V OWASP Spain Meeting

owaspEl pasado 15 de Mayo dos miembros del equipo de seguridad lógica de S2 Grupo nos desplazamos a Barcelona para asistir al V OWASP Spain Meeting, donde como siempre pudimos asistir a conferencias de gran interés con ponentes de muy alta calidad:

1. Sintonizar la función de seguridad con el negocio (PDF). Alberto Partida, miembro del Advisory Board de SANS Institute y poseedor de un impresionante curriculum de certificaciones GIAC (entidad de certificación del SANS Institute), nos explicó la manera de compatibilizar los requisitos de seguridad con las necesidades del negocio, y nos explicó algunos trucos para aprender a mostrar la información a los directivos no tecnólogos de tal manera que entiendan a que riesgos se exponen, y nada mejor que ejemplificarlo con ejemplos de incidentes «sonados». Una charla muy útil para cualquiera que se encuentre en una empresa no tecnológica o que ofrezcan servicios a empresas no tecnológicas.

2. LDAP Injection & Blind LDAP Injection (PDF). Chema Alonso, Consultor de Seguridad en la empresa Informatica64, MVP Seguridad de Microsoft y autor del conocido blog «Un Informático en el Lado del Mal«, nos habló de las particularidades que tiene LDAP Injection con respecto a SQL Injection, que son básicamente el juego de caracteres especiales que se pueden utilizar y el lenguaje, pero que se basa en los mismos principios. Una pena que no pudieramos ver las demostraciones en directo, ya que una caida de su equipo dejó el disco duro inservible.

3. Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica (PDF). En esta charla, una de las que la gente mostró más interés con sus preguntas, Jorge Martín, Inspector Jefe del Grupo de Seguridad Lógica del Cuerpo Nacional de Policía, nos explicó como trabajan y a que se dedican en su departamento, una charla muy interesante que despertó la curiosidad de muchos de los asistentes.

4. Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP (PDF). Daniel Cabezas, de la empresa Ernst & Young, nos mostró diversos módulos que han desarrollado como ampliación de la genial aplicación WebGoat de OWASP para entrenamiento sobre seguridad web, una herramienta imprescindible para cualquier persona que quiera realizar formación en seguridad o que quiera incorporarse al mundo de la seguridad en su vertiente web. Uno de los módulos que creó un poco de confusión consistía en practicar la realización de Buffers Overflow, algo que dada la naturaleza Java de WebGoat despertó las suspicacias de parte del auditorio. No obstante (y eso es una nota para los asistentes al curso que también sean lectores de este blog), cuando Java realiza llamadas a binarios externos para cualquier motivo sí es posible realizar un Buffer Overflow, ya que al realizar la llamada a la función esto sale de máquina virtual java y por tanto de sus restricciones de seguridad, por lo que es posible (y de hecho existen casos documentados) de explotación de vulnerabilidades de Buffer Overflow A TRAVÉS (mejor que «en») de aplicaciones Java.

En conclusión, los OWASP Spain Meeting son una cita muy recomendable, convirtiéndose en un imprescindible en las conferencias de seguridad en España, algo esperable del excepcional Proyecto OWASP. ¿Nos vemos en la próxima edición? ;-)

Comments

  1. Algunos comentarios más sobre las charlas:

    1- Muy recomendable seguir los 8 pasos que expuso Alberto Partida en su charla, que como bien señala Jose, iban más dirigidos a técnicos de seguridad ( y de sistemas interesados en la seguridad) que deben justificar su insistente preocupación por la seguridad de una entidad la cual no cuenta con unos directivos concienciados con la importancia de la misma.

    2- Chema Alonso también destacó la poca información que existe sobre inyecciones LDAP (un paper del 2002 de Sacha Faust http://www.willydev.net/InsiteCreation/v1.0/descargas/willydev_ldapinjection.pdf). A parte, el propio Chema tiene varios posts y un paper sobre el tema. Aquí puede obtenerse alguna información más http://elladodelmal.blogspot.com/2008/04/jugando-con-ldap-i-de-iii.html.

    3- Como comenta Jose, la charla con el inspector fue de lo más amena. Destacar un comentario referente a la colaboración entre los diferentes cuerpos policiales dedicados a la seguridad TIC, en el que Jorge Martín señalaba la alta interactividad con países sudamericanos así como la poquísima colaboración que parecían demostrar otros países (no dijo cuales…pero todos podemos hacernos una idea).

    4- En la última ponencia, destacar otro comentario de Daniel Cabezas sobre la herramienta WebGoat, la cual dijo que era utilizada por varias empresas para formar tanto a sus técnicos de seguridad como a los desarrolladores de aplicaciones web.

    Por último solo decir que la jornada se nos hizo muy corta (eso es bueno,no?) y que el ambiente fue estupendo durante todas las charlas y en el «coffee-break». Nos vemos en la próxima!

  2. Nota para los lectores: como podeis ver, Patxi es el otro miembro del equipo de seguridad lógica que se vino conmigo a las conferencias :)