Así fue el OWASP Latam Tour 2013
El OWASP Latam Tour 2013 es una gira por Latino América organizada por OWASP (Open Web Application Security Project) que pretende promover la seguridad de aplicaciones web en universidades, organismos gubernamentales, empresas de TI, entidades financieras y el público en general.
Este año tuve el gusto de participar en la edición Colombia y Perú, donde pude interactuar con personas interesadas en el mundo de la seguridad web y desvirtualizar algunos nicks por el camino.
El viaje empieza en Bogotá donde una comitiva de viejos amigos me esperaban para salir un rato y GEEKear un rato.
Al día siguiente iniciaba el OWASP Latam Tour con una excelente programación, en la Pontificia Universidad Javeriana, donde un numeroso grupo de personas se reunían para disfrutar el evento y aprender un poco de los contenidos ofrecidos por los conferencistas. Todas las charlas estuvieron a la altura del evento, destacándose charlas de herramientas como ZAP en su versión 2.0 a cargo de Giovanni Cruz, la charla de Pablo Ramos sobre la investigación de las vías de infección que utilizan algunos códigos maliciosos en Latinoamérica o la charla de desarrollo seguro que dio el ingeniero Javier Galindo entre otras...
También tuve el gusto de conocer a los líderes del capítulo OWASP Colombia German Alonso Suarez Guerrero y Yuly Paola Larrota Castro quienes expresaron su apoyo a la comunidad DragonJAR y nos invitan a participar activamente de los eventos generados por el capítulo colombiano del proyecto OWASP.
A los pocos días inicia el viaje a la ciudad de Lima, donde pude desvirtualizar a Fabio Cerullo, un argentino que ahora vive en Irlanda y fue el encargado del OWASP Latam Tour en esta edicion y de que fuera posible mi participación en este gran evento, un poco más tarde conocería a Jhon Vargas y Ricardo Supo quienes lideran el capítulo de OWASP en Perú con quienes disfrutamos una buena cena con excelente vista, en la que me comentaban los por menores del evento, así como los planes a futuro del proyecto OWASP en Latinoamérica que les aseguro no son pocos ;-).
Al día siguiente inicia el evento con 3 talleres simultáneos, "Taller de Análisis de malware: Métodos y técnicas" donde Pablo Ramos enseñaba a los asistentes las técnicas utilizadas para analizar malware, sus novedosas formas de propagarse y finalizando con un "wargame" bien particular donde actuaba de "botmaster", mientras los estudiantes trataban de analizar una muestra y tomar control de la "botnet".
En otra aula Fabio Cerullo realizaba su taller de Desarrollo Seguro, donde explicaba el funcionamiento de la librería ESAPI y les daba a los asistentes las pautas y mejores prácticas para desarrollar adecuadamente, teniendo siempre presenta la seguridad.
Al mismo tiempo que Pablo y Fabio, me encontraba yo realizando un Taller Práctico de Seguridad Web con un excelente grupo al que llevé por un recorrido paso a paso, de las fases necesarias para realizar una auditoría a una aplicación web, entre desarrolladores, encargados de seguridad, webmasters y estudiantes transcurrió este taller destacando la participación de los asistentes quienes aportaban sus experiencias enriqueciendo aún más el contenido.
El siguiente día inicia temprano el ciclo de charlas con pablo ramos y la charla "Del USB a la web: ¿Cómo tu sitio propaga malware?" investigación que mostraba las nuevas formas de propagación de diferentes códigos maliciosos y su significativo nivel de infección en diferentes países de Latinoamérica.
Después de ramos el turno era para Fabio Cerullo con una charla sobre desarrollo seguro, donde condensaba en gran medida los temas impartidos en su taller, mostrando los beneficios de ESAPI y como este proyecto OWASP puede facilitar la vida a un desarrollador preocupado por la seguridad de su aplicación.
La siguiente charla era una vídeo conferencia con Simon Bennetts, líder del proyecto ZAP (Zed Attack Proxy), quien nos mostraba las funcionalidades implementadas en la herramienta en su versión 2.0.
Seguido de bennetts estaba el local Carlos Ganoza mostrando su proyecto WATIQAY una interesante aplicación que permite monitorear un servidor web, identificar cambios en el y según la configuración establecida, realizar una acción determinada, como puede ser restaurar el archivo original, borrar, bloquear una dirección ip o simplemente ejecutar un script que realice la función que nosotros queramos.
El siguiente en subir al escenario fue Diego Pullas, el líder del capítulo Ecuatoriano de OWASP, quien con su charla "Análisis de Riesgos en las Aplicaciones Web" enfocada al mundo empresarial donde enseñaba el tomado de métricas para mantener un correcto monitoreo de la seguridad en un aplicativo web.
Camilo Galdos, también conocido como Dédalo nos mostraba todas las técnicas para encontrar Cross Site Scripting (XSS) en populares sitios web, además de mostrar su herramienta DomKingKong, que facilita la tarea a la hora de encontrar este tipo de fallos en el DOM (Modelo de Objetos del Documento) de un sitio web.
Por cierto Dédalo publicará DomKingKong el próximo 29 de Noviembre en uno de las nuevas entregas de DragonJAR.tv, no te la pierdas 😉
Finalmente el evento se cierra con una charla a la que le he cogido cariño por que con ella he recorrido diferentes países y conocido muchísima gente, se trata de "Pentesting en la era Post-PC" que muestra las herramientas por hardware que nos facilitan la vida a la hora de hacer un pentest.
Después del cierre del evento aparece nuestro amigo Juan Pablo Quiñe quien nos recomienda un restaurante de "Comida China Peruanizada", donde compartimos un rato bastante agradable y como al día siguiente mi vuelo salía temprano, emprendí el recorrido para conocer lima y sus cosas curiosas junto a mis "guías" peruanos Jhon Vargas, Ricardo Supo, Camilo Galdos y Carlos Ganoza .
No siendo más me gustaría agradecer a Fabio Cerullo por la invitación a Jhon Vargas, Ricardo Supo, Camilo Galdos, Carlos Ganozas y Juan Pablo Quiñe por las atenciones y a todos los asistentes del OWASP Latam Tour Lima por su hospitalidad y amabilidad.
(Publicada como acordamos 😉 )PD. Hace mucho debí escribir este post (como el de muchos otros eventos), pero los compromisos offline y las nuevas obligaciones no me permitían hacerlo, pero este mes año me he propuesto ponerme al día con los "Así fue", así que espero los disfruten y no se saturen de ellos 😉