Darkslaker Room » hacking

WarGames

darkslaker — Mon, 26 Apr 2010 01:02:49 +0000

Cual les gusta mas:

RSA Conferences 2009

darkslaker — Sun, 26 Apr 2009 04:33:16 +0000

Durante la semana que termina tuve la oportunidad de asistir a la rsa conference 2009 en San Francisco.

La cual intenta de juntar a los venderos de seguridad informática en el mundo, junta a los expertos y gurus de la seguridad en el mundo para discutir lo que esta pasando y por venir en cuestiones de seguridad.

Después de 4 días de conferencias y platicas pude aprender que lo que mas preocupa y viene en cuestiones de seguridad es:

SaaS( Software as a Service)
Cloud Computing
Cyber-Warfare
Innovación a la privacidad de las personas.
Movilidad, llevar la seguridad a nuestros hogares.
Profesionalización de los criminales cibernéticos.

En breve estarán disponibles las presentaciones, sin embargo las platicas principales están en linea y considero que las siguientes valen la pena verlas.

Scott Charney Corporate Vice President Trustworthy Computing (TwC), Microsoft Corporation

Panel Discussion Panelistas: Whitfield Diffie, Martin E. Hellman, Ronald Rivers,Bruce Schneier,Adi Shamir The Cryptographers Panel
John Chambers Chairman Collaborate with Confidence CEO Cisco Systems, Inc .
James Bamford The Shadow Factory: The Ultra-Secret NSA, from 9/11 to the Eavesdropping on America
Philippe Courtot ChairmanChanging Security As We Know it- Software as a Service(SaaS) Has Arrived Giving Rise to Plethora fo Security Applications CEO Qualys, Inc.
Herbert Thompson, Ph.D. Chief Security Strategist People Security
Jamie Hyneman & Adam Savage Hosts MythBusters

Algunas de las conferencias que asiste fueron:

Are Cloud Secure? Security and Privacy Implications of Cloud Computing(Subra Kumaraswany, Tim Mather)
Advance Memery Analysis: Battling Malware and Its Protection(James Buttler II,Peter Silberman)
Top Ten Web Hacking Techniques of 2008( Jeremiah Grossman)
US-CERT: People,Process and Technology ( Mischel Kwon)
Using SaaS to Solve the Network Management & Security Environments( Steve Schmalz, Amer Deeba, Gerhard Eschelbeck, Matthew Palmer)
An X.9 Guide to PCI Pen Testing( Lance Jhonson, Douglas Biggs, Sandra Lambert, Troy Leach,Jeff Stapleton)
Cyber Warfare: A New Cold War?( Ned Moran, Scott Algeir, Kenneth Geers, Ed Giorgio, Ed Skoudis)
7 Most Dangerous New Attack Techniques( Rohit Dhamankar, Ed Skoudis, Johanness Ullrich)
The Building Security In Maturity Model BSIMM (Brian Chess, Gary Mc Graw)
The Malware in the Rue Morgue(Paul Ducklin)
2009 Cyber Threats and Trends(Richard Howard)

Entre las frases celebres son:

3 de 4 Personajes de Word Of WarCraft que son mujeres, son jugados por hombres.(Richard Howard)
Trust it’s not a Binary rol(Scott Chorney)
No hay que vender miedo, y tampoco hay que tener miedo, eso causa mas daño a la industria(Bruce Schneier)
Enigma Box it’s real its our time (Liuteran General Keith Alexander)
SaaS it’s not a Cloud
SaaS no es un nuevo modelo operativo, es solo el mismo, rompiendo paradigmas de donde estan los datos.(Tim Mather)
20 paises actualmente estan listos para la Cyber Guerra(Dave DeWalt)
Las escuelas actuales en ciencas computacionales solo enseñan basura(Ed Skoudis)
Necesitamos un nuevo proyecto Manhatan para enseñar a todos seguridad informatica(Ed Skoudis)
50% de la información critica de una empresa esta sin protección(Phillippe Courtot)
Quien no acepta a la Nube(Cloud) estara fuera(Phillippe Courtot)
La humanidad ha evolucionado en momentos como este, donde hay que cambiar rapidadmente y donde los problemas economicos y sociales nos obligan a innovar(Brian J. Truskowski)

Realmente son muchas cosas que tratara de aterrizar en diversos articulos.

Y por último tuve la oportunidad de platicar y estar un rato con Charlie Miller el super hacker de Mac

No more free bugs

darkslaker — Mon, 23 Mar 2009 03:17:23 +0000

No more free bugs son las palabras de publicidad de Charlie Miller y Alex Sotirov para la CanSecWest de 2009.

Durante el CanSecWest de esta año se volvío presentar el concurso Pwn2Own en el cual un grupo de investigadores de vulnerabilidades se inscriben y tratan de descubrir nuevo huecos de seguridad en diversos medios, como son Navegadores Web, o Smart Phones.

Charlie Miller logro vulnerar una Mac con todas la actualizaciones de seguridad, en tan solo 10 min, al aprovechar una vulnerabilidad en Safari en los componentes que se comunican con QuickTime y en una entrevista con Znet respecto a la publicación de vulnerabilidades de manera libre o gratis.

El ha mencionado en el pasado que el considera que el navegar Web mas vulnerable es Safari. Durante su entrevista el menciona que nunca ha dado a conocer una vulnerabilidad de manera gratis, que incluso Mac paga a hackers por las vulnerabilidades descubiertas.

Y esto me hace reflexionar que cada vez son mas los investigadores que se dedican a encontrar este tipo de vulnerabilidades, en el pasado todo era mas por arte y gloria que por $$$, gente que escribía en al revista phrack, se lucia con vulnerabilidades importantes y ganaba prestigio.

De unos años para aca, tanto grupos mafiosos como gobiernos, han visto el impacto de nuevas vulnerabilidades, vulnerabilidades del tipo 0day han sido super aprovechadas para tomar ventaja en robo, espionaje etc.

Los mismos vendedores de seguridad y los fabricantes ven el impacto no solo en prestigio si no en $$$ en este tipo de actividad, por lo cual ellos mismos ya ofrecen fuertes cantidades de $$ por este tipo de vulnerabilidades.

Muchas personas creen que esto no es ético, pero es muy ambiguo y mas filosófico.

Actualmente donde laboro estamos preparando un team para hacer este tipo de investigación; he internamente tenemos este tipo de discusiones, si cada vulnerabilidad encontrada la vendemos o solo damos aviso al fabricante.

Yo si creo que este o el próximo año cada vez sea mas difícil tener acceso a este tipo de vulnerabilidades nuevas a menos de manera directa, solo mediante servicios de pago o en el underground. Incluso hay pagina Web donde se comprar exploit para vulnerabilidades 0day.

Es un tema interesante, pero complicado diría yo, por que pareciera mas un tema filosofico e incluso religioso mas que de negocio.

Solo me resta decir a ver que nos depara el destino o como aquella vieja pelicula cuando el destino nos alcance.

PD. Explicación de Dino A. Dai Zovi