Categoría: EVENTOS

Compartir el conocimiento en Ciberseguridad y democratizarlo, fue el principal objetivo de la reunión anual “Ocho punto Ocho (8.8)”, celebrada en Lima el 12 de setiembre último en la Alianza Francesa de Miraflores, en un clima de sana distención y confraternidad.

Ciberseguridad y cultura pop

Según Gabriel Bergel, fundador y principal impulsor de la cita, celebrada en distintos países de América Latina, el “8.8” apuesta por las tecnologías abiertas y en compartir el conocimiento, crear comunidad y ocupar el poder de la colaboración colectiva y “todo esto en un ambiente relajado y siempre aludiendo a la cultura pop”.

Confraternizar y compartir conocimientos, es la principal norma que anima la realización del 8.8, indica Gabriel Bergel.

El nombre de la cita “8.8”, fue así denominada luego del terremoto acaecido en Chile en el 2010 y que tuvo tal magnitud en la escala de Ritcher (8.8). Bergel, experto en seguridad informática, y quienes lo secundaron en la gesta, decidieron nombrar de esa forma a la reunión pues “queríamos producir un remezón en la comunidad con una conferencia hacker”.

En ésta última reunión celebrada en Lima, y cuya denominación completa fue “8.8 Computer Security Conference, Infinity”, expertos en ciberseguridad de México, Argentina, Colombia y Perú analizaron e intercambiaron experiencias relacionadas a los ciberataques que viene soportando el sector financiero en nuestra región.

Los participantes, atentos a cada exposición, las mismas que pugnaron por cubrir todas las expectativas.

“El rubro financiero siempre ha sido el más atacado y a la vez, es el más regulado, ya que posee el activo más preciado por los ciberdelincuentes, el dinero”, afirmó Gabriel Bergel a propósito de la temática planteada en la mayoría de las conferencias.

“No fue un tema escogido con antelación, sin embargo, las ponencias que llegaron mostraron una marcada tendencia en este rubro y es porque desde hace tres años –me atrevería a decir–, hemos sufrido muchos ciberataques y brechas en este ámbito, este año le tocó a México, Chile y Perú entre otros… lo más alarmante es que esta tendencia no va a bajar, al contrario, sucederán más ciberataques y debemos estar preparados”, afirmó el fundador del Ocho punto Ocho.

La intervención de Patricia Pantigoso, puso en relieve la participación de la mujer en temas de ciberseguridad.

En ese contexto, la conferencia denominada “Domain Admin, en donde empieza todo” los expertos peruanos Patricia Pantigoso y Jorge Córdova, analizaron la situación de la seguridad informática del sector financiero (Banking Security), bajo la tesis “es posible acceder a otros sistemas y aplicaciones mediante técnicas de escalamiento de privilegios y movimiento lateral, entre otras”.

Otro experto peruano en ciberseguridad, César Farro, brindó la conferencia “¿Por qué monitorear tu red?”, en donde expuso la necesidad de una actitud de prevención e investigación de incidentes por parte de los responsables de la seguridad, luego de los ataques informáticos contra las entidades financieras y otras empresas en Latinoamérica.

En alguna ocasión, la ronda de preguntas generó un auténtico y cordial debate.

En la misma línea de exposiciones, plantearon sus participaciones en el “8.8” el colombiano Jaime Restrepo y su disertación “Malware Bancario, historia de un robo real”, el mexicano Paulino Calderón y su charla “Derrotando a changos con scanners”, o el argentino Gaston Toth y su conferencia “Web apps… little mistakes, big problems” (Aplicaciones web… pequeños errores, grandes problemas).

Por su parte, el experto peruano Jean Del Carpio Foronda expuso el tema “Analizando el comportamiento de un Ransomware Zero Day – En Vivo”, presentación orientada a mostrar de manera práctica cómo un ransomware ataca un sistema. Del Carpio analizó las acciones que éste realiza al infectar una PC, como la encriptación de archivos, envío de mensajes, creación de otros malwares, registros y demás.

Como es tradición en el 8.8, al final de cada exposición, se sortearon libros sobre ciberseguridad. Claro, el feliz ganador, debía responder una pregunta para demostrar que estuvo atento a la conferencia.

Hackeando autos

Aunque apartada del tenor de las otras conferencias –pero no menos importante–, fue la ponencia “The Bicho: An Advanced Car Backdoor Maker”, planteada por el argentino, experto en ciberseguridad, Claudio Caracciolo.

El experto argentino, Claudio Caraciolo, sentó auténtica cátedra con la puesta en evidencia de la posibilidad de hackear automóviles.

La tesis del especialista inició con la interrogante “¿Alguna vez te imaginaste la posibilidad de que tu auto sea atacado automáticamente en base a sus coordenadas GPS, su velocidad actual o cualquier otro conjunto de parámetros?”, el experto demostró, tras una extensa investigación, el exitoso desarrollo de un hardware “backdoor” para el bus CAN, llamado “The Bicho” que hace posible este tipo de hacking.

“La magia está en el firmware que desarrollamos para un microcontrolador PIC18F2580. Adicionalmente, ‘The Bicho’ cuenta con un software llamado ‘Car Backdoor Maker’ que permite la personalización de los payloads de ataque a través de una interfaz gráfica muy intuitiva”, explicó Caracciolo.

Gabriel Bergel: “La cita en Lima, cumplió con sus objetivos y expectativas”.

Jaime Restrepo: “Aunque queda mucho tramo por recorrer, la comunidad latinoamericana empieza a tomar en serio la seguridad informática”

Jean Del Carpio: Analizó, en vivo, el comportamiento de un Ransomware”

César Farro: “Ante los constantes ciberataques, monitorear la red en forma permanente, es una necesidad”.

Patricia Pantigoso: Aunque fue su primera vez como ponente, reafirmó la presencia de la mujer en el campo de la ciberseguridad.

Paulino Hernández: “No se está haciendo el esfuerzo necesario para capacitar a las nuevas generaciones en seguridad informática”.

Jorge Córdova: “Los ataques al sector financiero, serán cada vez más frecuentes y más especializados”.

La sexta edición de PERÚHACK, conferencia anual de ciberseguridad ofensiva que reúne a hackers peruanos y extranjeros con el propósito de intercambiar conocimiento sobre las últimas técnicas de hacking y ataques informáticos, constituyó un “éxito total”, según los organizadores del certamen.

Al encuentro, realizado el 11 de mayo último en el distrito limeño de San Isidro, acudieron consultores, profesionales en TI, administradores, técnicos y estudiantes, todos interesados en intercambiar, aprender y actualizar conocimientos.

PERÚHACK se caracteriza por compartir datos netamente técnicos. Los hackers invitados dictan las charlas de seguridad desde el punto de vista del atacante indicando a los informáticos asistentes cómo proceder para proteger la información de su organización.

Estas charlas y talleres también sirven para colocar a la empresa en el lado ofensivo. Es decir, ya no esperan ser atacados para defenderse sino más bien ya están listos y preparados antes del ataque.

Este año la programación de los ponentes y los temas fueron pensados para que el público asistente tome conciencia que la ciberseguridad debe existir, no solo en el ámbito laboral sino también en todos los aspectos de su vida cotidiana.

Juampa Rodríguez y Ariel Guzmán de Bolivia dictaron la conferencia sobre “pentest” (pruebas de penetración) a través de la herramienta “Infayer Framework” la misma que se puede conseguir en forma gratuita a través del sitio web “github.com/infayer”.Desarrollado por el equipo de “Moebius Security”, “Infayer Framework” es una herramienta que permite automatizar tareas rutinarias del pentesting, permitiendo agilizar todo el proceso dentro de una auditoria de seguridad.
“La principal virtud de Infrayer Framework es hacer totalmente todo veloz, simplemente hay que darle la orden de lo que se quiere hacer y lo hace”, indicaron los desarrolladores bolivianos.

Según Juampa Rodríguez, lo único que se necesita para el manejo de la herramienta es “saber leer, no tiene que tener ningún nivel, la herramienta es bastante sencilla, va por codificación de números, si te pide cero, mayúscula etc. tienes que darle lo que pide”.

El informático Ricardo Berrospi fue el primer “Ethical Hacker” peruano certificado en Estados Unidos, quien expuso sobre la explotación de vulnerabilidades en “Oracle WebLogic”, que es un servidor de aplicaciones Java, utilizado para alojar servicios, páginas webs, etc. “Es un producto bien posicionado dentro del mercado que ofrece protección, manejo grande de usuarios, que son usadas por bancos, mineras, entre otros”, indicó el experto.

Patricio Castagnaro, de Argentina, fue otro de los invitados a PERÚHACK, quien brindó alcances sobre una aplicación denominada “FRIDA”, la cual permite hacer una instrumentalización en lo que son las aplicaciones tanto “Mobile” como también para aplicaciones multiplataforma, es decir, para Windows, Linux, Unix, etc.

La culpa es del programador, fue el tema que dictó Saúl Mamani de Bolivia, quien analizó el grado de responsabilidad que tiene el programador en el diseño seguro de las aplicaciones.

“Cuando el desarrollador no valida datos en los formularios, ocurren problemas como SQL injection (ataque a una base de datos), cross site scripting (agujeros de seguridad) entre otros. Es fácil evitar esta situación si tan solo el programador se enfocara en la seguridad de la aplicación y no solo en cumplir requerimientos funcionales”, explicó Mamani.

“Hoy presenté -dijo- una herramienta de mi autoría llamada Muña, la cual pueden conseguir a través de la siguiente dirección web: github.com/muña; esta aplicación se encuentra llena de agujeros de seguridad, que sirven, básicamente, para aprender a atacar aplicaciones vulnerables. Tiene dos opciones, ataque y defensa, para que cualquier expositor, profesor o alumno, pueda practicar y utilizar la aplicación a su gusto”, indicó el experto boliviano.

Elise Cieza y Vitor Esperança, ambos de Brasil, dictaron la charla “Soy administrador de dominio, ¿y ahora?”.

“Muchas pruebas terminan cuando eres el administrador o controlador del domino, pero lo que hacemos no termina cuando logras la obtención de esa credencial que es la máxima permisión dentro de una red –comenzó su intervención Elise- nuestro trabajo empieza cuando recién se obtiene esa permisión. Tienes que llevar un resultado óptimo para que el cliente entienda cómo un hacker, un atacante en la vida real, pueda hacer daño dentro de la organización”.

“Es una tarea difícil –prosiguió- las empresas son un poco reacias cuando el administrador les pide potestad para hacer las pruebas de intrusión y así tener la libertad de atacar, no solo la tecnología, sino también a las cuentas personales, haciendo llamadas y enviando correos falsos, etc. Es un poco raro ver compañías que acepten hacer ese tipo de pruebas pues hay mucho temor de parte de los clientes, toda vez que está de por medio mucha información sensible y confidencial”, señaló Cieza.

Las conferencias de ésta última versión de PERÚHACK, a cargo de expertos informáticos peruanos como William Marchand “Desplazamiento Lateral 101”, Juan Oliva “Attacks In Depth for Web Applications”, y Óscar Martínez “Pentesting de Aplicaciones Móviles”, serán consignadas en las siguientes ediciones de Perú Ciberseguro.

La seguridad en las tecnologías de la información se ha convertido en una de las mayores preocupaciones para las empresas.

La eterna bronca

Desde tiempos inmemorables la lucha del bien contra el mal –la luz y la oscuridad, el ying y el yang, etc.– se ha librado de manera constante a lo largo de la historia de la humanidad. Tales enfrentamientos se han volcado al ámbito informático actual, en lo que llamamos la guerra por la información.

En los últimos años el Internet ha ingresado de manera arrolladora en la vida diaria de empresas, negocios, casas, etc. Con la red controlando prácticamente todo, la seguridad en las tecnologías de la información (TI), se ha convertido en una de las mayores preocupaciones de las empresas y del público en general.

Siendo el sector empresarial el más preocupado en resguardar su información ante cualquier ataque malicioso (como el ransomware), actualmente existe la necesidad de contar con una completa plataforma de seguridad, que sea capaz de proteger toda su infraestructura empresarial, datos e información sensible e importante ya que podría ser usado en su contra por la competencia si son hackeados.

Los servicios de los denominados “Hackers de sombrero blanco”, o informáticos que vulneran los sistemas de seguridad por encargo de la propia empresa , tienen cada vez mayor demanda.

Hacking ético

Para prevenir estos peligros, las empresas se hallan en la necesidad de contratar los servicios de profesionales en seguridad de la información, quienes hacen una “auditoría” al sistema. A dicha actividad se le conoce como “hacking ético” o “pruebas de penetración”, las mismas que detectaran dónde se encuentra el peligro o la vulnerabilidad de la empresa.

Estos “hackers de sombrero blanco” (llamados así porque en las películas del lejano oeste norteamericano, “far west”, el bueno siempre suele llevar uno así), asumen el papel de un ciberdelincuente simulando, mediante sus programas, atacar a la empresa con el objetivo de evaluar cuál es el estado real de su seguridad TI.

Es imprescindible contar con la autorización de la empresa, mediante un contrato donde queden plenamente estipuladas las obligaciones que debe cumplir el auditor como es la confidencialidad, integridad, secreto profesional, límites de la auditoría, etc. El resultado final indicará los puntos débiles de la empresa y qué pasos deben realizar para eliminar dichas debilidades o mitigarlas.

PERUHACK

PERUHACK es una conferencia anual sobre ciberseguridad dedicada a instruir en técnicas avanzadas de hacking y ataques informáticos.

Anualmente se realizan conferencias sobre el Hacking Ético en diversas partes del mundo, congregando cada año mayor cantidad de asistentes, que encuentran en estos eventos, respuestas a sus inquietudes. Grupos de hacker de sombrero blanco dictan una serie de charlas sobre distintos temas relativos a la seguridad TI. En Argentina tenemos el “Ekoparty”, en Chile el “8.8”, en Colombia el “Colombia 4.0” y en Perú el “PERUHACK”.

“Luego del éxito de años anteriores, PERUHACK se consolida como la única conferencia 100% técnica, que muestra la seguridad desde la perspectiva de un atacante, lo que permite a los profesionales de seguridad informática y seguridad de la información, conocer sus técnicas y cómo actuar para proteger a sus organizaciones. Esta conferencia va dirigida a personas interesadas en seguridad de la información, desarrolladores de sistemas, estudiantes, hackers, y otros… este año el PERUHACK se realizará el 11 de mayo en el Hotel Meliá”, finalizó.

Grover Córdova, gerente general de Security Labs y miembro del comité organizador del certamen.