Computación cuántica, HTTP Response Smuggling, consejos para desarrollarse en la industria hacker y un innovador proyecto de cloud

Monitoreo de objetos: nueva tecnología para terminales de transporte que permite detectar artículos abandonados o perdidos
10 noviembre, 2021
Ataques y amenazas informáticas: ¿qué herramientas ayudan a prevenirlos, cómo actúan las empresas y cómo darnos cuenta a tiempo?
10 noviembre, 2021
Categories
Tags

EKOPARTY DÍA 1

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

Comenzó Ekoparty, el mayor encuentro anual de hackers de Latinoamérica, que tendrá lugar hasta el próximo 6 de noviembre. Durante la primera jornada, expertos en ciberseguridad hablaron sobre sus últimos hallazgos, especialidades y nuevos proyectos con los que siguen innovando cada día. 

Carlos Benitez y Luciano Bello, en su charla “The Silent Partners”, retomaron la introducción a la computación cuántica brindada en la edición anterior de la conferencia y continuaron explicando las formas más inteligentes de factorizar números grandes a través de fórmulas como Quantum Fourier Transform (QFT), componente clave del algoritmo Shor.

Martin Doyhenard explicó las técnicas de Response smuggling, un método muy sencillo de explotación de vulnerabilidades de sincronización HTTP, que permite obtener acceso completo a una aplicación. Un poco más tarde, Maggie Jauregui brindó una serie de reflexiones sobre su experiencia en la industria hacker y tips para todos aquellos que quieren introducirse en ese mundo. Esta charla fue especialmente aclamada por las personas que están dando sus primeros pasos en la comunidad de infosec.

Para cerrar el día, Carlos M. Gaona y Claudio Rosa, comentaron su nuevo proyecto “Denis”, nacido a partir de su trabajo en Mercado Libre, a través del cual lograron automatizar accionables de seguridad en más de 500 cuentas cloud y más de cien mil instancias. Esto les permitió superar el desafío de mantener los estándares de seguridad en la totalidad de su red regional.

Computación cuántica: factorizar de forma inteligente y ganar dinero por ello

Pensar “out of the box” es una de las posibles reglas de la computación cuántica. Carlos Benitez y Luciano Bello nos invitan a un viaje cuántico para explorar los principios del algoritmo de Shor, una fórmula cuántica que permite factorizar grandes números, es decir, descomponer en factores un número N en tiempo O((log N)3) y espacio O(logN).

El objetivo de estas operaciones es encontrar, en medio de un océano de números, solo dos que importan. Por lo tanto, la velocidad se convierte en un factor sumamente importante. Hoy en día muchos científicos apuntan a ganar dinero a través de la factorización. ¿Cómo? Hay premios de hasta 100 mil dólares para quien logre factorizar RSA de 1024 -con 309 dígitos-, de hecho el último que logró factorizar lo hizo en 2020 con un RSA de 829 dígitos. 

HTTP Response Smuggling: una amenaza con la que pueden quedarse con tus datos

HTTP Request Smuggling es una técnica que los atacantes utilizan para insertar múltiples respuestas HTTP de un servidor a un cliente, a través de un intermediario que en verdad espera (o permite) una sola respuesta del servidor.

Hasta hoy, muchas veces cuando se reportan estas vulnerabilidades, no se consideran críticas. Sin embargo, las técnicas de Request smuggling permiten evadir controles de seguridad, obtener acceso no autorizado a datos sensibles, y hasta comprometer usuarios de una aplicación web.

La mayoría de las investigaciones preexistentes se centraron en la petición, mientras que los hallazgos presentados por Martín Doyhenard, investigador de seguridad de Onapsis, se enfocaron en la respuesta. Utilizando técnicas novedosas y poco frecuentes, logró demostrar una vulnerabilidad en el protocolo de transmisión, inyectar mensajes en el servidor, alterar el orden de los procesos, intervenir sesiones de usuarios haciendo login, y crear mensajes maliciosos que permitirían tomar el control de los protocolos más populares.

Reflexiones de una hacker latina: tips para ingresar a la industria y disfrutar del proceso

A medida que el mundo avanza y la humanidad evoluciona, los miles y cientos de programas que ayudan a la funcionalidad de los sistemas se vuelven atractivos para los ciberataques. Por ello, los hackers pasan a ser agentes indispensables de la sociedad y “superhéroes” en muchísimas ocasiones. Sin embargo, convertirse en un buen hacker lleva su tiempo.

Maggie Jauregui, hacker latina, compartió una serie de tips de vida y carrera para quienes quieran convertirse en grandes hackers, pero sobre todo, disfrutar de la carrera cada día. Entre ellos:

  • Darle prioridad a tu ánimo
  • Buscar sentirse cómodo en situaciones incómodas
  • No dejar de aprender
  • Aprender a negociar
  • No intentar “encajar”
  • Ayudar a los demás
  • Divertirse

Denis: el proyecto cloud para ambientes de gran escala que ahorrará tiempo y dinero

Si bien la tecnología cloud -que permite acceso remoto a software, almacenamiento de archivos y procesamiento de datos por internet- es muy segura, su correcta configuración es fundamental, ya que, así como trae muchos beneficios, también trae retos y desafíos a nivel de seguridad.

Ante ello, un equipo de Mercado Libre desarrolló Denis, un sistema de automatización basado en eventos para obtener única y exclusivamente los datos necesarios que se quieren revisar, y en base a eso evaluar si es necesario tomar alguna acción o si simplemente son algo rutinario. De esta manera aumenta la eficiencia, hace que los gastos sean ínfimos en relación a los tradicionales y reduce a la mitad, o a la mínima expresión, los falsos positivos. A su vez, contiene herramientas para armar otras integraciones y automatizaciones. A través de este nuevo sistema, las organizaciones podrían automatizar accionables de seguridad en cientos de cuentas cloud y miles de instancias.

Las charlas completas se subirán al canal de YouTube de Ekoparty Security Conference en las próximas semanas.

Durante los próximos 4 días, quienes participen de Ekoparty podrán disfrutar de nuevas charlas online, actividades presenciales tales como el wardriving -desafío en el cual los participantes recorrerán en micro la ciudad buscando redes WIFI inseguras, para luego identificarlas geográficamente en un mapa junto a su nivel de seguridad-, y de los espacios más prometedores: RedZone, Mobile Hacking, CyberFinance, Hardware Hacking, OT/IIOT/IOT, BlueSpace, AeroSpace, y el EkoDating, un espacio de reclutamiento en ciberseguridad. Además de múltiples sorpresas que se irán revelando a lo largo del evento. 

Para obtener más información visitar www.ekoparty.org 

Sobre Ekoparty

La conferencia de seguridad informática más grande de América Latina, celebrada anualmente en la Ciudad de Buenos Aires desde 2001. Es el espacio de reunión por excelencia de investigadores, hackers, programadores, ejecutivos, consultores, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, quienes disfrutan de compartir conocimiento y participar en desafíos, talleres y capacitaciones.

Más info en www.ekoparty.org