Encuentro Internacional de Seguridad Informática - Día 1
Día 1 del EISI: tratando de reunir las personas de la comunidad algunos llegaron temprano otros no, pero al fin nos logramos reunirnos e ingresamos al congreso.
Cuando llegaron se les indico los pasos para reclamar la escarapela sin hacer fila (una ventaja + de ser parte de la comunidad) y se les entrego el kit (a los que llegaron temprano :-P) un cd con la carátula del WUDE impreso para que lo quemen cuando salga, un botón de la comunidad (con el logo modificado del Firefox) y unas tarjetas para que se conocieran entre todos.
Ya en el congreso y según la programación se le dio inicio formalmente, cantando el himno a Colombia, a la U’ de Manizales… con El Rector, y Decano de la Institución, Ponentes etc…
Después de estos actos protocolarios empieza en forma el congreso.
Las conferencias empiezan con el Argentino Hernán Marcelo Racciatti quien nos muestra un WorkShop sobre SQL Injection, aunque el tema esta un poco viejo, al ser un WorkShop y mostrar a la gente de forma sencilla como realizar las practivas (quienes llevaron portátil) fue una de las ponencias mas dinámicas y divertidas.
Pagina del WorkShop sobre SQL Injection
Hernán prometió publicar el .txt en el cual proporcionaba los “atajos” para realizar SQL Injection pero al revisar sus paginas y blog no lo encontré (ya lo encontre la descarga de este y otros textos que dejo el argentino abajo), tambien encontré un paper que hablar sobre SQL Injection aquí se los dejo para la descarga (espero que no le moleste a Hernán) .
Descargas:
• Brief_SQL_Injection_Short_Workshop.rar
• Slides_SQLInjection_Short_Workshop.rar
• SQL Injection - Real Hack Exhibition.txt
Luego de esta conferencia y según la programación teníamos 15 minutos para tomar el refrigerio, aquí tengo 2 comentarios que hacer a los organizadores del evento, el primero que dieron muy poco tiempo y esto no da mucho espacio para el esparcimiento de los asistentes y el otro es que los refrigerios comparados con otros realizados por la misma Universidad de Manizales (EJ: Congreso de Software Libre) bajaron mucho su calidad, estaban ricos pero… le falto.
Después del refrigerio Oscar Eduardo Ruiz explicaba las reglas del wargame, que se podía y que no se podía hacer etc…
La siguiente conferencia Sobre Ataques de MITM (man-in-the-middle) dictada por Juan Pablo Quiñe Paz y Martín A. Rubio en la cual nos explicaban cuales eran los peligros de este tipo de ataques pero también como podemos usarlo a nuestro favor para testear nuestras redes o aplicaciones.
Diapositivas:
• Man in the middle aplicado a la seguridad.pdf
y… el esperado almuerzo :-D, este día almorzamos en la cafetería de La Universidad de Manizales pero al tener un problema con una tajada que nuca apareció (xD jejeje), unos frijoles que se convirtieron en blanquillos y un servidor que no soporto las peticiones de 42 personas de la comunidad (parecía un ataque de denegación de servicios o le hicimos buffer overflow) el caso es que se demoraban mucho en servir los almuerzos y los siguientes días nos mudamos al servidor “Tio Pepe” que si soporto toda la carga :-D, ademas nos hicieron una rebaja de 200 pesos por persona $-D
Ya vengo…
Mientras todos esperaban el almuerzo yo me iva a gestionar mediante ingeniería social las primeras 5 filas del evento.
Misión cumplida
Despues de esto me entero que en el servidor de la cafetería se habían acabado los recursos (YA NO HABÍAN ALMUERZOS) así que me toco echarle mano a un sanduche con sprite y seguir a las conferencia.
El Mexicano Eduardo Ruiz Duarte fue el encargado de dictar la conferencia Estegenografia VS Criptografia muy buena la conferencia y nos mostraba varios métodos de esteganografia también nos prometió varios de los programas propios con los cuales realizo su conferencia pero al entrar a su blog solo vi varios códigos para realizar fractales (estamos esperando tus códigos ).
Aqui las Diapositivas:
• esteganografia.pdf
Luego Julio César Gómez Castaño nos exponía el Workshop Security Tool en el cual nos mostraba el top 100 de las herramientas de seguridad, el top 10 de los Live CD de seguridad informática y mas específicamente nos hablaba sobre el BackTrack y sus herramientas.
Aunque lo toco por encim almenos se le dejo la espinita a quienes no conocian estas herramientas, el echo que regalaran copias del BackTrack 2 a quienes llevaran portátil también ayuda a estimular (aunque así no llevaran portátil deberían regalar…)
Diapositivas:
• Tool Security – Workshop BackTrack.ppt
Otro refrigerio…
El Argentino Arturo “Buanzo” Busleiman nos muestra el Análisis de red con NMAP y Script NSE una excelente conferencia donde nos enseña las nuevas funcionalidades del NMAP, como crear Scripts y el uso del lenguaje LUA.
Buanzo habia escrito desde septiembre en la pagina pero por un error mio al aprobar los comentarios masivamente se me paso este:
Igual me reivindique con el argentino regalandole una cajita de ron en el remate ;-).
Descargar:
• nse2007.pdf
Luego Jhon César Arango nos presenta su Workshop - El camino hacia el Ataque en el cual nos muestra paso a paso y de una forma practica lo que hace un atacante al tratar de ingresar a un sistema, des afortunadamente no pudo seguir con su presentación ya que ocurrieron algunos errores técnicos (véase dar papaya).
Diapositivas:
• modo operandi.pdf
Y por ultima pero no menos importante la conferencia de Rachel Greenstadt sobre Seguridad y Entornos Virtualizados (Security and Virtualized Environments) la conferencia estuvo excelente pero en algunas partes Buanzo quien se presto como traductor (no se si estaba programado desde el principio como tal) hablaba muy rápido y eso ocasiono que no muchos pudiéramos disfrutar de esta conferencia.
Diapositivas:
• virtualization.pdf
Lo que sigue despues del encuentro lo relatan mucho mejor Dinosaurio y Epsilon77 quienes ya sacaron las crónicas del día 1 xD
Con mucho humor geek.
L@ Cr0n1c@ de D1N0, Dr@g0n y 5u5 717@N3s d31 c0n0c1/\/\13n70
La cronica de epsilon77
Aunque para resumirles les puedo decir que accedimos a un sistema por medio de ingeniería social, luego escalamos privilegios (hasta llegar al dueño del server) y nos saltamos 2 firewalls (doble raqueteada) para llegar a los tan anhelados datos xD (todo por tener un usuario con privilegios < a 18)
Las Fotos del Primer dia estan en este post (sube las tuyas 😉 )
Fotos Segundo Encuentro Internacional de Seguridad informática DÍA I
Actualizado: He puesto los enlaces para descargar las diapositivas de cada una de las conferencias.