Ya en una anterior entrada les introduje sobre este evento llamado “Semana de la Seguridad de la Información”, que en este 2017 ya cumple su tercera edición, por tanto, lo que os redacto en esta líneas es básicamente una pequeña reseña de como ha ido la primera jornada de esta actividad universitaria.
Bueno yo me dí cita bastante temprano en el punto indicado, pero no fue hasta las 19:35 aproximadamente, que arrancó el evento. Después una breve bienvenida por parte de los responsables del Postgrado de Informática de la UMSA, el encargado de abrir estas jornada fue Cesar Cuenca (@ccuencad), quien es parte de la organización. Sus primeras palabras fue de agradecimiento para las personas que se dieron cita el día de ayer al evento, que por cierto, se quedó considerablemente pequeño para la cantidad de gente que se dio cita. Incluso hubo gente que no pudiendo acceder a la llamada aula Stallman, se quedó en la puerta simplemente escuchando lo que se presentaba. Una verdadera pena por ellos, espero que hoy tengan mejor suerte.
Volviendo a Cesar, su charla se llamó “Ethical Hacking a Entidad Financiera: Caso Real”, que inicialmente a modo de introducción nos habló sobre lo que es un Hacker y cual es la ética del mismo. Desde su punto de vista indicó que todavía existen personas que creen que un Hacker es un delincuente, por supuesto una apreciación totalmente errónea. Básicamente fueron 15 o 20 minutos de introducción, lo cual no vino nada mal para aquellas persona que empiezan a tomar contacto con el tema de la seguridad, que por supuesto, siendo un evento en la universidad, gran parte de los asistentes eran estudiantes. Considero que al menos el 90% de asistentes eran estudiantes y el resto eran profesionales. En cualquier caso, mal no nos vino mal repasar conceptos básicos.
Ya posteriormente llegó el momento de hablar sobre el “Caso Real”, que por supuesto, teniendo en cuenta los acuerdos de confidencialidad que se firman con las entidades que se auditan o evalúan, le tocó indicar que todos los datos que a continuación iban a ser presentados, habían sido ofuscados y ocultada la identidad integra de los mismos. Incluso el nombre de institución que se presentaba en esta charla fue cambiado a “Banco de la Fortuna”. Curioso nombre para una EEFF.
Ya posteriormente llegó el momento de hablar sobre el “Caso Real”, que por supuesto, teniendo en cuenta los acuerdos de confidencialidad que se firman con las entidades que se auditan o evalúan, le tocó indicar que todos los datos que a continuación iban a ser presentados, habían sido ofuscados y ocultada la identidad integra de los mismos. Incluso el nombre de institución que se presentaba en esta charla fue cambiado a “Banco de la Fortuna”. Curioso nombre para una EEFF.
La evaluación de seguridad realizada a esta institución fue bastante jugosas en temas de resultados obtenidos. Normalmente es lo que todo consultor de seguridad aspira a conseguir cuando hace un Ethical Hacking. Nos fue hablando de la metodología que se empleo y los vectores de explotación que se emplearon, los cuales les dieron ventaja para obtener los resultados. Nos hablo de como le había ido en etapas iniciales de reconocimiento y escaneo, en la fase externa del Ethical Hacking. Ya posteriormente nos comentó sus experiencia y anécdotas acontecidas en la fase interna del Ethical Hacking, en donde hubo un mayor logro de “banderas”. Se logró obtener acceso a los directorios compartidos de algunos funcionarios de la institución, en estos mismo directorios, se consiguieron contraseñas de acceso a distintos sistemas alojadas en documentos de texto plano (algo increíble que pueda seguir sucediendo en nuestro días), a través de ataques de tipo Man in the Middle (MitM) se logró obtener credenciales privilegiadas con acceso al Core de la institución (sistema crítico y prioritario) y algunos otros hallazgos más.
En definitiva, fue una interesante charla que puso a todos los asistentes en satisfacción de haber asistido a esta actividad (es mi apreciación personal).
Después de una breve pausa, llegó mi turno (@3thical7ucking), yo era el encargado de dar la segunda charla de la noche y bueno, el nivel ya era alto.
En definitiva, fue una interesante charla que puso a todos los asistentes en satisfacción de haber asistido a esta actividad (es mi apreciación personal).
Después de una breve pausa, llegó mi turno (@3thical7ucking), yo era el encargado de dar la segunda charla de la noche y bueno, el nivel ya era alto.
Mi charla la titulé “El Ciberespacio: La Guerra de los Mundos” y bueno, en ella abarqué temas de lo que se conoce como ciberseguridad, revisando ejemplos y casos prácticos de amenazas y alertas actuales en materia y un poco del “Intelligence” que hice de los mismo. En realidad y conociendo el público receptor, me preparé una presentación bastante dinámica y buscando conseguir la participación e interacción de los asistentes. Y bueno, fue bastante bien en este sentido.
Como es habitual en mí, el factor tiempo me jugó en contra y ya los últimos minutos de charla los tuve que hacer “a toda pastilla”. En fin, me encontré cómodo dando la charla y sobre todo me llevé la sensación de que a los asistente les gustó mi exposición. Ya en una próxima entrada, además de dejar pública mi presentación, desglosaré un poco más el contenido de mi charla. Y nada, hoy tendremos dentro de menos de un par de horas, la continuación de la semana de la seguridad de la información con 2 charlas más. A los que podáis acercaros a la UMSA, hacedlo pronto para que no os quedéis en la puerta. Mañana os cuento como ha ido.
Autor: UnD3sc0n0c1d0
Playlist: Terrorizer - Live Hellfest 2016 (https://youtu.be/Qo1EL8rVmcE)
Como es habitual en mí, el factor tiempo me jugó en contra y ya los últimos minutos de charla los tuve que hacer “a toda pastilla”. En fin, me encontré cómodo dando la charla y sobre todo me llevé la sensación de que a los asistente les gustó mi exposición. Ya en una próxima entrada, además de dejar pública mi presentación, desglosaré un poco más el contenido de mi charla. Y nada, hoy tendremos dentro de menos de un par de horas, la continuación de la semana de la seguridad de la información con 2 charlas más. A los que podáis acercaros a la UMSA, hacedlo pronto para que no os quedéis en la puerta. Mañana os cuento como ha ido.
Autor: UnD3sc0n0c1d0
Playlist: Terrorizer - Live Hellfest 2016 (https://youtu.be/Qo1EL8rVmcE)
No hay comentarios:
Publicar un comentario