Tal y como informábamos en una reseña anterior, se está celebrando en Barcelona estos días 16 y 17 (después de los talleres del lunes y el martes) las Conferencias Source. El equipo de Hacktimes.com no ha querido perderse el evento, así que allí hemos estado y... ¡participado! Durante la primera jornada, de la parte de charlas en español a las que pudimos asistir (también había ponencias en inglés, en sala aparte) cabe destacar el alto nivel de los ponentes y lo interesante de los temas tratados. A modo de resumen, comentamos las impresiones más destacados de cada una de ellas:

- WFUZZ para Penetration Testers: a Christian Martorella y Javier Méndez les tocó la dura tarea de iniciar las Conferencias. Aprovecharon para presentar las novedades de su herramienta WFUZZ y explicar cómo han madurado la misma con el paso del tiempo y las nuevas versiones que van publicando. Muy interesante y muy curioso ver todas las virguerías que puede hacer WFUZ. Personalmente, y entre otras muchas funcionalidades, me encantó la posibilidad de realizar ya directamente las capturas de pantalla de la auditoria y la flexibilidad y potencia de WFUZZ.

Más información en: http://edge-security.blogspot.com

- All Your Crimeware Are Belong To Us!: nuestro compañero Manu Quintans y Frank Ruíz expusieron una de sus últimas investigaciones destinadas a combatir el malware. Una charla simpática y original a la vez que interesantísima en la que explicaron cómo se detecta el malware, de qué forma se organizan y trabajan las mafias rusas y cómo combatirlas. Un repaso al origen e historia de la aparición de lo que se entiende por malware y los diferentes pasos seguidos en la investigación. Emocionante momento al ver el logo de Hacktimes a lo largo de la presentación, gracias Manu!!!! Demostraron que el área de ecrime de Section9 Security, la empresa donde actualmente trabajan, está en inmejorables manos.

- Canales Cubiertos en Redes Sociales: antes de la comida, José Selvi explicó cómo aprovechar covert channels en la capa de aplicación para, a través de redes sociales, y Facebook en concreto e incluso otras aplicaciones Web, llegar a las estaciones de trabajo de los usuarios. Presentó su herramienta Facecat (Facebook NetCat) que utiliza la red de Facebook como pasarela por la cual la información es transmitida desde el equipo del usuario de Facebook hasta el servidor indicado. Casi imposible de detectar y bloquear por los mecanismos tradicionales de filtrado corporativos. Muy interesante.

Más información en: http://www.pentester.es

- Show Me Your Kung-Fu: llegó la tarde y Sebastián Guerrero nos introdujo en el mundo del malware para dispositivos móviles basados en el Sistema Operativo de Google, Android. Muy útil el repaso que se hizo a la estructura de Android y de las diferentes herramientas disponibles para testear aplicaciones en máquinas virtuales y también para hacer forensics de un dispositivo móvil y cómo descargarse cualquier aplicación del Android Market sin necesidad de pasar por caja.

- Steganography: la tarde iba avanzando y Jordi Serra nos hizo una introducción de lo que la esteganografía ha ido haciendo hasta llegar a nuestros días: romanos, ingleses, nazis... la esteganografía lleva entre nosotros mucho tiempo y cada vez mejoran las técnicas para ocultar información y datos, ahora en dispositivos digitales como un archivo de audio o una imagen.

- Security Goodness with Ruby on Rails: Daniel Pelaez nos enseñó todo lo que puede dar de sí el framework para desarrollar aplicaciones Web, Ruby on Rails. Un amplio repaso a todas las funcionalidades existentes y numerosos consejos para utilizar Ruby On Rails y cómo protegerse de los ataques Web más típicos, como pueden ser Inyección de SQL (SQLi), Cross Site Scripting (XSS), etc.

- La calificación y su aplicación al cloud computing: Antonio Ramos presentó este interesante modelo, haciendo primero una introducción al concepto de "rating" o calificación, (que probablemente todos conocemos debido a las recientes noticias relativas a las agencias de rating financiero) y, posteriormente, profundizó en la aplicación del método a la hora de evaluar la seguridad y otros aspectos de un proveedor de servicios IT. Una charla muy interesante.

Más información en: http://www.leetsecurity.com

Al día siguiente, comenzaba la segunda jornada únicamente con charlas en inglés y el nivel de los temas tratados y de los ponentes iba en aumento. Lamentablemente, no pudimos asistir a las ponencias de la tarde y no las podemos comentar así que si alguien se anima que nos haga llegar su crónica o que añada un comentario a este artículo. De las charlas en las que sí que pudimos estar, destacamos lo siguiente:

- How NOT to do a Penetration Test: Stefan Friedli empezaba el día comentando lo que se entiende por un Test de Intrusión o Pentest y lo que no, siguiendo los pasos marcados por la metodología PTES (Penetration Testing Execution Standard). Con múltiples ejemplos de auditorias realizadas y su correspondiente informe explicó, de una manera muy amena y divertida, los errores más comunes que suelen darse en este tipo de proyectos: informes enormes, descripción de las vulnerabilidades encontradas inteligible, clarificación del riesgo en plan jeroglífico, etc. Charla más que interesante y a la que debería asistir algún que otro responsable de Seguridad de alguna empresa para comprender que es lo qué pide y paga y qué es lo que obtiene.

Más información en: http://www.pentest-standard.org

- There’s an App for That: Evolving Mobile Security into a Business Advantage: Josh Pennell explicó con múltiples ejemplos el estado de los smartphones o dispositivos móviles y los diferentes Sistemas Operativos (Android, RIM, IOS, Windows Mobile, etc.) ante el problema del malware y las vulnerabilidades existentes. Cuánto tardan las empresas desarrolladores en parchear los errores detectados (si lo hacen).

- Data Exfiltration - the way Q would have done it: antes de la comida, Iftach Ian Amit explicó cómo los delincuentes cibernéticos son cada vez más sofisticados en sus métodos de ataque usando, incluso, técnicas de exfiltración de datos. La exfiltración, o la exportación de datos, se realiza normalmente mediante la copia de información desde un sistema a través de un canal de la red, aunque los medios extraíbles o robo físico también pueden ser utilizados: impresoras, plataformas de VoIP y demás son más que susceptibles de recibir este tipo de ataques. Charla muy interesante por la facilidad de la exposición y por lo actual que es toda la pérdida de datos y cómo se pueden ver afectadas las empresas.

Después de haber visto muchas caras conocidas y otras no tanto (sobre todo para la parte internacional del evento), resulta inevitable destacar el papel de la organización para crear un evento único en materia de Seguridad en Barcelona. Mil gracias a los organizadores y colaboradores de las Conferencias Source, ánimo y a seguir así.