2013/04/07

Owasp Latam Tour 2013 BsAs

Comparto mi opinión y experiencia en el citado evento [1]. Salvo el que yo expuse, que dada mi posición no puedo evaluar objetivamente, me parecieron todas las exposiciones muy buenas, detallo cualquier desviación y detalle especial luego.

La organización impecable, normalmente en todos los eventos tengo ocasión de refunfuñar por algo, no esta vez. El cronograma no fue tan violado como en el 2012, buenísismo!


Trucos para jugar con la criptografía en los desarrollos

Cristian Borghello

De un modo un tanto rápido y superficial, coherente con el poco tiempo, mostró criptografía con claves privadas y públicas y luego hashing y cual es su papel en un desarrollo web.

CMS el paraíso de los atacantes

Claudio Caracciolo

Presentó de modo general los resultados que "otras personas" obtuvieron tras explorar el espacio de ips de Ecuador y Argentina, mostrando el buen criterio que habría que tener al usar un CMS no corporativo.

Hacking the Cloud

Matias Katz

Mostró la experiencia de ownear a un proveedor de servicios cloud (a pedido del mismo proveedor), extremadamente divertido.

Secure infrastructure as code: How I built w3af.org [2]

Andres Riancho


Explicó el punto de vista de considerar el despliegue como si fuera un proyecto de software, con versiones y tests. Lo que él hizo fue aplicarlo a w3af.org, el sitio relacionado a la aplicación de pentesting w3af.

La idea es que todas las acciones de despliegue, ya sea creación y activación de imágenes en Amazon, instalación de dependencias, configuración del sistema operativo, configuración del sitio y restauración a partir de un backup sean ejecutadas mediante scripts. Esto permite tener un set de scripts versionable.

A esto se le suman tests de seguridad como ser controlar que sólo estén abiertos los puertos que se espera estén abiertos mediante la invocación de nmap, probar que las constraseñas de los servicios no sean las que vienen por default y cosas similares.

Lo que me llamó la atención fué que aunque contrastó bastante con las charlas anteriores en términos de colorido, fué la que más preguntas generó.

Del USB a la web: cómo tu sitio propaga malware[3]

Pablo Ramos

Fue una exposición en mi opinión muy marketinera, sin sorpresas, pero interesante al dar luz sobre el interior de un laboratorio como el de ESET.

 

Test Driven Secure Development[4][5]

Carlos Pantelides

Por algún motivo que no he dilucidado aun, estaba en estado de pánico escénico total. Esto produjo que comenzara de modo disperso y me olvidara de mencionar algunos puntos primordiales:

La demo se detiene cuando el modo de test comienza a meterse de modo cualitativo en la aplicación, cosa que yo ya sabía, pero debía decirlo.

Tampoco mencioné mis objetivos, que aunque más o menos se pueden deducir, viene bien explicitarlos:

  • Mostrar a quien no conoce que es TDD
  • Mostrar como se puede incorporar en el día a día de TDD seguridad
  • Recalcar que seguridad es un aspecto de calidad. Al código de calidad  se le puede agregar seguridad pero al código seguro sin calidad no se le puede mantener al seguridad

De todos modos en las próximas semanas, teniendo más tiempo y habiendo transitado esta experiencia, probablemente voy a mostrarla completa en la reunión del del lunes 13 de mayo, 18:30 en el MUG y en SVC algún otro día. Si alguien quiere asistir, me avisa.


De POET a CRIME y los BEASTies que se vienen

Juliano Rizzo

Hizo un repaso por sus grandes éxitos, realmente muy revelador, pude entender bien en que consiste el ataque crime, no me comprometo, pero intentaré implementarlo.


Problematicas en el Ciclo de Vida de Desarrollo seguro Panel de Oradores

Cristian Borghello, Hernan Raciatti, Fabio Cerullo, otro caballero que no recuerdo el nombre y con la moderación de otro que tampoco recuerdo.

Estos paneles no me resultan muy satisfactorios, prefiero mil veces los diálogos y discusiones que se dan en los agile open[6] con formato open space[7]. En realidad todo el evento adolesce de esta falencia, la falta de participación general. El que expone no se lleva casi nada, el público no llega a opinar y preguntar todo lo que tiene. Aunque haya información de alta calidad, es la catedral.

Sigo apostando a que los Agile Open Seguridad [8] [9] [10] prosperen, a ver si este año logramos que salgan del estado larvario.




[1] www.owasp.org/index.php/LatamTour2013 -> Buenos Aires
[2] www.owasp.org/index.php/LatamTour2013-SecureInfrastructureAsCode
[3] www.owasp.org/index.php/LatamTour2013-USBalaweb_Malware
[4] www.owasp.org/index.php/LatamTour2013-TDSD
[5] seguridad-agile.blogspot.com.ar/2012/09/cafein.html
[6] www.agiles.org/agile-open-tour
[7] www.agiles.org/agile-open-tour-open-space-technology
[8] www.agiles.org/agile-open-tour/agile-open-buenos-aires-2010---seguridad
[9] www.agiles.org/agile-open-tour/agile-open-buenos-aires-2011---seguridad
[10] www.agiles.org/agile-open-tour/agile-open-buenos-aires-2012---seguridad

2 comentarios:

  1. Hola Carlos, avisame si lanzas de nuevo el tema de Test Driven Secure Development.

    Bueno el resumen para los que no pudimos asistir

    ResponderEliminar
  2. Ros, difícil, me cansa mucho el lidiar con los aspectos organizativos, fundamentalmente conseguir el lugar, lo de Adrián, Oscar y Carlos del MUG fué un regalo. Convocar a la gente me estresa mucho, sobre todo cuando viene la mitad de los que se inscriben. Ahora voy a empeñar todo mi esfuerzo en el Agile Open. Además no me gusta el formato, preferiría hacer algo tipo workshop. Aún así, si conseguís un lugar y un grupo interesado, voy.

    ResponderEliminar