La sexta edición de PERÚHACK, conferencia anual de ciberseguridad ofensiva que reúne a hackers peruanos y extranjeros con el propósito de intercambiar conocimiento sobre las últimas técnicas de hacking y ataques informáticos, constituyó un “éxito total”, según los organizadores del certamen.
Al encuentro, realizado el 11 de mayo último en el distrito limeño de San Isidro, acudieron consultores, profesionales en TI, administradores, técnicos y estudiantes, todos interesados en intercambiar, aprender y actualizar conocimientos.
PERÚHACK se caracteriza por compartir datos netamente técnicos. Los hackers invitados dictan las charlas de seguridad desde el punto de vista del atacante indicando a los informáticos asistentes cómo proceder para proteger la información de su organización.
Estas charlas y talleres también sirven para colocar a la empresa en el lado ofensivo. Es decir, ya no esperan ser atacados para defenderse sino más bien ya están listos y preparados antes del ataque.
Este año la programación de los ponentes y los temas fueron pensados para que el público asistente tome conciencia que la ciberseguridad debe existir, no solo en el ámbito laboral sino también en todos los aspectos de su vida cotidiana.
Juampa Rodríguez y Ariel Guzmán de Bolivia dictaron la conferencia sobre “pentest” (pruebas de penetración) a través de la herramienta “Infayer Framework” la misma que se puede conseguir en forma gratuita a través del sitio web “github.com/infayer”.Desarrollado por el equipo de “Moebius Security”, “Infayer Framework” es una herramienta que permite automatizar tareas rutinarias del pentesting, permitiendo agilizar todo el proceso dentro de una auditoria de seguridad.
“La principal virtud de Infrayer Framework es hacer totalmente todo veloz, simplemente hay que darle la orden de lo que se quiere hacer y lo hace”, indicaron los desarrolladores bolivianos.
Según Juampa Rodríguez, lo único que se necesita para el manejo de la herramienta es “saber leer, no tiene que tener ningún nivel, la herramienta es bastante sencilla, va por codificación de números, si te pide cero, mayúscula etc. tienes que darle lo que pide”.
El informático Ricardo Berrospi fue el primer “Ethical Hacker” peruano certificado en Estados Unidos, quien expuso sobre la explotación de vulnerabilidades en “Oracle WebLogic”, que es un servidor de aplicaciones Java, utilizado para alojar servicios, páginas webs, etc. “Es un producto bien posicionado dentro del mercado que ofrece protección, manejo grande de usuarios, que son usadas por bancos, mineras, entre otros”, indicó el experto.
Patricio Castagnaro, de Argentina, fue otro de los invitados a PERÚHACK, quien brindó alcances sobre una aplicación denominada “FRIDA”, la cual permite hacer una instrumentalización en lo que son las aplicaciones tanto “Mobile” como también para aplicaciones multiplataforma, es decir, para Windows, Linux, Unix, etc.
La culpa es del programador, fue el tema que dictó Saúl Mamani de Bolivia, quien analizó el grado de responsabilidad que tiene el programador en el diseño seguro de las aplicaciones.
“Cuando el desarrollador no valida datos en los formularios, ocurren problemas como SQL injection (ataque a una base de datos), cross site scripting (agujeros de seguridad) entre otros. Es fácil evitar esta situación si tan solo el programador se enfocara en la seguridad de la aplicación y no solo en cumplir requerimientos funcionales”, explicó Mamani.
“Hoy presenté -dijo- una herramienta de mi autoría llamada Muña, la cual pueden conseguir a través de la siguiente dirección web: github.com/muña; esta aplicación se encuentra llena de agujeros de seguridad, que sirven, básicamente, para aprender a atacar aplicaciones vulnerables. Tiene dos opciones, ataque y defensa, para que cualquier expositor, profesor o alumno, pueda practicar y utilizar la aplicación a su gusto”, indicó el experto boliviano.
Elise Cieza y Vitor Esperança, ambos de Brasil, dictaron la charla “Soy administrador de dominio, ¿y ahora?”.
“Muchas pruebas terminan cuando eres el administrador o controlador del domino, pero lo que hacemos no termina cuando logras la obtención de esa credencial que es la máxima permisión dentro de una red –comenzó su intervención Elise- nuestro trabajo empieza cuando recién se obtiene esa permisión. Tienes que llevar un resultado óptimo para que el cliente entienda cómo un hacker, un atacante en la vida real, pueda hacer daño dentro de la organización”.
“Es una tarea difícil –prosiguió- las empresas son un poco reacias cuando el administrador les pide potestad para hacer las pruebas de intrusión y así tener la libertad de atacar, no solo la tecnología, sino también a las cuentas personales, haciendo llamadas y enviando correos falsos, etc. Es un poco raro ver compañías que acepten hacer ese tipo de pruebas pues hay mucho temor de parte de los clientes, toda vez que está de por medio mucha información sensible y confidencial”, señaló Cieza.
Las conferencias de ésta última versión de PERÚHACK, a cargo de expertos informáticos peruanos como William Marchand “Desplazamiento Lateral 101”, Juan Oliva “Attacks In Depth for Web Applications”, y Óscar Martínez “Pentesting de Aplicaciones Móviles”, serán consignadas en las siguientes ediciones de Perú Ciberseguro.