NP20 - Éxito del 4to Seminario y Taller de Segu-Info - 10/04/2008
1. Segu-Info, introducción al éxito
2. Conclusiones del 4to Seminario de Segu-Info (por Sebastian Bortnik)
3. Conclusiones del Taller de Segu-Info (por Sebastian Bortnik)
4. Conclusiones (por Sebastian Bortnik)
5. Conclusiones (por Cristian Borghello)
1. Segu-Info, introducción al éxito
Recién llegados de un viaje increíble a la Ciudad de Santa Fe, dejo
las impresiones de este 4to Seminario de Segu-Info - Protegiendo mi
Identidad, Si no soy yo, ¿sos vos?.
Los Seminarios de Segu-Info siempre se han caracterizado por su
metodología, forma de realización, humor y nivel académico alcanzado,
pero sin duda en este 4to Seminario hemos marcado un antes y un
después en el tratamiento de la Seguridad de la Información y, sobre
todo, en el temática expuesta de Robo de Identidad.
Pocas veces se puede estar feliz de tantas cosas:
- del respaldo invalorable de la Universidad Tecnológica Nacional
(UTN) y la calidez humana de todos
- del aguante sin dimensión de los organizadores, sponsors y
disertantes
- de la organización del primer evento de este tipo en Argentina,
(y quizás en Latinoamérica)
- de la organización del primer evento de este tipo... y realizado en
el interior del país
- de las 250 personas reunidas y hablando el mismo idioma: el de la
identidad y de su seguridad
- del éxito sin precedentes de este evento
- de la felicidad de todos los asistentes y de cada uno de nosotros
como involucrados
- de cada una de las palabras de aliento recibidas
- de las invitaciones recibidas para hacer "esto" en otros sitios
- de las notas de prensa dadas, porque quiere decir que allí hay
público a quien les interesa la Seguridad de la Información
- del retraso inesperado que nos puso nerviosos a todos, a los que
viajábamos y a los que esperaban
- de las charlas impresionantes y de los participantes haciendo eso:
participando
- de los participantes pidiendo más y... de los disertantes también
pidiendo más y queriendo continuar
- de la camadería de todos los asistentes y del grupo de la
organización
- de la interacción de distintas organizaciones que sólo pensábamos
en dejar lo mejor de nosotros
- de los nacionales y del extranjero capaces de brindar lo mejor de
sí mismo
- del indeseado incumplimiento del horario en donde los asistentes
parados deseaban quedarse y seguir aprendiendo
- de las empresas que no estaban porque no entienden el valor de la
colaboración y de la importancia del saber
- de las decenas de horas sin dormir para luego sentir la felicidad
del deber cumplido
Invitamos a todos los asistentes a dejar sus comentarios sobre este evento.
Para aquellos que lamentablemente no pudieron acercarse a Santa Fe,
el 4to Seminario de Segu-Info comenzó con una desgracia con suerte en donde los organizadores y disertantes llegamos una hora y media tarde a la ciudad, luego de once horas de viaje.
Los asistentes estaban nerviosos por el retraso y los inconvenientes
que se suscitaron al ingreso. Comenzado el Seminario el ambiente se
tranquilizó y todos pudimos disfrutar de excelentes disertaciones y
del éxito que 250 personas asistan hasta el final del evento.
Con respecto a cada charla en sí misma a continuación dejo un resumen
realizado por uno de los involucrados, Sebastian Bortnik.
2. Conclusiones del 4to Seminario de Segu-Info (por Sebastian Bortnik)
A mi criterio el Seminario fue un éxito y la gente se fue contenta.
Armar un evento en el interior con semejante cantidad de gente (más de
250 personas) no es tarea fácil y llevar la temática de la seguridad y
el robo de identidad al interior del país, es algo que ninguna empresa"se anima" a hacer porque muchas veces "no es lo más rentable" o "lo
más comercial". Y que Segu-info, "una comunidad”" como la define su
propio Director, se anime a hacerlo es una alegría y además un
orgullo de pertenecer a esa comunidad.
La gente se va contenta del evento porque, como dijo Cristian en la
apertura, es un evento que "no le va a vender nada a nadie" y maneja
filosofías e ideas similares a la comunidad del software libre:
compartir el conocimiento.
Cada charla está apuntada solo a eso y sin ningún fin comercial.
Comentaba Cristian en la apertura que se hace complicado conseguir
sponsors porque cuando una empresa pregunta "qué recibirá a cambio del
apoyo" la respuesta es "nada" (esto es casi literal). Es decir, las
empresas que apoyaron tuvieron su logo en la prensa, su stand y su
folletería... y nada más. En ningún momento los auspiciantes pudieron
interferir con el principal eje del evento que es compartir y
capacitar, sino que su rol es el de acompañar.
Por lo que me parece más valioso aún aquellos sponsors que estuvieron
presentes en el evento.
Una cosa más que me interesa destacar es que el evento empezó demorado
por contratiempos realmente inesperados y, la calidad del evento, se vio
reflejada en que muy a pesar de que cuando empezó el evento los
asistentes estaban un poco "enojados" por la demora, fue increíblemente
rápido como un ambiente de enojo se convirtió en ver a la gente contenta
y compenetrada en las charlas, y eso fue solo por la calidad del evento,
las charlas y la organización (más allá del contratiempo).
A continuación, me interesa contar como oyente, una oración sobre de qué
fue la charla y otras sobre las conclusiones que saqué de ellas.
- Presentación del Seminario por Cristian Borghello
Como Cristian nos tiene acostumbrados, arrancó con algo original
haciendo un muy buen quiebre brindando mucha información personal de
él, aparentando ser extremadamente egocéntrico y luego preguntándose: "¿no estaré contando demasiado de mí?". Luego, una breve presentación
de Segu-Info.
- Web 2.0 Information Disclosure, "Webear puede costar caro" por
Ezequiel Sallis & Claudio Caracciolo
La charla se centró en mostrar cuán fácil es encontrar información de
una persona, simplemente utilizando herramientas libres (y
principalmente Google) y visualizando los rastros que dejamos cuando
navegamos por Internet.
Dieron una excelente explicación sobre cómo Google cachea en sus
servidores los contenidos de la web y ejemplos concretos con capturas
realmente increíbles con información personal de usuarios comunes.
Mi conclusión, la misma que la que ellos presentaron a través de una
campaña cuyo slogan fue: "Think before you post" (Piensa antes de
postear). Todo lo que subimos a Internet, allí queda, aunque nosotros
creamos que lo borramos y por eso es importante pensar antes de subir
algo o, como lo llamé yo en mi charla, "hacer un uso responsable de las
nuevas tecnologías".
- Privacidad y Nuevas Tecnologías por Sebastián Bortnik
No voy a hablar de mi propia charla, pero fue bueno que venga después
de la de Ezequiel y Claudio ya que los temas estaban relacionados y
se pudo dar una idea común, bajo la línea que ya mencioné.
La charla anterior pudo mostrar técnicamente ejemplos más concretos y
yo intenté ponerle un poco de humor y un cierre teórico aprovechando
muchas de las cosas que en la charla anterior ya habían sido
explicadas por profesionales en el área.
- Los Cazadores de Mitos de la Seguridad por Federico Pacheco
Federico se centró en desmitificar algunos mitos que dan vueltas
respecto a la seguridad informática. Una charla interesante que
simplemente presentaba un mito y luego ponía la firma: "Falso" o"Verdadero". El verdadero es porque también presentó ciertos "mitos" que la gente cree falsos y en realidad no lo son. Realmente
una muy buena charla y explicada con mucho humor.
Está bueno ver cómo muchas veces es importante pensar y repensar cada
cosa que escuchamos en los medios o de boca en boca y validar los
contenidos es importante.
- Identidad en los Bancos por Nicolas Mautner
Nicolás centró su charla en las diferentes formas que existen (o
existirán) para identificar a los clientes y las diferencias entre ellas
respecto a la seguridad y cómo validar de forma más correcta la
identidad de las personas en aplicaciones web.
A pesar de tomar como eje los bancos, la charla tiene un alcance mayor y
sus contenidos también.
Como conclusiones me gustaron dos cosas. Por un lado las posibilidades
técnicas de generar nuevos métodos de identificación y autenticación y
la necesidad de pensar que no siempre los métodos más tecnológicos son
los mejores.
- El Robo de Identidad legalmente por Facundo Malaureille Peltzer
Esta charla fue el aporte legislativo al Seminario y es de suma
importancia incluir este eje en la temática.
Facundo se centró, en el poco tiempo que da una charla, en brindar a
los asistentes en su mayoría técnicos la visión de un abogado sobre
el robo de identidad, y contar un poco sobre la legislación vigente.
Me pareció muy interesante cómo él siente que muchas veces los
tecnológicos nos cuesta trabajar mano a mano con los abogados.
Evidentemente, habrá que mejorar en este punto porque la legislación
sigue siendo pobre y especialmente en Argentina.
- Blind SQL Injection basado en tiempos, mediante el uso de Consultas
Pesadas por Chema Alonso
Chema fue la estrella del Seminario. Más allá del nivel profesional y
excelencia del resto de los oradores argentinos, el hecho de contar
con alguien que viene del exterior y con los conocimientos de Chema
Alonso, fue fantástico para el Seminario.
Cristian remarcó antes de empezar el Seminario, que en Europa Chema
brindó charlas en eventos cuyo costo supera los mil dólares, y
nosotros tuvimos la suerte de verlo (por duplicado porque hizo un
taller al otro día) por los increíbles y accesibles costos del
Seminario de Segu-Info.
Básicamente Chema contó un método para inyectar código en sitios web y
extraer información de ellos. Lo más rescatable más allá del método,
es lo que el orador mencionaba como conclusión: lo simple que es
evitar estos ataques solo "programando bien" y evidentemente la
mayoría de los sitios no están protegidos contra este método.
- HTML Scripting Attack por Hernán Racciatti
Hernán presentó un método de ataque a sitios web que consisten en
insertar código Script HTML, cuando los sitios no validan las entradas
de los usuarios. Es un método muy simple de utilizar y, como
mencioné anteriormente, la gran mayoría de los sitios no están
protegidos por las malas practicas de programación que se están dando
en el mercado.
Hernán mostró a través de una aplicación práctica, ejemplos
concretos sobre la extrema simplicidad del ataque y los costos de
sufrirlo pueden ser altos y puede hacerse de forma muy simple robo de
información o ataques al sistema.
3. Conclusiones del Taller de Segu-Info (por Sebastian Bortnik)
Los tres excelentes talleres fueron una continuación práctica de lo
explicado en el Seminario.
- Obtención de información y de perfiles públicos
Ezequiel y Claudio avanzaron en la idea de recolectar con herramientas libres, información personal o empresarial en Internet. En este caso el taller fue bien práctico y la gente pudo seguir los ejemplos en sus
ordenadores y se avanzó mucho más desde el punto de vista técnico.
- Ataques a ciegas a aplicaciones Web
Chema pudo hacer que unas 40 personas resuelvan un reto de Hacking y
encuentren una contraseña de acceso con métodos similares a los que
había explicado en la charla el día anterior.
- Análisis forense de un caso de Robo de Identidad
Gustavo desarrolló un taller en donde explicó un "Análisis forense de
un caso de Robo de Identidad". Este taller me encantó y por el
entusiasmo de los participantes y el orador se extendió más de la
cuenta ya que es fascinante los avances en esta materia y cómo se
puede extraer "información oculta" de un ordenador. La informática
forense es un campo muy interesante y que está creciendo día a día.
Destaco además, que Gustavo no solo mostró herramientas pagas (él
utiliza y comercializa una) sino que también brindo algunas
alternativas libres para quienes quieran investigar en el área.
4. Conclusiones (por Sebastian Bortnik)
Quería dejar más allá de mi charla mis conclusiones como oyente del
Seminario. Fue un evento realmente importante para la comunidad de
Seguridad del país y los resultados se seguirán viendo con el pasar del
tiempo.
El robo de identidad y la pérdida de la privacidad aumentan día a día y
la capacitación de los usuarios es indispensable.
Segu-Info, como comunidad, dio un gran paso y esperemos seguir viendo
eventos como este en el país y Latinoamérica.
5. Conclusiones (por Cristian Borghello)
No queda más que repetir el agradecimiento a todos los involucrados y
a los Sponsors que confiaron en nosotros desde el comienzo:
Queremos
agradecer a Daiana, una asistente al Seminario quien tuvo la
amabilidad de compartir el audio del mismo.
Finalmente, para todos los interesados, las presentaciones pueden
descargarse desde aquí.
Y también dejamos algunas fotos y los comentarios de los asistentes al evento.
Segu-Info agradece la confianza de los Auspiciantes y Sponsors de este 4to Seminario y Taller
Support Partners |
 |
 |