(Por Rubén Borlenghi) Es la misma gente de CanSecWest (donde hackearon una Mac en minutos) y de PacSec. Y de EUSecWest. Y se agregó gente local. Vale la pena. Como arrancaron una hora tarde, también aproveché para observar la fauna.
De los más o menos cien asistentes, un tercio hablaba un inglés entre nativo, afrancesado u orientalizado. Te paseabas entre la gente y escuchabas “…because my consultancy was…”. Porque en ese pasillo estaban algunos de los consultores de seguridad informática más caros de Aquella parte del globo.
Arrancó saludando (y haciendo un desastre con los acoples de micrófono) el muy cordial Dragos Ruiu, presentó al primer expositor y empezamos.
Se trataba de Raffael Marty, suizo pero Chief Security Strategist de Splunk, una empresa de San Francisco. Que nos mostró cómo se dedica a obtener datos de software o de logs de seguridad, para convertirlos en gráficos. E inauguró un sistema de exhibición muy respetuoso del público: las presentaciones aparecieron en dos pantallas, una (el original del expositor) en inglés, y la otra traducida al castellano. Esto se mantuvo en todas la intervenciones del día. Y también había traducción simultánea, aunque a juzgar por los muy pocos equipos de auriculares utilizados, muchos preferimos escuchar a los oradores sin intermediarios. También es cierto que una lapidaria frase del organizador del evento (Ruiu) nos había advertido sobre “…these radios are cheap pieces of crap…” En su orden, radio es radio (los equipos con auriculares) cheap es barato y crap es mierda. Parece que no le gustaron.
Volvamos a Marty. Es evidente que la estadística le encanta, y más le gusta ayudar a que los demás no tengan que evaluar números sino gráficos de barras u otras ayudas visuales para la comparación de eventos. Y realmente las herramientas de análisis de logs que mostró eran muy llamativas, y te ponían el tema debajo de las narices de la manera más evidente. Según parece, son herramientas Open Source, así que investigaré tranquilo la semana que viene.
Después de un corto descanso apareció Harri Hursti (ojo que no es Harry), con un tema que me encantó: Voto Electrónico. También me llenó la cabeza como para seguirla la semana próxima, pero te acerco unas frases. Luego de que en California se ordenara revisar los equipos de votación electrónica y se encontraron fallas, la Secretaria de Estado del Estado de Ohio encomendó una revisión más profunda. En diciembre de 2007 se observó que todas las máquinas examinadas tenían fallas, de software, de hardware, o ambas. Se puede falsificar el resultado informático, o los comprobantes en papel que en algunos casos emiten esas máquinas. El estado actual del tema en los Estados Unidos es que varios gobiernos estatales han recomendado regresar al sistema tradicional de voto en papel.
Vayan tomando nota, y tengan en claro que las declaraciones de hoy se hicieron delante de un público absolutamente capacitado para entrar sin permiso en una PC hogareña en cuestión de minutos, por lo cual esos hallazgos de inseguridad en las máquinas de voto electrónico que detalló Harri deben ser muy ciertos.
Llegó la hora del almuerzo, del que no disfruté porque tenía que estar en otra reunión. Pero a juzgar por las caras que me encontré a la tarde, mal no los alimentaron…
Las sesiones de la tarde arrancaron con Cédric Blancher y Simon Maréchal, franceses y relacionados con la seguridad estatal de su país, que se dedicaron a despiezar la “seguridad” de WPA y WPA 2 y a explicar cómo y por dónde puede entrar una persona malintencionada. Cuestión de software, de tiempo (poco) y de ganas.
Los siguió Hendrik Scholz, que habló sobre el sistema de comunicación avión-aeropuerto llamado ACARS. Y lamentablemente, no te puedo detallar qué dijo, pero era bastante interesante. Lo que también comentó es que la legislación de su país (Alemania) prohíbe difundir mensajes pertenecientes a ese sistema de comunicaciones.
Luego ocupó el podio José Oricki, de Core, consultora internacional de seguridad basada en Argentina (y uno de los auspiciantes), que se explayó sobre las formas en que se pueden rastrear todos los datos que pusiste en LinkedIn, Facebook o Twitter, cosechar también todos los nombres, apellidos, direcciones de email y frases escritas por vos y tus contactos, para armar un gráfico de red social que permita obtener las más interesantes conclusiones sobre vos, tus contactos, y los contactos de tus contactos; para lo cual empleó, entre otras herramientas, un software sobre el que está trabajando y que bautizó Exomind. Muy tranquilizador, ¿verdad?
Como la reunión se alargó más de una hora, me tuve que ir. Me perdí la presentación de Saumil Shah sobre ataque a browsers, lo cual probablemente me permitirá dormir un poco menos intranquilo esta noche.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291