Desgranando la Defcon 16

Revisando las presentaciones de la Defcon 16, me he encontrado con una (por ahora) que me ha parecido interesante comentar. Es la presentación de Taylor Banks y Carric que la podéis encontrar aquí : http://164.106.251.250/docs/dc2008/defcon-16-banks-carric.pdf

La presentación versa básicamente sobre los test de intrusión, historia, finalidad, evolución… Nos dan un paseo por los pentest desde los inicios de la informática, nos habla de películas en la que podemos ver a supuestos hackers en acción, libros interesantes…

También habla sobre las certificaciones y sus instructores, se plantea la utilidad de ellas, la importancia que le da mucha gente. Ellos se muestran claramente contrarios a estos títulos, y argumentan que muchos instructores de estas certificaciones asisten a charlas que ellos ofrecen.

Pero la parte interesante de la presentación viene cuando hablan del intrusismo que sufre esa rama, hoy en día cualquiera cree que puede hacer un pentest, tirando de nmap y nessus, como si fuese tan fácil. Hacer un pentest es algo laborioso, que conlleva mucho tiempo, que te obliga a tener unos conocimientos amplios y a saber separar la paja de los resultados realmente válidos que vas obteniendo. Te obliga a saber explotar vulnerabilidades con las cuales demostrar esa debilidad. De nada, o casi nada, le sirve al cliente que le entreguemos 1000 hojas de reports de nessus, necesitan algo más, un estudio de esos resultados, un análisis del código...

Lo importante es que, si queremos dedicarnos a hacer pentest, nos formemos bien, tengamos claro que detrás de las herramientas estamos nosotros, no podemos pretender hacerlo todo automatizadamente, el botón “Scan now” va muy bien, pero no lo es todo, el test de intrusión requiere de mucha parte humana, de saber interpretar los resultados y saber hacia donde moverse en cada momento.

Si somos la parte contratante, tener claro que tipo de pentest nos van a hacer, como nos van a presentar los resultados, dejar claro que no explotarán las vulnerabilidades DoS en entornos de producción. Para todo ello recomendamos firmar un contrato en el que estableceremos los límites del pentest y daremos nuestra aprobación para su realización.

De Massachusetts a la DEFCON 16 en metro.

Durante el fin de semana pasado, del 8 al 10 de agosto, se realizó en Las Vegas el mayor evento hacking del mundo, la Defcon 16 (https://www.defcon.org/). Desde aquí nuestro reconocimiento a la representación española compuesta por Chema Alonso, José Parada y el equipo Panda with Gambas.

Esta edición, además de las habituales exposiciones, talleres, etc. de diversos expertos en seguridad (a destacar Dan Kaminsky y su “novedosa” vulnerabilidad en los DNS), se ha caracterizado por un “suceso” a nuestro entender, digno de interés.

Un grupo de chicos del MIT (Massachusetts Institute of Technology) se dirigían a la Defcon con la intención de presentar su “estudio” sobre el Metro de Boston, en el cual explicaban, entre otras cosas, vulnerabilidades en el sistema de acceso. Pues bien, esa charla fue “interceptada” por un juez, ya que las autoridades de tránsito de Boston demandaron a estos tres jóvenes alegando que la información que iban a exponer podría ser usada de forma fraudulenta (razón no les faltaba!). Curiosamente estos estudiantes presentaron su trabajo en la universidad consiguiendo una calificación de Excelente.

Estos hechos nos generan diversas preguntas:
¿Estos chicos no han pecado de cierta dosis de ingenuidad?
Incluso reconociendo la ilegalidad de sus actos ¿Qué pretendían realmente?
¿Dónde está el límite a la hora de exponer este tipo de “proezas”?
¿No habría sido mejor que las autoridades de tránsito hablaran directamente con estos chicos y aprovechándose de su trabajo mejoraran su sistema?
¿Este tipo de “descubrimientos”, no sería mejor tratarlos con cierta discreción?
¿Es ético explicar las vulnerabilidades de una empresa, aun siendo sin ánimo de lucro?
¿En qué momento traspasamos la barrera de la legalidad?
¿Es clara la diferencia entre un white hat y un grey hat?
Para estos “experimentos” ¿no deberíamos pedir consentimiento del afectado previamente?

En resumen, creo que hechos de este estilo convierten el "arte" del hacking (no confundir con cracking) en un vulgar circo que no beneficia en nada a la comunidad que actúa con cierta ética.

Como anécdota decir que en la presentación que iban a realizar, se podía leer “Todo esto es ilegal! Por lo tanto el material es para uso educativo”, así que argumentar un desconocimiento de la infracción les será difícil.

Para conocer los detalles de la historieta ver :
http://www-tech.mit.edu/V128/N30/subway/Defcon_Presentation.pdf

Primera entrada del blog con certificación incluida.

Aunque hemos fijado como fecha de "inauguración" del blog el 1 de Septiembre, nuestras ganas por iniciar esta aventura hacen que incluyamos entradas desde hoy mismo (y así enmascaramos nuestras pruebas en blogger).

Tras varios meses preparándonos, el pasado jueves día 7 de Agosto nos presentamos al examen de certificación CEH (Certified Ethical Hacker) de EC-COUNCIL.

Nuestra motivación no fue la de convertirnos en unos hackers de película sino la de ampliar nuestros conocimientos en esta materia, además de obtener un certificado que tiene cierta reputación en el mundo de la seguridad.


Obviamos nuestra presentación, ya que la podéis encontrar en la sección de autores.