H4ck3d - Security Conference 2017


La Facultad de Ingeniería, junto con Securetia, realizó una jornada en la que empresas líderes, expertos en ciberseguridad y funcionarios dieron charlas sobre seguridad ofensiva y defensiva. El objetivo del encuentro fue concientizar al ciudadano y a las organizaciones de que si no se toma en serio la ciberseguridad podrían ser víctimas de un ciberdelincuente. 

Participaron Carlos Pantelides, programador multilenguaje y colaborador del proyecto CIAA, Gustavo Linares, director del BA-CIRT, Carlos Loyo y Santiago Friquet, CSForensics, Oscar Schmitz, Director Ejecutivo en CXO Community, Ulises Kandiko, CEO & Founder GS2, Oscar Mato, abogado especialista nuevas tecnologías, seguridad de la información y derecho internacional, Daniel Piazza, director en ICIACorp, Carlos Rojas, Comisionado Mayor en la Policía Metropolitana, Claudio Colace, CISO del Banco Patagonia, Marcela Meyorin Lorenzo, líder de Proyecto y Consultor Senior Compliance, Riesgos, Auditor de TI y SI, Cecilia Pastorino, security researcher de ESET Latinoamérica, Fabián Martínez Portantier, co-founder de Securetia y Andrés Riancho, director de Seguridad Web para Rapid7.  

Carlos Pantelides, demostró que agregar HSTS mejora la seguridad de un sitio web e indicó que "dejar un servidor configurado adecuadamente para trabajar seguro con https puede demoras como máximo 2 hs". Asimismo, Gustavo Linares presentó el BA-CSIRT, el Equipo de Respuesta ante Incidentes de Seguridad Informática de la Ciudad de Buenos Aires. Indicó que se tomó como modelo el CSIRT de España debido a que el mismo tiene como foco al ciudadano y era la postura que querían tomar desde BA-CSIRT. Afirmó que reciben ataques constantemente y que durante el gobierno nacional anterior, la Ciudad de Buenos Aires experimentó ataques informáticos desde algunas reparticiones del gobierno nacional

Carlos Loyo y Santiago Friquet en su presentación hablaron sobre cómo utilizar OSINT (Inteligencia de Código Abierto, o datos de fuentes públicas y disponibles) y propusieron herramientas como getAllTweet, la cual permite acceder a los tuits de la cuenta de Twitter que uno desee. 

En la mesa redonda coordinada por Oscar Schmitz, fue Piazza indicó que para una prevención ideal del ciberfraude es necesario definir las amenazas, establecer la jurisdicción, fortalecer la investigación y es muy importante la cooperación internacional: "generando conciencia entre los usuarios serían muchísimos menos los ciberfraudes". Por su parte, el Comisionado Rojas indicó que si bien "falta comunicación entre las fuerzas" han ganado muchas batallas. Ulises Kandiko, habló sobre ciberterrorismo, hizo hincapié también en la falta de comunicación y dijo que "hay que poner a la Ciberseguridad en la agenda antes que la agenda se convierta en Ciberseguridad". Al respecto, Oscar Mato indicó que "cada vez tenemos más dispositivos conectados y menos seguridad aplicada. El punto de seguridad en el diseño no se está llevando a cabo".  

Otro de los temas que se abordó fue el de la ISO 27001, en donde Claudio Colace habló en conjunto con Marcela Meyorin Lorenzo sobre que en el Banco Patagonia implementaron dicho estándar y es el primero en el mercado financiero argentino en tener esa certificación. Claudio declaró que "una certificación te obliga a mantener los procesos actualizados y a incorporar un trabajo conjunto dentro de la organización".  

Cecilia Pastorino explicó que "un hacker no es un atacante sino un investigador, una persona curiosa que busca hacer cosas para las cuales no fue desarrollada la aplicación", demostrando lo sencillo que es tomar el control completa de un equipo informático si no se mantienen las actualizaciones de los sistemas. Aprovechando esto hizo funcionar un poco más ese equipo controlado por un supuesto ciberdelincuente y demostró el funcionamiento de un Ransomware. 

Fabián Martínez Portantier habló sobre un problema común de varias organizaciones, en donde suelen compartirse servidores con el afán de aprovechar los recursos y se olvidan que si una aplicación cae en las manos de un ciberdelincuente, y no se toman las medidas de seguridad correspondientes, todas las aplicaciones que comparten el mismo host podrán ser controladas. 

Finalmente, Andrés Riancho, con su charla expuso sobre que en la actualidad la mayoría de los Frameworks mitigan vulnerabilidades conocidas como SQLi y XSS, por tal motivo y por el entusiasmo que lo caracteriza fue por más encontrando vulnerabilidades Web complejas, pero por sobre todas las cosas muy interesantes. Algo que comentó Andrés y sobre los cuales basó uno de sus ataques fue, aprovechando que muchos Frameworks no proveen de un proceso de Password Reset este suele ser un punto débil dentro de las aplicaciones Web. 

“Como conclusión del evento podemos remarcar que lo que está faltando en las organizaciones es comunicación, falta concientización a nivel Ciberseguridad. Luego de WannaCry, tal como lo predijo Ulises, la Ciberseguridad se ha convertido en la agenda”, afirmó Javier Vallejos Martínez, profesor de Seguridad Ofensiva y de Seguridad Web Aplicada de la Facultad de Ingeniería.

IMÁGENES:




El temario que se llevó a cabo fue:


10:00 | Charla: HSTS: video club vs sistemas complejos

Expositor: Carlos Pantelides
Experto en prevención de fraude informático, programador multilenguaje y colaborador del proyecto CIAA.

El mecanismo HSTS como medio para mostrar el estado de seguridad a nivel de TLS en bancos argentinos y el impacto real de su falta, comparando el esfuerzo de la solución en un caso sencillo como puede ser un videoclub.

10:40 | Charla: Presentación Oficial del BA-CSIRT

Expositor: Gustavo Linares
Director del BA-CIRT.

Presentación oficial del BA-CIRT. Primer Centro de Ciberseguridad de la región orientado al ciudadano.

11:20 | Break

11:35 | Charla: Generando una pequeña NSA- Automatización en OSINT

Expositores:
Carlos Loyo
Ingeniero en Sistemas, docente de la Facultad de Ingeniería de la UP. Co-Fundador de CSForensics, con 8 años de experiencia en seguridad de la información relacionada a la gestión de vulnerabilidades e incidentes y operaciones de seguridad de la información.

Santiago Friquet
Analista de Seguridad Informática, Co-Fundador de CSForensics. Experiencia en tareas de vulnerability manager, controles SOX, PCI e ISO27001. Actualmente realiza investigaciones independientes sobre plataformas de programación (Arduino y Rasberry) en el desarrollo de controles para detección de APT.

Cuáles son las fases que conllevan realizar una búsqueda en fuentes abiertas, APIs disponibles, herramientas y métodos de centralización de información.

12:15 | Mesa redonda: Cibercrimen, Ciberterrorismo y Ciberseguridad

Moderador: Oscar Schmitz
Ingeniero en Sistemas de Información (UTN), Director Ejecutivo en CXO Community, Magister Business Administration (MBA UCEMA), Coach Ontológico (ICEBA), docente en la Facultad de Ingeniería de la UP.

Disertantes:
Ulises Kandiko
Experto en ciberterrorismo, CEO & Founder GS2. Director de Seguridad en Ministerio de Relaciones Exteriores y Culto de la República Argentina.

Oscar Mato
Abogado especialista Nuevas Tecnologías, Seguridad de la Información y Derecho Internacional. Trabajó como Auditor Seguridad Sistemas de Información en Inspectoría FAA.

Daniel Piazza
Experto en fraude Internacional Financiero. Director en ICIACorp. Trabajó como Director Regional en Investigaciones de AMEX.

Carlos Rojas
Comisionado Mayor en la Policía Metropolitana.

La seguridad hoy tiene un sentido de inmediatez, flexibilidad y transfronteriza. Estos elementos impactan en las estrategias actuales de entrenamiento, prevención y acción utilizadas de los años ’80. Lamentablemente este es uno de los criterios de refuerzo en donde a pasos lentos estamos aprendiendo, en un contexto de crecimiento exponencial. ¿Cómo actualizamos las políticas, procesos y acciones concretas? ¿Cómo re-aprendemos a hacer seguridad? ¿Para qué es necesario un cambio?

13:15 | Break

14:30 | Charla: ¿La Ciberseguridad y los SGSI son compatibles?

Expositores:
Claudio Colace
Egresado de la Facultad de Ingeniería de la UP, con 18 años de experiencia en la Industria de Servicios Financieros, CISO de Banco Patagonia. Hoy día en Banco Patagonia, como parte del conglomerado de Banco do Brasil continúa en el campo de la seguridad de la información y la protección de activos.

Marcela Meyorin Lorenzo
Docente de la Facultad de Ingeniería de la UP, con más de 20 años de experiencia, hoy es Líder de Proyecto y Consultor Senior Compliance, Riesgos, Auditor de TI y SI, también Especialista en Seguridad de la Información, Servicios de TI, Riesgos y Continuidad de Negocio. Integrante del SubComité IRAM de Seguridad de la Información, Tecnología y Riesgos en Buenos Aires, Argentina.

¿La Ciberseguridad existe? ¿Y la normativa internacional de la Ciberseguridad? Exposición sobre normativas y metodologías utilizadas. Experiencias en Sistema de Gestión de Seguridad de Información (SGSI) en Entidades Financieras.

15:10 | Charla: Historias de hackers y cibercriminales: Tras las huellas de un ataque informático

Expositora:
Cecilia Pastorino
Security Researcher - ESET Latinoamérica. Investigaciones de seguridad de la información en el laboratorio de ESET Latinoamérica.

¿Alguna vez cruzó por tu mente la idea de que alguien llegue a comprometer la seguridad de las webs que visitas frecuentemente? ¿Cómo un atacante podría lograr esto y qué consecuencias podría traerte? En cuanto a la primera interrogante, la respuesta es sí; para responder la segunda te proponemos esta charla.

15:50 | Break

16:05 | Charla: Malas Compañías

Expositor:
Fabian Martinez Portantier
Co-Founder Securetia, Consultor en Ciberseguridad con más de 10 años de experiencia.

Cómo una aplicación segura puede verse comprometida al estar instalada en el mismo servidor que una aplicación vulnerable. Se expondrán técnicas de local file inclusión y web shells.

16:45 | Charla: Vulnerabilidades de Seguridad Web Esotéricas

Expositor:
Andrés Riancho
Investigador y consultor con foco en la seguridad ofensiva de aplicaciones. Director de Seguridad Web para Rapid7. Inició w3af, un scanner de código abierto, que ayuda a identificar y explotar vulnerabilidades en aplicaciones web.

Las vulnerabilidades esotéricas en las aplicaciones web, las cuales pueden no ser vistas por la mayoría de las revisiones rápidas y escaneos automatizados, y pueden llevar a la ejecución remota del código, el salto de autenticación y la compra de artículos a través de PayPal sin realizar ningún pago real. NoSQL Injections, Host Header Injections, PayPal Double Spent y null nil Null, son algunos de los ejemplos.

17:25 | Cierre: Conclusiones CTF y sorteos


En conjunto con