro en las aplicaciones.

Lo primero a destacar es la organización, desde la inscripcion hasta el lugar todo muy bueno.

Los temas tocados no eran tecnicos, por lo tanto eran charlas que yo recomendaria escuchar a Directores y Gerentes de Sistemas, especialmente la de Hernan Racciatti y la de Patricio Worthalter.


La agenda fue la siguientes :


18:30h Registracion

18.45h Introducción a OWASP--Martin Tartarelli, Pablo Romanos

19.00h Desarrollo de aplicaciones Web: Consejos y experiencias de seguridad--Hernán Racciatti

19.45h ¿Vulnerados por infantes 2.0? --Nahuel Grisolía

20.30h Intervalo

20.45h Aplicaciones seguras con presupuestos (muy) limitados --Patricio Worthalter

21.15h TBA

21.30h TBA

22.00h Cierre del Evento

Yo permanecí hasta la charla de Patricio, luego lamentablemente me tuve que retirar.

La presentación de Hernan Racciatti giro en torno a la concientizacion de parte de los Gerentes, Lideres de proyecto y desarrolladores sobre la importancia de conocer metodologías de desarrollo seguro y analisis de riesgo, el impacto que tienen los bugs en las aplicaciones y la necesidad que cada día mas quienes trabajan en el desarrollo conozcan mas sobre seguridad.

Yo hable en varios post al respecto :


http://d3ny4ll.blogspot.com/search/label/desarrollo


http://d3ny4ll.blogspot.com/2010/03/herramientas-open-source-para.html

http://d3ny4ll.blogspot.com/2008/10/microsoft-security-risk-management.html



Luego Nahuel de Bonsai dio una charla entretenida sobre la disponibilidad de herramientas de hacking para que adolescentes con tiempo pueda destruir un site.

Dio una breve introducción sobre la metodología de Pentesting ( a la cual a mi entender le falta un paso ) y las herramientas para cada una de ellas.


Luego del receso Patricio Worthalter o Batto como lo conozco del sitio PC++ dio una interesante presentación sobre como utilizando el sentido común o el pensamiento lateral podemos ahorrar costos y aumentar la seguridad.

Fue muy interesante los casos que planteo, especialmente uno en el que contó una anécdota sobre como se mitigo un DOS que sufrió uno de sus clientes.

Resulta que el sitio en cuestión estaba sufriendo un ataque que estaba volteando el server con muchísimas peticiones del exterior. El cliente desesperado consulto a Batto sobre que hacer.

Luego de analizar como trabajaba la aplicación  y entendiendo que solo respondía a usuarios del pais, lo que se recomendó fue instalar un router con ACL's que solo permitan el acceso de usuarios del país.

Esto nos da como ejemplo que no siempre las soluciones mas caras, son las mas adecuadas, tal vez un analista de seguridad hubiese recomendado un IPS o UTM.


Al dia siguiente me dirigí temprano al edificio en las torres Catalinas donde OSDE tiene su salón de eventos, Alem 1067, organizado por USUARIA y auspiciado por la Jefatura de Ministros, prometía ser un evento interesante para aprender mas sobre el estado de las leyes en Argentina en relación al combate contra el Ciberdelito.

10 minutos después de sentarme, me di cuenta el ambiente que había. Para ponerlo gráficamente, si a Ekoparty concurre esta gente :


A la charla de USUARIA concurre este tipo de gente



Voy a comenzar con un par de comentarios sobre la organizacion, la cual fue siendo benevolo mala.

No habia control de quien ingresaba
Las charlas comenzaron tarde
No funcionaba la traduccion online
No funcionaban los microfonos
El aire acondicionado congelaba

A favor, en los breaks había buen catering.

Como les comentaba el evento se realizaba en base a la participacion de Argentina en la convención de Budapest sobre el ciberldelito, por lo tanto todas las charlas tenían exponentes del ámbito de la justicia.


En la apertura hablaron


Eduardo Thill, Subsecretario de Tecnologías de Gestión, Jefatura de Gabinete de Ministros
Cristina Schulman, Jefe de la Unidad de Ciberdelito de la División de Criminalidad Económica, Dirección General de Derechos Humanos del Consejo de Europa
Juan Martin Mena, Jefe de Gabinete de la cartera de Justicia.

La charla se baso en los pasos que dio Argentina para adherir a la convención y ahora para ser país miembro de la misma.



Luego de esta charla siguió otro panel llamado "Visión de la industria de TI internacional ante el Ciberdelito".

Formado por representantes de Microsoft, Google, Eset y Symantec ( falto la persona de Banelco..cri,cri,cri )

La abogada de Microsoft que dio la charla, no sabia cambiar de slides en PowerPoint y tuvo que esperar que otra persona lo haga por ella.
La charla se baso en las herramientas que aporta Microsoft para la lucha contra el delito informático y especialmente la pedofilia.

Microsoft tiene un portal dedicado a las fuerzas de seguridad : www.microsoftlawportal.com.

Algunas  herramientas que desarrollo Microsoft :


Computer Online Forensic Evidence Extractor (COFEE)

Child Exploitation Tracking System (CETS)
PhotoDNA ( Una aplicacion que apartir de una pequeña parte de la imagen verifican si es pornografia infantil o no )



Le siguió en turno al representante de Google, quien vino mas preparado para la charla, ya que su enfoque fue claro. Quieren que se definan leyes que le salven el culo a los ISP y empresas como Google ante demandas de usuarios.



Hablo también mucho del trabajo de Google contra el delito de pedofilia y las herramientas que entregan a las fuerzas de seguridad para su combate.

Dio unos datos sobre la cantidad de información que se mueve desde dispositivos móviles :

4.000 millones de suscriptores de celulares en el mundo

En 2009 la mitad de todas las conexiones a internet provenían de celulares.

Cada 60 dias se almacena en Youtube la misma cantidad de información que las principales cadenas de EEUU en los últimos 60 años.

Cada minuto se almacenan 23 hs de video.


Luego de Google vinieron las ponencias de Symantec y Eset, ambos representante no tenían nada para mostrar y el primero dio cifras y el segundo llevo una guitarra.


Después vino el break, donde me di cuenta que la mayoría de los presentes pertenecían a organismos estatales.

Fue muy triste ver al representante de Aerolíneas Argentinas, con el nombre mal escrito en el sticker de identificación por no tener el juego de caracteres correcto.

Luego al lado de la mesa de los canapes estaban los representantes de la Policía Federal y la Policía Metropolitana, mostrando que no hay policía nueva la segunda es el reciclaje de la primera.


Si observamos bien, podemos ver que el oficial de la policia Metroplitana, lleva su microfono reglamentario para realizar escuchas.


Continuo el panel de Acciones Conjuntas en el Ámbito Latinoamericano, participaron representantes de :

Jaime Jara Retamal (Ciberdelito - Chile)
Carlos Gregorio Savaro (Policía Federal Argentina)
Eduardo Gabriel Lima Comas (Jefe de la Sección Delitos Informáticos de la Policía Nacional de Uruguay)
Santiago Paz (Agencia de Gobierno Electrónico y Sociedad de la Información de Uruguay - AGESIC)

Moderador: Norberto Frontini (Subsecretaría de Política Criminal, Ministerio de Justicia, Seguridad y DDHH)

La primero que me llamo la atención es que la policía no tiene idea como se hace una presentación en PowerPoint.




Note que algo no andaba bien ya que Cristina Schulman, Jefe de la Unidad de Ciberdelito de la División de Criminalidad Económica estaba visiblemente nerviosa.


Miraba su bolso y debajo de los asientos, esperando encontrar su notebook. Unos minutos después llegaron policías y comenzaron a tomarle declaración.



La charla de los policias continuaba, la mayoría de los casos eran referidos a pedofilia, incluido casos de curas pedofilos ( para variar ) y otros casos de amenazas de muerte a Bush. ( Buch como dicen en Chile )

El representante de Uruguay hablo del caso Tridente que involucraba el trafico de personas.




  • Todos los policías daban cuenta de lo difícil que es reclamar información a EEUU y que en los ultimos años la relación entre la policías del continente ayudo a resolver mayor cantidad de casos.

  • El problema principal que enfrentan es organizaciones extraterritoriales, en un ambiente virtual sin fronteras mientras que ellos utilizan las mismas metodologías que en la vida física.
  • Incluso reclaman el poder utilizar la figura de agente encubierto.



Llego el break del almuerzo y ya era vox populi que le habían robado la notebook a la representante europea, ya no paraba de reírme. Recordaba el caso de Coppola y que siempre roban notebooks en estos eventos.


Cuando volví al salón, estaba la policía federal y representantes de la jefatura de ministros haciendo los tramites. Ya se sabia que habían sido tres mujeres.





Mientras tanto la gente de USUARIA le regalaba un bolso de $2000 de valor, por el mal momento pasado.
( Cuanto valdrá la información que le robaron  ? )






Por ultimo llego el panel Criminalización del Ciberdelito y Prueba Digital

La Ley 26.338 y la Convención de Budapest.


Panelistas Invitados:
Ricardo Sáenz (Fiscal General)
Marcos Salt (Profesor de la FDer, UBA)
Daniel Petrone (Juez Nacional en lo Penal Económico)

Moderador: Norberto Frontini (Subsecretaría de Política Criminal, Ministerio de Justicia, Seguridad y DDHH)



Realmente el mas interesante de todos, aunque había gente que después de los sanguchitos y sin el aire acondicionado prendido, se dormía en forma descarada, corriendo el peligros de romperse el cuello.



La charla se baso en dos puntos, primero sobre el surgimiento de la ley 26.338 y luego sobre los pasos necesarios para reformar el código procesal.


Lo que me sorpendio es que segun Marcos Salt, la posecion de pornografia infantil no constituye un delito, ya que cae dentro del articulo 19 de la Constitucion , es decir de los actos privados de los hombres.

Solo es delito si se comercia con las imagenes.

Según los panelistas el espiritu de la ley original era declarar esto como delito, pero los diputados cambiaron el texto.

Los representantes de la justicia ven que si bien existe la ley, todavía no existe la gente capacitada para aplicarla, desde la policía que no sabe como actuar ante un evento donde hay evidencia digital, hasta los jueces que no tienen idea de lo que es una dirección IP.




En resumen me gusto, tengo una anécdota para contar de por vida.

5 comments:

nra said...

Uh que cagada que no fui, me hubiese reído mucho.

Anonymous said...

Noooo, el gran "d3ny4ll" que leo hace meses estuvo en el mismo salon que yo y no lo conoci!...

Fui a los 2, muy buenos eventos.

Luego del robo, "se olvidaron"(carnada) un estuche de un celular en un sector, en la foto del regalo de usuaria se puede ver.

Fue muy gracioso, que quieran luchar contra el ciberdelito cuando no pueden proteger lo que ya tenemos y robarse una laptop rodeados de policias y camaras.

Y con respecto a la ley de pedofilia, SI, ya desde el 2008 que la sancionaron que esta super mal, y menos mal que el fiscal lo explico, sino yo iba a reclamarselo para el final.

Saludos,
AnonimoK

Julio Jaime said...

Bueno ya vamos a organizar alguna reunión con la gente que viene por el blog.

Yo puedo sebar mate, los que saben hablan.

Tres momentos inolvidables :

El presentador diciendo que un hacker interfería a los micrófonos.

Cuando esta mujer empezó a buscar debajo de los asientos.

El tipo que se dormía con la boca abierta, y tirando la cabeza tan atrás que la mujer del asiento posterior lo veía a los ojos.

Este mismo señor estaba comentando en uno de los breaks que estábamos en un momento donde había mucha energía del sol y que después del 2012 todo tendía a la normalidad ( Y juro que no es joda )

Fuiste representando algún ente del estado ?

Anonymous said...

Si, fui representado por el estado del sueño. Me acoste tarde y llegamos para el segundo break con un amigo. (Justo para el catering, que mas puedo pedir)

Tambien fue gracioso saber que alguien estuvo sniffeando la red y le tiraron el sistema de acreditacion a Usuaria.

Vi el mismo cartelito del viejito de Aerolineas con el caracter roto con una Ŷ

Anecdota personal: delante mio habia una parejita con una laptop, estaba navegando y se le rompian los certificados ssl, al pasar unos 20 minutos mi amigo va a explicarle que estaban snifeando la red y por eso no se certificaba correctamente, el tipo le dice "ahh, mira vos, y pueden robarme lo que navego?" y a los pocos minutos tenia una shell y el wireshark abierto, fue muy loco.

Salutes,
AnonimoK

Julio Jaime said...

Habia tres o cuatro personas con notebooks, uno era el flaco del Arcert de Uruguay, otro era el tipo que vino de USA y un par mas.

Estarian usando Cain&Abel, Ethercap o alguna aplicacion por el estilo, porque eso de romperse el certificado es cuando hacen Man in the Midle.

Que experiencia, faltaba que se apaguen las luces y salir todos corriendo a los gritos, los hackers, los hackers nos invaden !!!