NP20 - Éxito del 4to Seminario y Taller de Segu-Info - 10/04/2008
1. Segu-Info, introducción al éxito
2. Conclusiones del 4to Seminario de Segu-Info (por Sebastian Bortnik)
3. Conclusiones del Taller de Segu-Info (por Sebastian Bortnik)
4. Conclusiones (por Sebastian Bortnik)
5. Conclusiones (por Cristian Borghello)
1. Segu-Info, introducción al éxito
Recién llegados de un viaje increíble a la Ciudad de Santa Fe, dejo las impresiones de este 4to Seminario de Segu-Info - Protegiendo mi Identidad, Si no soy yo, ¿sos vos?.
Los Seminarios de Segu-Info siempre se han caracterizado por su metodología, forma de realización, humor y nivel académico alcanzado, pero sin duda en este 4to Seminario hemos marcado un antes y un después en el tratamiento de la Seguridad de la Información y, sobre todo, en el temática expuesta de Robo de Identidad.
Pocas veces se puede estar feliz de tantas cosas:
- del respaldo invalorable de la Universidad Tecnológica Nacional (UTN) y la calidez humana de todos
- del aguante sin dimensión de los organizadores, sponsors y disertantes
- de la organización del primer evento de este tipo en Argentina, (y quizás en Latinoamérica)
- de la organización del primer evento de este tipo... y realizado en el interior del país
- de las 250 personas reunidas y hablando el mismo idioma: el de la identidad y de su seguridad
- del éxito sin precedentes de este evento
- de la felicidad de todos los asistentes y de cada uno de nosotros como involucrados
- de cada una de las palabras de aliento recibidas
- de las invitaciones recibidas para hacer "esto" en otros sitios
- de las notas de prensa dadas, porque quiere decir que allí hay público a quien les interesa la Seguridad de la Información
- del retraso inesperado que nos puso nerviosos a todos, a los que viajábamos y a los que esperaban
- de las charlas impresionantes y de los participantes haciendo eso: participando
- de los participantes pidiendo más y... de los disertantes también pidiendo más y queriendo continuar
- de la camadería de todos los asistentes y del grupo de la organización
- de la interacción de distintas organizaciones que sólo pensábamos en dejar lo mejor de nosotros
- de los nacionales y del extranjero capaces de brindar lo mejor de sí mismo
- del indeseado incumplimiento del horario en donde los asistentes parados deseaban quedarse y seguir aprendiendo
- de las empresas que no estaban porque no entienden el valor de la colaboración y de la importancia del saber
- de las decenas de horas sin dormir para luego sentir la felicidad del deber cumplido
Invitamos a todos los asistentes a dejar sus comentarios sobre este evento.
Para aquellos que lamentablemente no pudieron acercarse a Santa Fe, el 4to Seminario de Segu-Info comenzó con una desgracia con suerte en donde los organizadores y disertantes llegamos una hora y media tarde a la ciudad, luego de once horas de viaje.
Los asistentes estaban nerviosos por el retraso y los inconvenientes que se suscitaron al ingreso. Comenzado el Seminario el ambiente se tranquilizó y todos pudimos disfrutar de excelentes disertaciones y del éxito que 250 personas asistan hasta el final del evento.
Con respecto a cada charla en sí misma a continuación dejo un resumen realizado por uno de los involucrados, Sebastian Bortnik.
2. Conclusiones del 4to Seminario de Segu-Info (por Sebastian Bortnik)
A mi criterio el Seminario fue un éxito y la gente se fue contenta.
Armar un evento en el interior con semejante cantidad de gente (más de 250 personas) no es tarea fácil y llevar la temática de la seguridad y el robo de identidad al interior del país, es algo que ninguna empresa"se anima" a hacer porque muchas veces "no es lo más rentable" o "lo más comercial". Y que Segu-info, "una comunidad”" como la define su propio Director, se anime a hacerlo es una alegría y además un orgullo de pertenecer a esa comunidad.
La gente se va contenta del evento porque, como dijo Cristian en la apertura, es un evento que "no le va a vender nada a nadie" y maneja filosofías e ideas similares a la comunidad del software libre: compartir el conocimiento.
Cada charla está apuntada solo a eso y sin ningún fin comercial. Comentaba Cristian en la apertura que se hace complicado conseguir sponsors porque cuando una empresa pregunta "qué recibirá a cambio del apoyo" la respuesta es "nada" (esto es casi literal). Es decir, las empresas que apoyaron tuvieron su logo en la prensa, su stand y su folletería... y nada más. En ningún momento los auspiciantes pudieron interferir con el principal eje del evento que es compartir y capacitar, sino que su rol es el de acompañar.
Por lo que me parece más valioso aún aquellos sponsors que estuvieron presentes en el evento.
Una cosa más que me interesa destacar es que el evento empezó demorado por contratiempos realmente inesperados y, la calidad del evento, se vio reflejada en que muy a pesar de que cuando empezó el evento los asistentes estaban un poco "enojados" por la demora, fue increíblemente rápido como un ambiente de enojo se convirtió en ver a la gente contenta y compenetrada en las charlas, y eso fue solo por la calidad del evento, las charlas y la organización (más allá del contratiempo).
A continuación, me interesa contar como oyente, una oración sobre de qué fue la charla y otras sobre las conclusiones que saqué de ellas.
- Presentación del Seminario por Cristian Borghello
Como Cristian nos tiene acostumbrados, arrancó con algo original haciendo un muy buen quiebre brindando mucha información personal de él, aparentando ser extremadamente egocéntrico y luego preguntándose: "¿no estaré contando demasiado de mí?". Luego, una breve presentación de Segu-Info. - Web 2.0 Information Disclosure, "Webear puede costar caro" por
Ezequiel Sallis & Claudio Caracciolo
La charla se centró en mostrar cuán fácil es encontrar información de una persona, simplemente utilizando herramientas libres (y principalmente Google) y visualizando los rastros que dejamos cuando navegamos por Internet.
Dieron una excelente explicación sobre cómo Google cachea en sus servidores los contenidos de la web y ejemplos concretos con capturas realmente increíbles con información personal de usuarios comunes.
Mi conclusión, la misma que la que ellos presentaron a través de una campaña cuyo slogan fue: "Think before you post" (Piensa antes de postear). Todo lo que subimos a Internet, allí queda, aunque nosotros creamos que lo borramos y por eso es importante pensar antes de subir algo o, como lo llamé yo en mi charla, "hacer un uso responsable de las nuevas tecnologías". - Privacidad y Nuevas Tecnologías por Sebastián Bortnik
No voy a hablar de mi propia charla, pero fue bueno que venga después de la de Ezequiel y Claudio ya que los temas estaban relacionados y se pudo dar una idea común, bajo la línea que ya mencioné.
La charla anterior pudo mostrar técnicamente ejemplos más concretos y yo intenté ponerle un poco de humor y un cierre teórico aprovechando muchas de las cosas que en la charla anterior ya habían sido explicadas por profesionales en el área. - Los Cazadores de Mitos de la Seguridad por Federico Pacheco
Federico se centró en desmitificar algunos mitos que dan vueltas respecto a la seguridad informática. Una charla interesante que simplemente presentaba un mito y luego ponía la firma: "Falso" o"Verdadero". El verdadero es porque también presentó ciertos "mitos" que la gente cree falsos y en realidad no lo son. Realmente una muy buena charla y explicada con mucho humor.
Está bueno ver cómo muchas veces es importante pensar y repensar cada cosa que escuchamos en los medios o de boca en boca y validar los contenidos es importante. - Identidad en los Bancos por Nicolas Mautner
Nicolás centró su charla en las diferentes formas que existen (o existirán) para identificar a los clientes y las diferencias entre ellas respecto a la seguridad y cómo validar de forma más correcta la identidad de las personas en aplicaciones web.
A pesar de tomar como eje los bancos, la charla tiene un alcance mayor y sus contenidos también.
Como conclusiones me gustaron dos cosas. Por un lado las posibilidades técnicas de generar nuevos métodos de identificación y autenticación y la necesidad de pensar que no siempre los métodos más tecnológicos son los mejores. - El Robo de Identidad legalmente por Facundo Malaureille Peltzer
Esta charla fue el aporte legislativo al Seminario y es de suma importancia incluir este eje en la temática.
Facundo se centró, en el poco tiempo que da una charla, en brindar a los asistentes en su mayoría técnicos la visión de un abogado sobre el robo de identidad, y contar un poco sobre la legislación vigente.
Me pareció muy interesante cómo él siente que muchas veces los tecnológicos nos cuesta trabajar mano a mano con los abogados. Evidentemente, habrá que mejorar en este punto porque la legislación sigue siendo pobre y especialmente en Argentina. - Blind SQL Injection basado en tiempos, mediante el uso de Consultas
Pesadas por Chema Alonso
Chema fue la estrella del Seminario. Más allá del nivel profesional y excelencia del resto de los oradores argentinos, el hecho de contar con alguien que viene del exterior y con los conocimientos de Chema Alonso, fue fantástico para el Seminario.
Cristian remarcó antes de empezar el Seminario, que en Europa Chema brindó charlas en eventos cuyo costo supera los mil dólares, y nosotros tuvimos la suerte de verlo (por duplicado porque hizo un taller al otro día) por los increíbles y accesibles costos del Seminario de Segu-Info.
Básicamente Chema contó un método para inyectar código en sitios web y extraer información de ellos. Lo más rescatable más allá del método, es lo que el orador mencionaba como conclusión: lo simple que es evitar estos ataques solo "programando bien" y evidentemente la mayoría de los sitios no están protegidos contra este método. - HTML Scripting Attack por Hernán Racciatti
Hernán presentó un método de ataque a sitios web que consisten en insertar código Script HTML, cuando los sitios no validan las entradas de los usuarios. Es un método muy simple de utilizar y, como mencioné anteriormente, la gran mayoría de los sitios no están protegidos por las malas practicas de programación que se están dando en el mercado.
Hernán mostró a través de una aplicación práctica, ejemplos concretos sobre la extrema simplicidad del ataque y los costos de sufrirlo pueden ser altos y puede hacerse de forma muy simple robo de información o ataques al sistema.
3. Conclusiones del Taller de Segu-Info (por Sebastian Bortnik)
Los tres excelentes talleres fueron una continuación práctica de lo explicado en el Seminario.
- Obtención de información y de perfiles públicos
Ezequiel y Claudio avanzaron en la idea de recolectar con herramientas libres, información personal o empresarial en Internet. En este caso el taller fue bien práctico y la gente pudo seguir los ejemplos en sus ordenadores y se avanzó mucho más desde el punto de vista técnico. - Ataques a ciegas a aplicaciones Web
Chema pudo hacer que unas 40 personas resuelvan un reto de Hacking y encuentren una contraseña de acceso con métodos similares a los que había explicado en la charla el día anterior. - Análisis forense de un caso de Robo de Identidad
Gustavo desarrolló un taller en donde explicó un "Análisis forense de un caso de Robo de Identidad". Este taller me encantó y por el entusiasmo de los participantes y el orador se extendió más de la cuenta ya que es fascinante los avances en esta materia y cómo se puede extraer "información oculta" de un ordenador. La informática forense es un campo muy interesante y que está creciendo día a día.
Destaco además, que Gustavo no solo mostró herramientas pagas (él utiliza y comercializa una) sino que también brindo algunas alternativas libres para quienes quieran investigar en el área.
4. Conclusiones (por Sebastian Bortnik)
Quería dejar más allá de mi charla mis conclusiones como oyente del Seminario. Fue un evento realmente importante para la comunidad de Seguridad del país y los resultados se seguirán viendo con el pasar del tiempo.
El robo de identidad y la pérdida de la privacidad aumentan día a día y la capacitación de los usuarios es indispensable.
Segu-Info, como comunidad, dio un gran paso y esperemos seguir viendo eventos como este en el país y Latinoamérica.
5. Conclusiones (por Cristian Borghello)
No queda más que repetir el agradecimiento a todos los involucrados y a los Sponsors que confiaron en nosotros desde el comienzo:
- Universidad Tecnológica Nacional (UTN)
- Root-Secure
- ESET
- Presman Estudio de Informática
- ZMA - Zampatti Maida & Asociados
- LambaSI
Queremos agradecer a Daiana, una asistente al Seminario quien tuvo la amabilidad de compartir el audio del mismo.
Finalmente, para todos los interesados, las presentaciones pueden descargarse desde aquí.
Y también dejamos algunas fotos y los comentarios de los asistentes al evento.
Segu-Info agradece la confianza de los Auspiciantes y Sponsors de este 4to Seminario y Taller
| Organizan | ||
|---|---|---|
 |
 |
 |
| Sponsors | ||
|---|---|---|
 |
 |
|
 |
 |
|
| Support Partners | |
|---|---|
 |
 |
Extras
Virus-Antivirus
Hosting by
Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons
