Arranco Ariel Kirsman (tw) con "Aplicando Seguridad en Desarrollo: Experiencias internas de Microsoft" donde comento mediante unas anécdotas muy divertidas los desafios personales a la hora de desarrollar un producto, revelando como cada equipo de trabajo se las tiene que ingeniar para cumplir con performance y con seguridad.
Con una introducción de Federico Pacheco (tw), le dio pie a Pierre-Marc Bureau (tw) y su charla "Malware Turism"quien se desarrolla como reverse engineer de malware para ESET nos introdujo un poco a los orígenes de producción de malware y como cada region en el planeta hoy en dia tiene una especialización en el diseño de malware: Brasil produce en su mayoría troyanos bancarios y phishing, China busca credenciales en general y de juegos online, Europa del este y Rusia realizan Ransomware y Spam. Ahora para mi lo mas interesante de este ecosistema es como estos diferentes grupos se venden servicios entre si de consultoria y desarrollo, en búsqueda de nuevas formas de generar ingresos.
Luego de un pequeño break arranco uno de los platos fuertes del dia, el panel de discusión sobre Vulnerability Research moderado por Hernan Racciatti(tw) e integrado por Cesar Cerrudo (tw), Mariano Nuñez di Croce (tw) y Hernan Ochoa (tw). Simplemente con algunas anécdotas personales de cada uno de los panelistas fue suficiente como para armar el clima perfecto de debate. Fue uno de los segmentos donde el publico corporativo mas participo, al enterarse mas en detalle de como eran las diferentes metodologias en la búsqueda de fallas y el proceso de reportarlos ante los vendors. La existencia del mercado de compra de vulnerabilidades se sumo al debate y cual es el impacto de estas desde el punto de vista corporativo. Una de las preguntas que surgió fue: Si todavia encuentran fallas graves en productos que tienen mucha exposicion como un Sistema Operativo o SAP, ¿Que nivel de seguridad puedo esperar de aplicaciones desarrolladas in-house o de las webapps que hace marketing? Algunos ya sabían la respuesta...
Luego del almuerzo Alejandro Buschel, quien se desempeña en el area de gestion de vulnerabilidad de los servicios online de Microsoft latinoamerica conto su experiencia particularmente sobre Information Disclosure a la hora de recibir reportes de vulnerabilidad no solo en productos de Microsoft sino tambien en misma infraestructura, funcionando como mediador entre el investigador, el grupo de desarrollo y el cliente.
Avanzada la tarde tuve el gusto de coordinar el panel de Vulnerability Exploitability que estaba formado por: Agustin Azubel (tw), Manuel Caballero (tw), Anibal Sacco (tw) y Nico Waisman(tw). La idea de este panel era poder exponer para el mundo corporativo un poco como es el ciclo de vida de un exploit y la madurez que adquirió en el ultimo tiempo.
Se dio a conocer el tiempo de desarrollo y QA que requiere un exploit comercial, igualmente todos dieron a entender que eso no fue lo unico que maduro, las mitigaciones tambien lo hicieron. Las preguntas rondaron alrededor del fenomeno de como se convirtió de herramienta a un producto y como cada compania que trabaja en el area ofensiva tienen una filosofia muy diferente a la hora del desarrollo de exploits de vulnerabilidades no reportadas y su comercialización, este punto a mi manera de ver es importante para el mundo corporate ya que no pueden depender solamente de las métricas provistas por vendors y que su threat modeling debería tener en cuenta la posibilidad de ser atacados con bugs no reportados. No es paranoia es una realidad que debemos afrontar.
El panel siguiente fue del lado corporativo, Enrique Rubinstein y Paula Suarez compartieron con nosotros su trabajo de Patch Management en entornos corporativos, relatando como es el proceso desde que se anuncia una vulnerabilidad hasta el momento de aplicarlos sobre equipos en producción, cuales son los tiempos internos que esto requiere. Siempre encuentro importante que se compartan las dificultades en procesos como estos, ya que nos permite entender un poco mejor los desafios de la administración de la seguridad en las grandes empresas.
El evento llegaba a su fin pero fue Chema Alonso (tw) finalmente quien mediante el humor logro unirnos, ya que hasta ese momento se notaba una distancia pero apelando a los errores ajenos nos demostro que la audiencia era una sola y que tenemos mucho mas en común de lo que creemos.
Creo que es muy importante la realización de eventos de este estilo (bluehat, ekoparty security briefing) donde ademas de lo tecnico se busca mejorar por sobretodo la comunicación y las relaciones entre quienes integran el mundo de la seguridad, creo fielmente en que tenemos mucho que compartir así que simplemente espero que se repita.
Quiero agradecer a mis compañeros por haberme invitado a participar y trabajar en la realización de este evento:
- Nora Alzua
- Claudio Caracciolo (@holesec)
- Jorge Cell (@jorgecella)
- Hernan Racciatti (@my4ng3l)
- Enrique Rubinstein
- Ezequiel Sallis (@simubucks)
