martes, 18 de marzo de 2008

Security Hacking NEA 3, algunos comentarios

El fin de semana asistí a la Security Hacking Nea 3 un evento sobre seguridad informática según se publicitó. Luego de escuchar dos charlas y bastante de la tercera terminé de cerrar algunas conclusiones que quiero compartir:


Con respecto al evento en sí;
Creo que la mayor parte de la decepción se debe a dos cosas: falta de estructura de las charlas y cómo fue publicitado el evento. Casi todos fuimos a un evento de "seguridad IT" y nos encontramos con un evento de hacking, es decir una ocasión donde las demostraciones eran eminentemente prácticas y de seguridad IT hay muy poco ( sí, de los procedimientos reales que se utilizan en seguridad IT también hubo muy poco realmente, si alguien pregunta puedo dar bastantes ejemplos de la falta de profundidad de la práctica mostrada en el evento), y para los que entendemos del tema seguridad IT, donde humildemente me incluyo, se dijeron muchas cosas inexactas y no en el mejor lugar ni ocasión.


Con respecto a la falta de estructura de las charlas;
Estuve en las primeras tres y a ellas me refiero, creo que los que estuvieron los dos días dejaron más o menos claro que así también se dieron las demás. Lo que vi es básicamente esto:

a) hablo de este tema,
b) cuento cosas (algo técnico, algo que de "miedo", y algo mas o menos impresionante para los novatos o asistentes no IT).
c) demostración de algunas técnicas mencionadas, unidas al punto b)

Lo que no ví fue que los oradores supieran marcar cada etapa, ya aceptado el hecho que en un evento de hacking planteado como éste no hay mucha profundidad técnica que esperar, y cada parte de la charla se diluía en "cositas para mostrar" más que en un tema concreto que exponer, desarrollar y luego concluir con algunas reflexiones.

Me quedo con la charla de Bluetooth, ya que el speaker manejó las limitaciones en conocimiento con habilidad de orador, aún siendo debutante en el tema, y, qué bárbaro con respecto a las otras dos, dió una conclusión concreta, concisa y acertada técnicamente al tema tratado.


Con respecto a lo técnico hay mucho qué decir,
Me voy a inclinar por comentar en detalle y explicando cómo me habría parecido de buen nivel la respuesta que se dió cuando un asistente preguntó qué tipo de resguardo tenía ante una intrusión y/o robo de datos de parte de la ley argentina y luego, cómo debía proceder en ese caso.

La respuesta fue simple y directa, "NO HAY NADA QUE HACER...." y luego se continuó durante 15 min. más, contando sin precisar ningún procedimiento técnico concreto, la técnica de cadena de proxys y algunas cosas más para ofuscar / impedir / dificultar la localización del origen del ataque y así al atacante en sí.

De las implicaciones del comentario sobre lo legal hay mucho que discutir así que a lo básico: si bien hay leyes argentinas muy, muy limitadas, sí existe jurisprudencia,también limitada; pero se ha visto en los últimos años que ello marca el camino a seguir de la justicia argentina en cuanto a la regulación de delitos IT durante un tiempo: ir tratando cada tema caso por caso.

Eso quiere decir que si el evento de seguridad (intrusión/robo de datos) fue significativo en alguna magnitud mesurable (TCO, ROI, daños colaterales varios, etc. etc.), la empresa/organización debería asesorarse antes de descartar cualquier acción legal.

Incluso no actuar legalmente en absoluto en algunos tipos de empresas y organizaciones puede acarrear serias consecuencias (sí, acá en Argentina), en cuanto a terceros: acciones legales secundarias (léase "demanda"), que sí podrían tener resultados mucho más concretos ($$$) sobre la responsabilidad de quienes no actuaron en absoluto; hablando de lo interno, dos palabras: "sumario administrativo".

Todo ello, más allá de que se pueda lograr o no algun resultado efectivo con respecto al atacante y las consecuencias de su ataque (ya que en el hipotético caso planteado en la pregunta, las consecuencias del evento de seguridad son plenamente verificables).

De la parte técnica sobre este comentario digo, si se habló 15 minutos comentando cómo hacer una cadena de proxys y la cuestión de las jurisdicciones legales, bien podría
haberse hablado un momento de que cualquier evento relevante de seguridad IT debe ser investigado. "Relevante" consiste básicamente en si con costo/beneficio adecuado vale la pena investigar el hecho, acá tiene mucho que ver la cualificación del personal IT propio y de, generalmente, conseguir un buen consultor de seguridad (conocimientos y ética). Luego de esto y habiendo valorado si vale la pena investigar seriamente, y según la cualificación del personal IT, se puede continuar con personal interno y/o externo.

En el caso de un robo de datos puntualmente, si se puede obtener alguna información de lo que publicita (mediante avisos, sitio web, búsquedas laborales, nuevos productos, etc.), el supuesto receptor (empresa/organización/individuo), de los datos robados, allí se puede hacer inferencias lógicas sobre la ubicación interna o no de los datos robados y, si se confirma que son datos privados que on debían divulgarse, luego incluso se podría llegar al personal con acceso autorizado a ellos, mediante diversas vías: permisos de acceso físico(llaves) y/o lógicos (contraseñas, permisos de usuario, política de redes y seguridad, etc.).

Aunque luego no hubieren resultados estrictamente legales con respecto al origen del incidente de seguridad (el hacker preso concretamente), sí se podría tratar las cuestiones internas de la empresa/organización que sufrió el incidente intentando subsanar los puntos de fallo en su política de seguridad (si la tuviera o no). Y esto constituye básicamente el grueso del valor del ROI de una investigación en un evento de este tipo.

No digo que en evento en vivo se pueda elaborar una respuesta tan detallada como la escribí acá, que es bastante general y no abarca el espectro téorico total de cómo enfocar un incidente de seguridad, pero entiendo que "NO, NO HAY NADA QUE HACER" es muy implacable como respuesta y no cabe en una cuestión tan sensible como una intrusión y/o un robo de datos.

Conclusion
Destaco otra vez, que en un evento de hacking normalmente no se espera un enfoque muy profundo a nivel técnico en seguridad IT, la próxima tal vez se podría publicitar así, y muchos irían sabiendo exactamente qué van a escuchar.

Sería muy interesante que para una cuarta edición se pulieran algunos detalles, y constructivamente espero haber aportado algunas ideas y/o motivación para ello.

8 comentarios:

lodeale dijo...

che valdez, la verdad que me impresiono el tiempo que te tomaste para escribir esto, se ve que en seguridad IT no hay mucho laburo. bueno otra, cuando decis "casi todos fuimos a una charla de seguridad IT" jaja ensima vos perteneces a tal, que casualidad no? bueno no me quiero ir por las ramas, la verdad que estaria bueno saber quienes son esa mayoria si es que no lo dijiste por decir nomas no?, otra es que el titulo es "security hacking nea", donde dice seguridad IT que me lo perdi!!. Otra que se envio todos los temarios sobre lo que se iva a dar, y yo vi que todo encajaba en los temas mensionado. Bueno y todo el otro verso que le metiste no me sirve perder mi tiempo porque eso valdria si te fuiste a una charla de "seguridad IT"(hablamos la de casa de gobierno no??), como no es asi, porque acordate "SEGURITY HACKING NEA", NO HAY MAS NADA QUE DECIR.
Mi nombre es benjamin, tengo una empresa de 800 personas mas o meno redondeando, y al rededor de 1200 pc, y ellos mostraron realmente lo que yo queria ver y 5 de mis colegas me dijieron lo mismo( por supuesto cada uno con su empresa de mas de 500 usuario), asique creo que excepto del sepulcri ese, aguante el grupo instel sigan asi..

Asique anda a vender tu producto seguridad IT a otro lado

nos vemos gente

Anónimo dijo...

Realmente me parece totalmente fuera de lugar los comentarios del señor Dardo Valdez, incluso creo que el problema base de esto, y lo digo con todo respeto, es que el Señor Dardo Valdez tendría que aprender a leer, y voy a fundamentar lo que digo, el evento tiene como título “SECURITY HACKING NEA” y no “Seguridad IT”, los temas que según manifiesta haber escuchado tenían como título “Ethical Hacking y Distintas Fallas de Seguridad en la Red” Donde se detalla una sinopsis en la que se explica que se mostraran las SANS Top 20 Internet Security Attacks (SANS/FBI) que se corren, en tiempo real, a por lo menos 20 servidores reales, y al final se mostraron en mas de 50. La charla numero tres de la que manifiesta haber escuchado una parte tenia como título Ultimate Hacking donde en la sinopsis se detalla la forma de mostrar "En VIVO" las técnicas y herramientas que son utilizadas para perpetrar un Ataque Informático. Realmente se mostró eso con lo cual en ambas charlas se cumplió con el itinerario dispuesto. Cada charla tenia un temario y así se respeto, es una pena que alguien como este señor al cual me gustaría preguntarle Si alguna vez Audito en su vida, ya que manifiesta en su perfil cosas como (http://www.blogger.com/profile/08062068068182578270) Administrador de Sistemas SSr. / Sysadmin, INFOSEC, Seguridad IT, Sistemas, Systems, es de extrañar que en INFOSEC no lo conocen ya que no pertenece a esa empresa, Seguridad IT no vi que este como disertante en ninguna de los eventos de este tipo así que asumo que solo habrá participado como un mero oyente, y a que se refiere con poner Systems y Sistemas. Si en cambio pude leer incluso en este mismo lugar cosas sacadas de wikipedia y barbaridades como en una que manifiesta como hacer una auditoria con Nessus diciendo que el escaner simulas los ataques para largar un informe. Realmente esta persona jamás audito y tendría que empezar por comprender que en que consiste cada cosa antes de escribir barbaridades, ante gente que poco entiende del tema.
Aclaro para hablar con fundamento, voy aclarar esto ultimo, los scanner de bug como nessus solo leen los banner y en base a los mismos asumen la posible falla del sistema, en ningún caso ejecutan el ataque, mira el código fuente del mismo y date cuenta por eso arroja barios falsos positivos, por otro lado eso esta muy lejos de ser una auditoria a los sumo el comienzo de un pentest.
Con respecto a lo legal solo hay que leer bien lo que pusiste para terminar dando la razón a los oradores del evento, en Argentina no hay hoy por hoy soluciones, en caso que opines lo contrario fundaméntalo con algún echo en la vida real, no con lo que vos supongas. Siempre obviamente hablando de lo que se hablo en las charlas o sea ataques a servidores en argentina produciendo un deface o robándose información. Me encantaría que vos con tu experiencia que manifestas en Seguridad IT asesores a una empresa tomar acciones legales y ver como solo producirías mas perdidas económicas a la misma sin contar una posible contra demanda. Por ultimo realmente me parece una falta de respeto que habiendo escuchado solo tres charlas manifieste que las demás no cumplían con las pautas que esperabas de Seguridad IT. Primero es una falta de respeto por que es obvio que jamás leyó los títulos y menos aún el analítico, charlas como la de Diego Saravia, Muro Torres, Daniel Castro, personas de reconocimiento mundial sean catalogadas de esa forma por un simple personaje que solo escribe su opinión por Internet, las cuales en ni una que he podido leer es de autoría propia, o algún aporte de desarrollo o alguna invención del señor Valdez, solo he visto textos de cosas sacadas de Wikipedia y textos de Internet, con esto no desmerezco su labor pero quiero dejar en claro que su autoridad para juzgar este tipo de eventos es obviamente nula, por falta de criterio y sentido común.
Creo que antes de opinar así cobardemente en Internet lo hubiera manifestado en el momento de las preguntas durante las disertaciones y plantear el debate frente a los oradores, y sobretodo fundamentando lo que se opina, pero para ello primero por lo menos habría que saber de que se habla, y sobre todo leer el detalle de lo que consiste el evento.
Saludos.

Anónimo dijo...

a ver.. varios ptos a resaltar...
La primer charla como "introductoria"... se podria decir que zafaba..
pese a que no mostro nada nuevo..
Charla 1
- Sql inyection ?.. si, todo el mundo sabe, o al menos deberia aquel
que se de de "administrador" que se pueden poner sentencias sql en un
formulario.. x lo tanto es suicida o de ignorante (muy)hacerlo de esa
forma... estaba bien mostrarlo.. perooo.. no mas de 10 min !
Era correcta la apreciacion de que no se debe permitir caracteres
especiales en el formulario de login a lo que Cacivio respondio...
pero los "dba" necesitan hacer sus consultas.. GRAVE CONTRADICCION,
alguien me puede explicar que hace un "dba" tirando consultas en un
formulario de login ?¿?¿ o via web ?¿?¿
Si un dba necesita acceder a la db, como MINIMO.. via pptp. (si el dba
tiene windoss y es su primer laburo), lo logico seria via ipsec o ssl-
vpn. Si la db es de un BANCO (por ej) que el dba vaya a laburar a su
lugar de trabajo !
El programador /diseñador/dba..lo que fuere que diseño el acceso
deberia haber restringido como primer medida la longitud de caracteres
y el tipo de caracteres del formulario..y acceso via :443 !!
obviamente sin revelar nada en el "codigo de la pagina".. NI HABLAR
que si la criticidad de los datos en la DB es alta/media.. que hace
publicada en inet ?¿
Se puede calificar como "exitoso" los archivos obtenidos de "usuarios
passw" obtenidos ?? no eran basura? valian para algo... de nuevo..
ppal concepto "valor de la informacion".. valio mi tiempo ?
-La culpa la tiene el indio o la flecha ??
Se menciono que un cliente o algo asi (no recuerdo bien).. invirtio $$
en infraestructura..bla,bla,bla.. pero que puso un router
NOGANET.. .."por dios.. el equipo tiene habilitado telnet, tftp..
trivial ftp que no pide user /pass...)", independientemente de la
capacidad de ruteo del dispositivo, Cisco, 3com, Huawey... todos
traen telnet, tftp, web access.. HABILITADO.. es RESPONSABILIDAD DEL
ADMINSITRADOR SEGUIZARLO!! ..es mas.. cisco por defecto sus acls
terminan en deny any-any, no asi 3com&Huawey que traen implicito
permit any-any..
- Para resaltar.. SI ES PREOCUPANTE, no por el dato "obtenido" sino
por el hecho en si, de que una MD5 se puede dechavar en .. (seamos
realistas) 2/3 min
- Para resaltar (completamente de acuerdo) . todo el mundo sabemos que
la region NEA paga 2 mangos (bue, 0,5mangos) aunque se este trabajando
para DTrump.. y que hacen faltas especialistas, no podemos ser
Administradores Senior Linux/Unix, DBA, Networking, Storage..
etc..etc.. (si hay alguno que lo sea.. agradeceria que me explique
que esta haciendo aca ?¿) pero lamentablemente .. en la region NO HAY
INFRAESTRUCTURA que lo amerite (o que lo pague) es por eso que por mas
SENIOR que se sea, se termina atendiendo el telefono para ir a sacar
el papel atascado en una impresora.

Charla 2... 14:10hs.. mi persona ya estaba sentado.. respetando el
horario que se habia establecido para empezar de las 14:15..
Resaltar: el esfuerzo del vago y la sinceridad del mismo.. 10 ptos
Deplorable: el tiempo de la presentacion.
Sugerencia: explicar los conceptos es suficiente, y UNO O DOS ejemplos
de comandoS... no 20 minutos ecuchando AT MR, XCZBVXVZ BXZNBX BZXBZ..
XZH .. shutdown -h now please!
Lo importante es entender el concepto.. los comandos siempre varian y
se buscan en los manuales de referencias.

Charla 3.. plato fuerte ?¿ o descartable..
Parecia... que comenzaba bien.. algunos conceptos para refrescar a
algunos, otros para los que no lo vieron nunca.. pero.. fue bajando el
nivel.. y bajando... y bajando.. yo no entiendo por que siempre
nivelan para abajo.. lo correcto es NIVELAR PARA ARRIBA ! .. lo
termino arruinando con el "hackeo" (por dios) de camaras ip.... que
son de publico acceso y que estan INDEXADAS POR GOOGLE !!!!

".. ... esperen.. no se vayan.. .. ya arranca la otra charla.. a las
20 hay sanguchitos de cero" hacia mas de 5HS que estaba sentado.. que
esperaban que hiciera la gente.. junte mis petates y me raje !..
domingo.. vos nomas sabes.

Era el 3er seminario.. no se como estuvieron los anteriores.. peroo...
si hay un cuarto (es mi deseo que asi sea) sea de un nivel ALTO, o
bien.. que lo aclaren en las propagandas de las charlas....

Es valido reconocer que el "auditorio" no aporto en nada.. y cuando lo
hizo.. uno no sabia lo que era una mac..."si una parte identifica el
fabricante, otra el tipo de medio.. como hace para identificar el
dispositivo..." es tarea de los expositores apuntar a un nivel alto
aunque vea caras raras en las primeras filas, o aclarar de antemano el
nivel de la charla.

Sintesis, me patine $75 mangos.. $50 + 25 almuerzo y remis.. esto es
para aquel que no tiene idea,,, DEJE DE TOMARME 16 PORRONES DE
CORONA !! y eso es lamentable.

.. ... . por ultimo.. a alguno se le ocurrio googlearlo al sepulcri
este ..? TSUNAMI DE CHANES !!..


Benjamin.. lo tuyo es deplorable.. podes tener la empresa que quieras, y si te "sorprendiste" por lo que "demostraron"... bue.. da una pauta que tenes que dedicarte a la parte comercial nomas.

Unknown dijo...

Que tal, Benjamín, me parece apropiado aconsejarte que deberías buscar asesoramiento, no de mí necesariamente y no es ningun problema, si lo limitado del ámbito de la seguridad IT que se mostró es lo que estabas esperando escuchar.

Unknown dijo...

Ariel, fijáte acá
http://www.sans.org/top20/
Esas son las vulnerabilidades de las que se iba a hablar y probablemente se habrá hecho así, como estuve en tres charlas solamente, no te puedo confirmar ni negar, por eso no dije nada de ello en texto del artículo.

En cuanto a las charlas, es claro mi comentario sobre la falta de estructura y aclaro perfectamente al inicio que estuve en tres charlas.

Con respecto al perfil, es un listado de simples palabras clave, significativas y relacionadas con mi trabajo. En ningun momento alego pertenecer a ninguna empresa.

Con respecto a Nessus, aquí está mi artículo en cuestión:
http://sysnotas.blogspot.com/2008/01/anlisis-de-vulnerabilidades-con-nessus.html

Es conciso, general y no intentaba dar una explicación técnica de cómo funciona Nessus a bajo nivel analizando vulnerabilidades sin vulnerar los sistemas. Es cierto la frase concreta:

"..se basa en realizar ataques simulados intentando explotar vulnerabilidades conocidas, y luego informar.."

no es técnicamente exacta con respecto al modo en que Nessus verifica que determinada vulnerabilidad exista, pero de modo NO intrusivo, enviando y estableciendo tráfico para verificar versiones y/o opciones inseguras habilitadas en sistemas auditados.



Creo que en mis artículos como en el resto de la red hay mucha reutilización, es lo práctico; cuando realizo una traducción, añado los créditos apropiados. En el artículo donde se habla de Nessus también se puede leer sobre otros temas, y en particular un tópico interesante "Debilidades en la Arquitectura de Seguridad" tiene buen material.

Sobre el marco legal, también es claro el comentario que hice y muy detallado. Faltaron un par de enlaces de referencias sobre legislación en seguridad IT en Argentina:

"Protección de Datos Personales: Legislación"
http://www.protecciondedatos.com.ar/
legislacion.htm

En particular refiero mucho a la ley Nro. 25326 "Protección de los Datos Personales"
http://www.protecciondedatos.com.ar/
ley25326.htm

Sin poder extenderme más, esta ley ya sienta las bases de una legislación mucho más efectiva en seguridad IT en Argentina.

Particularmente la ley se enfoca mucho en los datos y los posibles tratamientos indebidos de los mismos. Es necesario dejar claro que la ley no contempla específicamente muchas (polémicas) cuestiones jurídicas relacionadas con la legislación de los usos indebidos en las comunicaciones de datos, y es de ahí el psedo-vacío legal total que se suele suponer, pero no se da.

Cito como ejemplo de los (obviamente lentos), progresos en la legislación de seguridad IT en Arg., el reciente caso de un empleado despedido de su trabajo por enviar por correo electrónico información privada y de divulgación restringida de la empresa que lo empleaba a terceros competidores.

http://www.infobaeprofesional.com/
notas/52746-La-camara-laboral-avalo
-un-despido-por-deslealtad.html

Con respecto a hablar del evento en sí en general con solo haber asistido a tres charlas, comento que fueron diversas opiniones que tomé de amigos y conocidos que asistieron todo el sábado y el domingo las que me llevaron a publicar con el título:

"Con respecto al evento en sí;"

Dejo claro que no me referí ni opiné de mal modo con respecto a ningun participante, por varias razones, principalmente porque me interesaba centrar el comentario sobre cómo se dieron las charlas en las que estuve.

Por otra parte, si hacía falta un interés por este artículo para dar lugar a una retractación por la generalización, creo que se dió y por ello expreso mis disculpas a quien las merezca por haber realizado su presentación particular con buen nivel.

Justamente como dijo Benjamín, el ambiente IT de Seguridad no está muy activo laboralmente, y por ello no hay mucha rentabilidad en brindar estos servicios localmente, por lo que me dedico al trabajo de administración de sistemas.

Ariel, creo que algunas palabras tuyas están de más también, y por eso se da esta respuesta, igual de clara, explícita y fundamentada que el artículo.

Diva Satanica dijo...

Hola, asistí al evento y como dice Dardo muchas cosas no me parecieron que estuvieran bien encaradas.
Por ejemplo a la hora de hablar sobre hacking ético, me parece que se olvidaron de la parte "ética" y lo digo porque me pareció muy poco ético decir esto le paso a tal casa de artículos informáticos, esto hicimos con tal hotel y otra cosa es meterse con la casa de Gobierno que encima les dio el lugar.
Otra cosa es que el domingo el nivel de las exposiciones bajó el "nivel" y lo digo por si no estuvieron presentes o si estuvieron debieron haber visto el estado de dos de sus expositores tanto como el administrador de Jujuy que ahora no recuerdo el nombre y el de Buenos Aires que ahora no recuerdo el nombre que por cierto tiene una reputación no muy buena en Bs. As, solo basta con buscarlo en internet para poder comprobarlo.
Coincido en muchas cosas que Dardo dijo y dicha empresa que organizó el evento, no puede ir diciendoles a sus clientes: "Lo siento, su seguridad es vulnerables a ataques informáticos, NO SE PUEDE HACER NADA".
Creo que hay muchas cosas que se deben encarar de un modo serio y decir o nombrar algunas pautas sobre seguridad y algunos consejos a la hora de administrar un sistema.
Una vez más, coincido con vos Dardo.
Saludos.

Unknown dijo...

Si bien nunca había pasado por acá, si bien había recibido comentarios del sitio, hoy lo vi y decidí contestar. No me voy a poner a contestar todo por que mucho de esto ya lo he hablado personalmente con Yaco mismo, pero ya que esto esta publicado quiero aclarar algo. En Instel & Seguridad estamos trabajando en Seguridad Informática y Ethical Hacking desde hace mas de 12 años, Por suerte hemos podido participar de los eventos mas grandes de Argentina en los que compete a seguridad informática (infosecurity y exposecurity) y siempre como expositores, así como también hemos auditado en gobiernos (como en presidencia de la nación), empresas de argentina, incluso de Perú, Chile y ahora Brasil. Simplemente voy a aclarar puntos, cuando en mi exposición se dijo que se hablaría de las SANS Top-20 Security y así fue de las cuales solo no se mostró ataque por maquinas zombis y exploits remotos, no por que no lo teníamos preparado, si no por que el administrador de ecom Chaco el señor Javier Dusek decidió cortarnos el acceso a todos los puertos menos al 80 saliendo por un Proxy con lo cual era imposible mostrar mucho, incluso llegaron a cortarnos Internet. Los de las bases de datos guee que puedo decir podemos mostrar como corren estas fallas el 75% de las empresas con las mismas y no solo saltando las contraseñas por inyección de código si no además por inyecciones codeadas de sql o en oracle codeando las inyecciones en forma transversal por brouser o incluso por exploit que teníamos programados, pero como dije no se podía mostrar nada remoto, y creeme yaco limitando el numero de caracteres no sirve de nada ya que solo tendría que ejecutarlas por Brouser o lo que es mejor usando el nc con archivos remotos tal como lo mostramos en un video en la flisol, creo que es una pena ya que la idea no era mostrar como acceder a la base de datos solamente si no al bastionhost completo como lo mostramos en la Flisol o en la Whyfloss, o sea era el comienzo del acceso, lo de las leyes creo que ya lo hablamos mucho con yaco y concordamos que las leyes en argentina son muy deficientes y que a la hora de acusar a un atacante hoy por hoy no hay manera, si alguien cree que es de forma contraria que lo compruebe me gustaría verlo o si es mejor me dicen yo mismo hago el ataque, es mas lo confieso y todo por la net y a ver que acciones legales pueden imputarme. Por la actuación del señor Gustavo Sepulcri yo mismo pido DISCULPA PUBLICA, realmente lo que hizo me dio vergüenza ajena y me pareció no solo bajo su nivel de ponencia deplorable, por no decir de cuarta, y lo que hizo el ultimo día me pareció una falta total de respeto, no solo al publico si no a nosotros la organización misma.
Realmente me pareció patética la actuación de este personaje y si la culpa no es mas de nadie que mía por haberlo invitado. Con respecto a lo que cita diva satánica me parece lamentable ya que lo que presento el señor Castro el administrador del gobierno de Jujuy, me parece algo brillante, primeramente por que el desarrollo de su programa es algo nuevo e innovador que nadie en argentina lo a hecho jamás, el tipo es un programando espectacular y presento una solución a miles de administradores que pelean hoy con un sistema de servidores bajo GNU-Linux, y como es realmente un amante del software libre, lo cedió a la comunidad completa, es así que hoy en día se incorpora en unas distro de Linux argentina como Tuquito, el otro orador ese día al que dicen que fue peor el nivel, fue otro desarrollador de Linux el creador de garfio y de Tuquito Linux, Mauro Torres, una persona espectacular que ayuda a los niños con sus proyectos y sin obtener ni un centavo por ello alguien a quien tuve la oportunidad de conocer y simplemente me pareció una persona increíble y realmente amante de una filosofía de vida libre, que simplemente mostró cosas excelentes de la que la gente nos mando cientos de correos felicitándonos, y a lo que la gente se acercó a felicitarnos y demás, otra de las personas fue Diego Sarabia y su charla fue simplemente fabulosa y es mas promociono justo un libro el cual diva satánica estaba ofreciendo en la Whyfloss incluso firmándolo ;) que ironía no?, del cual Diego escribió un capitulo. Esta persona es uno de los referentes mas grandes del software libre en argentina, Luego se mostró el proyecto Beryl y Compiz y funcionamientos de IDS bajo GNU-Linux donde por primera vez por lo menos pudimos mostrar un ataque remoto ya que pudimos prepararlo incluso con un exploit propio, yo jamás he visto en algún evento en el nordeste que alguien muestre esto en tiempo real, o sea todos hablan pero nadie muestran jamás nada.
Dijeron también que es increíble que yo halla dicho que a las empresas les decimos que no tienen solución sus problemas de seguridad, lo cual es totalmente mentira, nosotros dijimos que la mayoría de las empresas corren fallas pero jamás dijimos tal barbaridad ya que siempre recalcamos que con una política correcta de seguridad se pueden solucionar sus problemas. Incluso nuestra empresa garantiza el 100% de nuestro trabajo siempre que se respeten las políticas de seguridad que imponemos y las soluciones que presentamos, lo cual es mucho ya que eso lo firmamos con abogados y contrato estipulado incluso antes de firmar el DNA. Concluyendo, en el nordeste no conozco a nadie que halla si quiera dado una charla de seguridad mostrando algo en tiempo rela, jamás, las única dos que escuche fueron una broma de lecturas de Internet, personas que dijeron que poniendo un firewal, un bueno antivirus y los parches al sistema operativos estaban completamente cubiertos, incluso un profesor de la UTN y administrador de una institución muy grande de cómputos llego a decir que la SNA no existía.  y que una contraseña de 128bit era imposible romper ;) la verdad que nuestra experiencia nos a demostrado que esto no es ni cerca la realidad, y que solo conociendo realmente las fallas de seguridad, mas saber generarlas por tener conocimientos de intrusión, podrán ayudarte a implementar una correcta política de seguridad, por mas que se bajen todos los scanner del mundo y lo pasen por un sistema aún cuando te digan que no corren fallas, igual pueden ser violados los sistemas, yaco si viste nuestros últimos eventos habrás visto que mostramos fallas en Server que supuestamente tienen expertos IT detrás, como la gente de Personal o de empresas como Nero, sin embargo mostramos como igual se pueden violar su seguridad, y que en el Nea no hay seguridad, eso es un echo lo cual no significa que por el bajo costo esto sea justificado, todo lo contrario somos nosotros y los administradores lo que tenemos que revertir esa citación. Diva por cada hackeo que hacemos avisamos siempre de la falla a sus admines incluso por que te pensas que nos presto el recinto el gobierno??? Pues si por que intercambiamos auditoria por un recinto donde poder dar nuestras charlas de otra manera no hubiéramos podido ya que a nosotros no nos prestan lugares por no ser de una universidad, a empresas como cuadrado yo personalmente fui varias veces a mostrarles las fallas que corrían para ofrecerles cubrirlas sin costo y jamás me recibieron por que estaban muy ocupados como para atender a un auditor local. Y bueno ojala algún día puedas aportar vos algo al open source como lo que hizo Castro (el jujeño), o Sarabia o Mauro Torres, por que asta ahora solo los he escuchado hablar. Nosotros fuimos los primeros en mostrar a lo que los administradores se atienen cuando plantan una red sin seguridad, me encantaría ver alguna vez alguna charla de UD. Sobre seguridad pero no de teoría bajada de la Internet, sino de auditorias propias o de cosas con las que se encuentran en un auditor en la vida real. Y ni hablar de que me encantaría que alguna vez me demuestren sus verdaderos conocimientos del tema  si están de acuerdo me gustaría invitarlos incluso a dar un tema de seguridad IT en nuestro próximo evento en corrientes, el cual no tendrá ningún costo, si todo sale bien, invitaremos a estos desarrolladores que estuvieron criticando los cuales son conocidos en todo el mundo. Chicos lejos me interesa crear un conflicto de nada, por que esto no vale la pena en lo mas mínimo, incluso siempre hemos estado dispuesto a ayudar en todo lo que tenga que ver con el software libre y si bien es verdad no somos ni estudiantes de sistema de la UNNE ni de la UTN, aportamos mucho mas que gente con títulos, por ejemplos las fallas que tenemos publicado en la BuqTraq, o las charlas gratuitas de software libre que damos o el desarrollo de software para ciencia cladista para la comunidad científica argentina o el alojamiento de servidores que damos a la gente de ciencia de forma completamente gratuita en argentina, ya que es un sector muy golpeado y sin recursos o los ciclos de charlas sobre Seguridad y GNU-Linux que damos para los alumnos de la UNNE de forma completamente gratis . En cambio me encantaría saber quienes nos critican tanto en que han aportado al software libre, más que pavonearse de que usan un sistema GNU-Linux.
Bueno chicos espero darle un corte ya a esto de todas maneras no voy a postear mas por que no vale la pena, y como dije por que realmente no tengo tiempo para esto, prefiero usarlo mejor en programar o seguir con nuestros proyectos, saludos a todos y que sigan bien, abrazo
Pedro Matías Cacivio
director de Instel & Seguridad

Unknown dijo...

Bueno, suficientes palabras para el tema, como dijo Pedro, lo hablamos y se conversó bien en un ambiente sin el apuro típico de una charla en vivo donde las palabras no siempre salen como uno espera y no hay tiempo para replantear, justificar y/o fundamentar letra por letra lo que se dice.

Algunas cosas del evento, por las que Pedro habló, son para las disculpas y eso ya está ahora. Yo también aporté algunos errores en el posteo inicial y está claro que hablando llegué a entender que no todo el evento fue negativo, sino al contrario, erré en generalizar y por eso ya he brindado mis sinceras disculpas.

Está claro también lo de "no se puede hacer nada" que es claramente una expresión sacada de contexto, Pedro y su empresa se dedican al negocio de la seguridad IT porque justamente mucho se puede resolver con el consejo de un buen especialista.

En cuanto a las demostraciones, es en realidad una cuestión cuasi-filosófica en la comunidad INFOSEC. ¿Dar a conocer o no una vulnerabilidad al público? Normalmente el consenso llega en el punto en que se considera que si la divulgación no incluye ningun medio/método práctico que permita reproducir el evento de vulneración de seguridad IT en algún sistema, entonces es válido dar a conocer dicha vulnerabilidad. Obviamente en las demostraciones aquí mencionadas, no se ha visto o ha sido muy poco lo visto (insufiente para que resulte útil para un usuario malicioso), sobre la metodología concreta (el código de un exploit específico, etc.) utilizada para las demostraciones; sí en cambio se ha dejado claro que la existencia de las vulnerabilidades y se ha explicado en detalle sus implicaciones.

Creo que ya podemos darnos por satisfechos en la discusión y comentario del evento, destacando siempre que la seguridad IT siempre que se toca con el público adquiere un tinte un poco "oscuro", más que nada por las demostraciones de técnicas y teoría utilizadas por los usuales delincuentes.

Gracias a todos por el interés mostrado en comentar, como ya dije todos los comentarios agregan un punto de vista y son respetables, pero tengo que cerrar en algún momento este tema porque a largo plazo se pierde el beneficio de un contexto claro para las opiniones. De nuevo, gracias por su tiempo a los que escribieron.