Ayer asistí a la segunda jornada de la Rooted Satellite Vlc donde habían charlas muy interesantes y donde, desde el primer momento, no me decepcionó en absoluto, más bien todo lo contrario y mira que mis expectativas eran altas.
En este post pretendo destacar las cosas que consideré más importantes (de forma muy resumida, ya que en la libreta escribí cerca de 5 páginas ;)) pero como os digo recomiendo totalmente la asistencia a este tipo de eventos porque creo que es difícil asistir a un evento en el que se pueda obtener más conocimiento y motivación (en nuestro sector) que en los que organiza la Rooted.
Lo primero que quiero destacar es de la parte de la keynote, donde me quedé con dos cosas muy importantes y que comparto totalmente:
[bulletlist]
- Debemos fomentar el talento local. Solo hace falta asistir a uno de los eventos Satellite para ver la cantidad de talento local que tenemos en nuestro país.
- Machaquemos a los vendedores de elixir: La mejor forma de explicar este punto es con una frase de David Hume que me quedó grabada. ANTE AFIRMACIONES EXTRAORDINARIAS DEBEMOS EXIGIR EVIDENCIAS EXTRAORDINARIAS!!!
Otra de las cosas que quiero destacar es el tema del Hacking a través de Dorks y de como desde hace un tiempo ya nos preocupa el Dorking a traves de buscadores tipo Google o Shodan pero debemos tener muy en cuenta el dorking en Apps donde también se pueden esconder multitud de enlaces con información sorprendente, como demostró Chema Alonso en su charla.
En lo referente a la seguridad en entornos web me gustaría destacar lo comentado por Javier Sáez en su charla, que los desarrolladores web deben realizar sus proyectos sin confiar NUNCA en el usuario final, es decir, sin confiar en que el usuario final se limitará a hacer lo que se supone que debe hacer así que si debemos hacer un formulario mejor limitar todos los campos para que únicamente permitan poner los caracteres que toca, así evitamos sustos 😉 .
Como Perito Judicial una de las charlas que esperaba con más interés era la de Jorge Bermúdez que repasaba los artículos 197 y 264 del Código Penal llevando sus consideraciones a la práctica. Como ya he comentado en este blog en muchas ocasiones solo hace falta repasar los artículos comentados para llegar a la conclusión de que se debería legislar mucho más rápido, y que tal y como comentaron algunos de los ponentes de que en el mundo del Pentesting no tiene sentido hacerlo cada X tiempo sino que debemos realizar pentesting permanente para estar «a salvo», considero que en las leyes debería pasar algo parecido, aunque puede que se trate de una utopía.
Quería destacar también algo comentado por Jorge y que me anoté para tener muy presente:
En el mundo judicial/penal, a veces las palabras crean los muros
Totalmente de acuerdo, debemos dejar de utilizar metáforas a la hora de legislar problemas de seguridad tecnológica.
Por útlimo, otra cosa que me pareció muy interesante fue el tema de la conmutación paralela GPU por varios motivos. Uno por la potencia que tiene la GPU y otra por la facilidad para esquivar antimalware, antivirus, etc si el «bicho» conseguimos que se ejecute en la GPU ya que la CPU no ve nada extraño por lo que los programas antivirus, antimalware, etc no harán saltar ninguna alarma.
Lo dicho un evento muy muy interesante y muy recomendable.