Skip to main content

 

BlueHat Security Briefings: Sesiones y entrevistas de otoño de 2009

BlueHat v9: "A través del espejo", entre el 22 y 23 de octubre en la sede central corporativa de Microsoft

El objetivo principal de la serie de conferencias BlueHat es formar puentes entre desarrolladores y ejecutivos de Microsoft, asociados de programas de seguridad de claves y miembros de la comunidad de investigación de seguridad, al mismo tiempo educar a la mayor cantidad de población de Microsoft en cuanto a amenazas de seguridad y mitigaciones.

La conferencia de este año se basa en el impulso de eventos anteriores al mostrar cómo se puede formar una intersección entre estrategias individuales para ofrecer beneficios significativos y resultados positivos. Nuestro propósito es desmitificar las amenazas de seguridad globales y regionales, y crear canales para un intercambio de información productivo acerca de amenazas comunes que afectan a todos los participantes del ecosistema de seguridad.

BlueHat v9 nuevamente reúne a investigadores externos líderes en materia de seguridad para exponer presentaciones oportunas y entretenidas que presentan investigaciones en curso, herramientas y técnicas de última generación para ataques informáticos, así como amenazas de seguridad emergentes. Nuestros temas principales para BlueHat v9 tratan ataques de delito electrónico, economía de las vulnerabilidades de seguridad, panorama de amenazas global, servicios en línea, seguridad en la nube, seguridad o no seguridad móvil y herramientas y mitigaciones atractivas.

Los vídeos de las sesiones y entrevistas se denotan con este icono a continuación.

Día 1: Jueves 22 de octubre: sesiones generales de BlueHat v9

Bloque de la mañana: Hiperrealidad: "… por qué están pintando estas rosas?"

 Palabras de apertura. Vinny Gullotto, Director general, MMPC, Trustworthy Computing, Microsoft
 Ataques por denegación de servicio por motivos políticos. Jose Nazario, Director de investigación de seguridad, Arbor Network
 Seguridad de RIA: lecciones prácticas de Flash y SilverlightPeleus Uhley, Investigador senior de seguridad, Adobe, y Jesse Collins, ingeniero de seguridad de software, Microsoft
 El lenguaje de la confianza: cómo explotar las relaciones de confianza en contenido activo. Ryan Smith, Investigador de seguridad, Accuvant y David Dewey, Investigador de X-Force, Sistemas de seguridad de Internet de IBM

 

Bloque de la tarde: Seguridad y no seguridad móvil: "¡Curiorífico y curiorífico!"

 Ataque por SMSZane Lackey, Consultor senior de seguridad, iSEC Partners, y Luis Miras, Investigador independiente de seguridad
Seguridad móvil y radio de software . Josh Lackey, Director senior de desarrollo de seguridad, Microsoft
Ataques informáticos a través de SMS por iPhone y cargas. Charlie Miller, Analista principal, Independent Security Evaluators
Seguridad de operadores de telefonía móvil: desafíos de seguridad para redes globales para dispositivos de bolsillo. Patrick McCanna, Arquitecto de seguridad, AT&T Mobility

Día 2: Viernes 23 de octubre: sesiones generales de BlueHat v9

Bloque de la mañana: Servicios de nube y virtualización: "Por sobre el Universo vas volando, con una bandeja de teteras llevando…"

 Palabras de apertura. Andrew Cushman, Director senior, Seguridad de TwC, Microsoft
 Masificación de nube: relación de información indiscriminada que implica infraestructura de Internet. Chris Hoff, Director de Soluciones de nube y virtualización, Cisco
 Saque la cabeza de las nubes: seguridad en Software-plus-Services. John Walton, Director principal de seguridad, Microsoft
 Creación de nubes: cómo evitar una tormenta en la transición de nivel local a serviciosRobert Fly, Director de Seguridad de productos, Salesforce.com
 Compartir la nube con su enemigoBilly Rios, Ingeniero de seguridad, Microsoft, y Nate McFeters, Asesor senior de seguridad, Ernst and Young

 

Bloque de la tarde: Herramientas de pruebas de exploración de vulnerabilidades mediante datos aleatorios y mitigaciones: "En persecución del conejo blanco"

 Hacer más tonto el softwareTavis Ormandy, Ingeniero de seguridad, Google, y Neel Mehta, Ingeniero de software de personal, Seguridad de información, Google
 Ingeniería de seguridad de Office. Tom Gallagher, Jefe senior de pruebas de seguridad, Microsoft, y David Conger, SDET II, Microsoft
 Transformaciones de personajes.  Búsqueda de vulnerabilidades ocultas. Chris Weber, Cofundador, Casaba Security

BlueHat v9: Día 1

Orador principal

Descripción de la sesiónOrador
 

Vinny Gullotto
Director general de MMPC, Microsoft

Vinny Gullotto, como Director general del Centro de protección contra malware de Microsoft supervisa las estrategias diarias y a largo plazo de la empresa para proteger a los clientes de virus, malware y otras amenazas de seguridad.

Gullotto y su equipo son responsables de investigar amenazas y ataques malintencionados contra usuarios de equipos. A través de dicha investigación, desarrollan soluciones y trabajan en conjunto con Microsoft Security Response Center para proporcionar a los clientes orientación, soporte técnico y protección de tales amenazas. Bajo su dirección, el Centro de protección contra malware de Microsoft suministra tecnología central antimalware a Windows Live OneCare, Microsoft Windows Defender, a la Herramienta de eliminación de software malintencionado y a los productos de seguridad de Forefront. El objetivo de Gullotto es ayudar a garantizar que la experiencia de Microsoft en el combate de amenazas de seguridad ayude a proteger a los usuarios de equipos en todo el mundo.

Antes de unirse a Microsoft, Gullotto trabajó varios en años en McAfee, Inc., donde ejerció el cargo de vicepresidente de Anti-virus Research and Vulnerability Emergency Response Team (AVERT). Además de su papel como orador en conferencias de seguridad en todo el mundo, Gullotto ha testificado ante un subcomité del Congreso acerca de la respuesta del gobierno federal frente a las amenazas de seguridad que enfrentan los equipos en Estados Unidos.

Gullotto también integró el directorio de un empresa estadounidense privada que desarrollaba sistemas de operador de correo de voz basados en equipo. Gullotto es Licenciado en Ciencias en Administración comercial de la Universidad de Phoenix.

 

Ataques por denegación de servicio por motivos políticos

Descripción de la sesiónOrador
El rápido crecimiento de Internet se ha visto reflejado en un creciente número de ataques "flood" de congestión del servidor de paquetes en todo el mundo de la mano de motivaciones políticas. Estonia, Georgia, CNN, Ucrania y muchos otros objetivos se han visto en esta esfera en los últimos años, y los ataques se han extendido durante aproximadamente una década. Esta charla explora el mundo de los ataques de denegación de servicio distribuido (DdoS) y su creciente función como arma política en línea. También trata cómo Arbor Networks midió los ataques de Estonia y Georgia, cómo se miden otros ataques y qué significan estos ataques para Internet.

Dr. Jose Nazario
Director investigación de seguridad, Arbor Networks

El Dr. Jose Nazario es Director de investigación de seguridad en Arbor Networks. En este cargo, es responsable de analizar complejas amenazas de seguridad de Internet, aplicar ingeniería inversa a código malintencionado y desarrollar mecanismos de seguridad que luego se distribuyen a las plataformas Peakflow de Arbor a través del servicio de detección de amenazas Active Threat Feed (ATF). Dentro de los intereses de la investigación del Dr. Nazario se incluyen tendencias de Internet a gran escala como medición de comunicación y topología, eventos a escala de Internet como ataques DDoS, botnets y gusanos, herramientas de análisis de código de fuente y minería de datos. Es autor de los libros Defense and Detection Strategies against Internet Worms y Secure Architectures with OpenBSD. Obtuvo un Doctorado en Bioquímica de la Universidad Case Western Reserve en 2002. Antes de incorporarse a Arbor Networks, era consultor de seguridad independiente. El Dr. Nazario generalmente es orador en conferencias a nivel mundial, con presentaciones anteriores en FIRST, CanSecWest, PacSec, Black Hat y NANOG. También mantiene WormBlog.com, un sitio dedicado al estudio de la detección de gusanos y la investigación de defensa.

Ver una entrevista con Jose Nazario

 

Seguridad de RIA: lecciones prácticas de Flash y Silverlight

Descripción de la sesiónOrador

Un gran poder conlleva una gran responsabilidad. Los marcos de aplicación de Internet enriquecidos como Adobe Flash y Flex y Microsoft Silverlight permiten que los desarrolladores creen aplicaciones web únicas y emocionantes; pero si se hace un mal uso a estas tecnologías, también pueden permitir que los desarrolladores creen vulnerabilidades de aplicaciones web únicas y emocionantes. Además, se ha sabido de algunas personas inescrupulosos que crean aplicaciones malintencionadas de Flash y Silverlight con la intención de engañar a personas buenas y honestas para que hospeden estas aplicaciones en sus propios sitios web.

Esta sesión explorará estos temas desde la perspectiva de Flash y Silverlight. Aprenda a crear aplicaciones RIA más seguras, a identificar RIA potencialmente malintencionadas antes de hospedarlas en su sitio y sepa qué están haciendo los equipos de Flash y Silverlight para proteger a sus clientes.

  Vea la presentación Seguridad de RIA: lecciones prácticas de Flash y Silverlight

Peleus Uhley
Investigador senior de seguridad, Adobe

Peleus Uhley es un investigador senior de seguridad dentro del equipo de Ingeniería de software seguro de Adobe. Su interés principal es ayudar con tecnologías de plataforma de Adobe, que incluyen Flash Player y AIR. Antes de unirse a Adobe, Peleus se desempeñaba en el sector de seguridad como desarrollador para Anonymizer, Inc. y fue consultor de seguridad para empresas en @stake y Symantec.

Jesse Collins
Ingeniero de seguridad de software, Microsoft

Jesse Collins es ingeniero senior de seguridad en el equipo de Silverlight. Inició su carrera en seguridad en 2005 al entrenar con David Ross y sus investigadores durante un tiempo antes de trabajar en WPF. Hoy en día, ayuda a proteger la plataforma de Silverlight a través de pruebas de exploración de vulnerabilidades mediante datos aleatorios, ataques informáticos y con la esperanza de que los desarrolladores ejecuten OACR. Jesse también orienta a los clientes y a los equipos de productos de Microsoft acerca de cómo escribir aplicaciones seguras de Silverlight.

Vea una entrevista con Peleus Uhley y Jesse Collins

 

El lenguaje de la confianza: cómo explotar las relaciones de confianza en contenido activo

Descripción de la sesiónOrador

El contenido interactivo se ha vuelto cada vez más eficaz y flexible en los últimos años, con importante mejoras de funcionalidad que aparecen en varias tecnologías basadas en Web, como Javascript, .NET y a través de complementos del explorador. Estos cambios en la funcionalidad, junto con capas de intercomunicación cada vez más complejas, han creado una capa de confianza matizada y precaria entre muchos componentes diferentes sin relación anteriormente.

Esta presentación intenta abordar el problema de la confianza en el contexto de contenido activo e indicar que es más complicado de lo que aparenta. Demostraremos la explotación de estas relaciones de confianza en distintos niveles de aplicaciones, desde controles de subversión de seguridad de arquitectura a vulnerabilidades de corrupción de memoria que conducen a una ejecución arbitraria.

Ryan Smith
Investigador de seguridad, Accuvant

Ryan Smith, que mantiene www.hustlelabs.com, se centra principalmente en detectar vulnerabilidades de software, desarrollar estrategias de explotación, aplicar ingeniería inversa general y diseñar algoritmos para apoyar el análisis de programas. Muchos proveedores lo han señalado como el responsable de detectar vulnerabilidades en software de servidores, aplicaciones P2P, tecnología de explorador web, software antivirus y programas de compresión.

  Vea una entrevista con Ryan Smith

David Dewey
Investigador de X-Force, Sistemas de seguridad de Internet de IBM

David Dewey es investigador de X-Force de Sistemas de seguridad de Internet de IBM. Ha detectado numerosas vulnerabilidades en servidores de aplicaciones, aplicaciones antivirus y tecnología de explorador. Su investigación durante el último año se ha centrado principalmente en la explotación de exploradores. David ha expuesto en diversas conferencias del sector, que incluye Black Hat.

 

Ataque por SMS

Descripción de la sesiónOrador

Con el aumento en el uso de mensajería de texto en el mundo, los SMS proporcionan una superficie de ataque cada vez más amplia en los teléfonos móviles de hoy en día. Desde actualizaciones por transmisión terrestre hasta mensajes multimedia con contenido enriquecido, los SMS ya no son un simple servicio para entregar pequeños mensajes de sólo texto. Además de su amplia gama de funcionalidades admitidas, los SMS son también una de las únicas superficies de ataque de los teléfonos móviles activada de forma predeterminada y que casi no necesita interacción del usuario para recibir el ataque.

El propósito de esta charla es informar al público de las amenazas a los teléfonos móviles de hoy en día que impone el tráfico hostil de SMS. Analizaremos los ataques a las implementaciones centrales de SMS y MMS mismas, junto con las funciones de terceros a las que se pueden obtener acceso mediante SMS. Se presentarán resultados de pruebas contra plataformas móviles en situaciones prácticas.

Además de nuestros propios resultados, analizaremos y lanzaremos varias herramientas para permitir que los usuarios pongan a prueba la seguridad de sus dispositivos móviles. Por último, demostraremos y lanzaremos una aplicación de ataque por SMS basada en iPhone que facilita varios ataques que podremos analizar.

Luis Miras
Investigador de seguridad independiente

Luis Miras es un investigador de seguridad independiente. Ha trabajado para proveedores de productos de seguridad y empresas consultoras líderes. Sus intereses incluyen investigación de vulnerabilidades, análisis binario e ingeniería inversa de hardware y software. En el pasado, trabajó en diseño digital y programación insertada. Ha expuesto en CanSecWest, Black Hat, CCC Congress, XCon, REcon, DefCon y otras conferencias en el mundo. Hace poco, Luis es coautor de Reverse Engineering Code with IDA Pro (Syngress, 2008).

Zane Lackey
Consultor senior de seguridad, iSEC Partners, Inc.

Zane Lackey es Consultor senior de seguridad en iSEC Partners, Inc. Su enfoque investigativo incluye seguridad en teléfonos móviles, aplicaciones AJAX Web y Voice Over IP (VoIP). Zane ha expuesto en importantes conferencias de seguridad, que incluyen Black Hat, Toorcon, MEITSEC, YSTS, y el Foro abierto de iSEC. Además, es coautor de Hacking Exposed: Web 2.0 (McGraw-Hill) y autor/editor técnico colaborador de Hacking VoIP (No Starch Press). Posee una Licenciatura en Economía con especialización en Informática de la Universidad de California, Davis.

 

Seguridad móvil y radio de software

Descripción de la sesiónOrador
La investigación de seguridad en teléfonos móviles está obteniendo masa crítica rápidamente. Los investigadores están examinando la superficie de ataque y están diseminando sus conocimientos. Existen proyectos que apuntan a descifrar el cifrado, proyectos que apuntan a encontrar vulnerabilidades de implementación y proyectos que pueden atacar a la estructura misma. Radio de software, al permitir que los investigadores controlen los niveles más bajos de los protocolos correspondientes, ayuda a, y en algunos casos permite, estos ataques. Esta sesión explorará los ataques públicos actuales contra la seguridad de los teléfonos móviles.

Josh Lackey
Director senior de desarrollo de seguridad, Microsoft

Josh Lackey es el director del equipo de Pruebas de penetración de MSEC de TwC. Su equipo es responsable de realizar ataques a los productos de Microsoft antes de que los atacantes externos tengan la oportunidad de hacerlo. Josh posee un Doctorado en Matemáticas y dedica su tiempo a investigar vulnerabilidades de seguridad. Le encanta descifrar cosas y se siente especialmente satisfecho cuando lo logra con radio de software.

  Vea una entrevista con Josh Lackey

 

Ataques informáticos a través de SMS por iPhone y cargas

Descripción de la sesiónOrador

Esta charla presentará brevemente la arquitectura de seguridad de iPhone. Luego demostrará cómo realizar pruebas de exploración de vulnerabilidades mediante datos aleatorios automatizadas en el dispositivo, incluidas pruebas del mismo tipo en SMS. Describirá la vulnerabilidad en SMS que Charlie Miller descubrió y la manera de explotarla. Por último, hablará sobre las cargas de vulnerabilidades de seguridad y lo que los atacantes pueden hacer una vez que obtienen el control.

  Vea la presentación Ataques informáticos a través de SMS por iPhone y cargas

Charlie Miller
Analista principal, Independent Security Evaluators

Charlie Miller fue el primero en explotar públicamente los teléfonos Apple iPhone y Google G1. Ha ganado la competencia Pwn2Own los últimos dos años. La revista Popular Mechanics lo calificó como uno de los diez mejores atacantes informáticos de 2008. Posee un Doctorado de la Universidad de Notre Dame y actualmente es el analista principal en Independent Security Evaluators.

 

Seguridad de operadores de telefonía móvil: desafíos de seguridad para redes globales para dispositivos de bolsillo

Descripción de la sesiónOrador

¿Qué significa implementar seguridad en una red de proveedores de servicio de telefonía móvil? ¿No puede simplemente implementar algunos firewalls aquí e IPS allá y listo?

Esta presentación analizará los desafíos únicos que los proveedores de servicio de telefonía móvil enfrentan al implementar seguridad y los puntos en que las soluciones obvias como firewalls, filtros y prevención de intrusión no son escalables de maneras no tan obvias. Los miembros del público aprenderán las funciones de una red móvil y se irán con conocimientos acerca de los desafíos de seguridad que los operadores enfrentan al entregar una red móvil así como al establecer plataformas nuevas para esa red.

Patrick McCanna
Arquitecto de seguridad, AT&T Mobility

Patrick McCanna está a cargo del personal técnico en la Organización de seguridad ejecutiva de AT&T, donde es responsable de la seguridad en productos y servicios orientados al consumidor en AT&T mobility. Aunque hoy en día no se encuentra en una etapa de desarrollo activo, su cartera de desarrollo de software incluye software de redes para cabinas de aviones, aplicaciones web para comercio electrónico y herramientas métricas para centros de datos. Patrick posee una Licenciatura en Informática con especialización en matemáticas de Linfield College. Es un profesional certificado en el campo de la seguridad de sistemas de información.

  Vea una entrevista con Patrick McCanna

 

BlueHat v9: Día 2

Orador principal

Descripción de la sesiónOrador
 

Andrew Cushman
Director senior, Seguridad de TwC, Microsoft Corporation

Como Director senior de estrategia de Trustworthy Computing Group de Microsoft Corporation, el enfoque principal de Cushman se centra en la confianza de un extremo a otro, la iniciativa de Microsoft de lograr una Internet más segura y de confianza, que tiene como objetivo llevar la confiabilidad del mundo físico al cibermundo. Cushman está a cargo del alcance de confianza de un extremo a otro y trabaja con distintos equipos de Microsoft responsables de la formulación y la entrega de privacidad, seguridad, confiabilidad y experiencia de confianza.

Se unió al MSRC en 2004 como miembro del equipo de liderazgo ejecutivo del Grupo de ingeniería de seguridad que transformó los procesos de seguridad en una parte integral de la cultura de ingeniería de Microsoft. Desde entonces, ha sido una fuerza impulsora detrás de la estrategia de alcance y los esfuerzos de ejecución de los investigadores de seguridad de la empresa, y ha formulado la estrategia de Iniciativa de divulgación responsable y ha iniciado la franquicia de las conferencias de seguridad BlueHat.

Cushman anteriormente administró Microsoft Security Response Center (MSRC). El MSRC lidera la respuesta de emergencia ante amenazas de seguridad, define y hace cumplir las directivas de respuesta y supervisa la calidad y la oportunidad de las actualizaciones mensuales. Cushman amplió los programas de alcance del MSRC para abarcar a los investigadores de seguridad así como a las organizaciones, a las empresas y a los equipos de respuesta informática de emergencia establecidos del sector.

Desde que se unió a Microsoft en enero de 1990, Cushman ha ejercido cargos en el Grupo de productos internacionales de Microsoft, el equipo de Microsoft Money y el equipo de Internet Information Services (IIS). Estuvo a cargo del equipo de productos de IIS durante el desarrollo de IIS 6.0 en Windows Server® 2003. IIS 6.0 fue uno de los primeros productos de Microsoft en adoptar por completo los procesos de ingeniería de seguridad que hoy en día personifica SDL y sigue siendo un ejemplo del compromiso de Microsoft con la ingeniería de seguridad y Trustworthy Computing.

Cushman posee una Licenciatura en Estudios internacionales de la Universidad de Washington y un Máster en Comercio internacional de la Universidad de Seattle. Fuera del trabajo, es un entusiasta esquiador.

 

Masificación de nube: relación de información indiscriminada que implica infraestructura de Internet

Descripción de la sesiónOrador

Lo que antes estaba de moda ya no lo está.

Esta metáfora es verdadera no sólo como un análisis preciso de las tendencias de adopción de tecnología e innovación incorrectas en la empresa, sino que además establece un paralelo de la sorprendente velocidad de cómo en nuestros centros de datos se vuelven a definir los perímetros y terminan literalmente de cabeza, gracias a la nube y la virtualización.

Una de las cosas más atemorizantes que están ocurriendo con la convergencia masiva de virtualización y nube es su efecto en los modelos de seguridad y la información que deben proteger. Dónde y cómo nuestros datos se crean, se procesan, obtienen acceso, se almacenan, se respaldan y se destruyen en lo que de seguro se convertirá en servicios basados en nubes superpuestos de forma masiva (y por quién y con qué estructura) produce preocupaciones significativas respecto de la seguridad, la privacidad, el cumplimiento y la sobrevivencia. 

Además, el problema de “juego de lego” se vuelve increíblemente atemorizante conforme la noción de nubes anidadas se hace realidad: Proveedores de SaaS de nube que dependen de proveedores de IaaS de nube que a su vez dependen de proveedores de red de nube. Es un puñado de bloques de lego.

Mostraremos varios niveles en cascada de error asociados a la dependencia de infraestructura y servicios de nube a nube, lo que incluye la exposición de suposiciones con errores y teorías sin probar cuando se relacionan con seguridad, privacidad y confidencialidad en la nube, con algunos vectores de ataque únicos.

  Vea la Masificación de nube: Presentación Relación de información indiscriminada que implica infraestructura de Internet

Chris Hoff
Director de Soluciones de nube y virtualización, Soluciones de centros de datos en Cisco Systems

Chris Hoff cuenta con quince años de experiencia en sus funciones globales de alto perfil en arquitectura de red y seguridad de información, ingeniería, operaciones y administración, con pasión por la virtualización y todo lo relativo a las nubes. Hoff actualmente es director de Soluciones de nube y virtualización, Soluciones de centros de datos en Cisco Systems. Antes de ingresar a Cisco, fue arquitecto de seguridad en jefe de la División de sistemas y tecnología de Unisys Corporation. Además, se desempeñó como estratega de seguridad en jefe en Crossbeam Systems, fue director en jefe de seguridad de la información para una empresa de servicios financieros de $25 miles de millones, fundador/director en jefe de tecnología de una consultora de seguridad nacional y asesora a empresas y capitalistas. Publica en el blog http://www.rationalsurvivability.com y mantiene de forma compartida el Podcast de seguridad de nube.

  Vea una entrevista con Chris Hoff

 

Saque la cabeza de las nubes: seguridad en Software-plus-Services

Descripción de la sesiónOrador
Software-plus-Services (S+S) es un enfoque del sector para la próxima generación de informática que crece rápidamente. Es una convergencia de varios fenómenos del sector, incluidos SaaS, SOA y Web 2.0. Software-plus-Services combina estos enfoques para reunir lo mejor de los servicios basados en nubes y el software que reside en un mundo de dispositivos. La potencia de un software cliente a nivel local y/o in situ combinado con el alcance y la naturaleza siempre actualizada de los servicios en la nube ofrecen mayor flexibilidad que una oferta sólo de software o de servicio. Esta presentación examinará tanto los desafíos como las ventajas de diseñar y operar S+S de confianza. Además, comparará y contrastará seguridad dentro de las prácticas de desarrollo tradicionales y ágiles. Las empresas y lo consumidores que consideren este nuevo modelo informático se beneficiarán de la base que esta charla sentará para la evaluación de riesgos y expectativas de seguridad en S+S.

John Walton
Director principal de seguridad de Microsoft

El Equipo de liderazgo de seguridad de servicios en línea (OSSLT) es un equipo de virtualización que consta de SME de seguridad de todo Microsoft y se centra en solucionar desafíos de seguridad de servicios en línea. Este equipo desarrolla y comparte procedimientos recomendados de seguridad, herramientas, procesos, patrones, así como inteligencia en vectores y vulnerabilidades de ataques nuevos. El OSSLT se formó para tener un impacto estratégico en la manera en que Microsoft realiza la seguridad de Software-plus-Services (S+S). John Walton es director principal de seguridad de Microsoft, donde pasa el tiempo a cargo del equipo de seguridad de ingeniería responsable de permitir e impulsar el desarrollo seguro de los servicios en línea de Informática de confianza de Microsoft. Él y su equipo fundaron el Equipo de liderazgo de seguridad de servicios en línea para evangelizar y colaborar en los procedimientos recomendados de seguridad en la comunidad de servicios en línea más amplia de Microsoft. Las responsabilidades de su equipo incluyen investigación de seguridad, modelado de amenazas, auditoría de códigos, desarrollo de herramientas y pruebas de penetración de Software-plus-Services que Microsoft desarrolla y hospeda para empresas.

  Vea una entrevista con John Walton

 

Creación de nubes: cómo evitar una tormenta en la transición de nivel local a servicios

Descripción de la sesiónOrador
Conforme más y más proyectos de software tradicionales comienzan a avanzar hacia la nube y se entregan como servicio, las empresas deben admitir que los mecanismos de seguridad en los que solían confiar no bastarán para amenazas más amplias de Internet y expectativas más altas de los clientes en servicios basados en nubes. Trataremos algunos aspectos únicos de la creación de servicios de nube listos para la empresa y de la entrega con confianza de que ayudarán a crear una seguridad del proveedor de nube satisfactoria y a evitar la lluvia torrencial de problemas imprevistos.

Robert Fly
Director de Seguridad de productos, Salesforce.com

Robert Fly encabeza el equipo de Seguridad de productos en Salesforce.com. Entre otras cosas, su equipo impulsa el esfuerzo del ciclo de vida de desarrollo de seguridad que garantiza que se preste la más absoluta atención para mantener la protección de los datos de los clientes. A través de estándares de seguridad, herramientas, automatización y puntos de control, Salesforce.com ha podido crear y mantener un programa que mantiene nuestro compromiso de confianza con nuestros clientes.

Antes de unirse a Salesforce.com, Robert estuvo ocho años en Microsoft, últimamente a cargo del equipo de seguridad de software que ahora se conoce como servicios en línea de Microsoft. Antes de esto, estuvo en el equipo de Seguridad de Office que ayuda a proteger productos como Outlook y SharePoint. Es coautor del libro Open Source Fuzzing, miembro fundador de Cloud Security Alliance, CISSP y tiene varias patentes pendientes en las áreas de seguridad y pruebas de software.

 

Compartir la nube con su enemigo

Descripción de la sesiónOrador

Gracias a la plétora de ofertas de servicios de nube emergentes, es sorprendente que la potencia de la informática esté al alcance de cualquier persona con una tarjeta de crédito (robada). Esta presentación no analizará implicancias legales y de cumplimiento de los servicios de nube de consumo; dejémosle eso a los auditores y a sus listas de comprobación. En su lugar, esta presentación se centrará en los siguientes temas:

  • Un examen de cómo la “pila de seguridad” de la nube aumenta o disminuye las exposiciones de seguridad.
  • Una demostración de cómo el impacto de vectores de ataque bien conocidos puede tener un efecto devastador en las plataformas de nube y en los clientes que las usan.
  • Un tutorial de las vulnerabilidades detectadas que afectaron a proveedores de nube conocidos y populares.
  • Vectores nuevos de ataque que se dirigen a los modelos de negocio de proveedores de servicio de nube, los cuales pueden incorporar abuso perpetuo y que no se pueda detener sin desviación en los modelos de negocio de los proveedores de nube.

El objetivo de esta presentación es iniciar una discusión en la comunidad tecnológica con la esperanza sincera de que llevará a un reconocimiento amplio de las implicancias de seguridad de cambios que probablemente afecten a las plataformas de nube y a sus clientes en el futuro cercano.

Billy Rios
Ingeniero de seguridad, Microsoft

Billy Rios actualmente se desempeña como ingeniero de seguridad para Microsoft y trabaja para el Grupo de servicios en línea empresariales. Antes de su función actual, Billy fue evaluador de penetración para VeriSign y Ernst and Young. En su calidad de evaluador, organizaciones Fortune 500 lo contrataron para evaluar la eficacia de la postura de seguridad de cada organización. Billy se ganaba la vida superando en inteligencia a los equipos de seguridad, burlando las medidas de seguridad y demostrando el riesgo empresarial de las exposiciones de seguridad ante ejecutivos y responsables de la toma de decisiones a nivel organizacional. Antes de convertirse en evaluador de penetración, trabajó como analista de aseguramiento de información para Defense Information Systems Agency (DISA). Mientras estuvo en la DISA, ayudó a proteger a los sistemas de información del Departamento de Defensa (DoD) a través de la detección de intrusión de redes, análisis de vulnerabilidades, manejo de incidentes e informes de incidentes formales en eventos relacionados con seguridad que implican sistemas de información del DoD. Antes de atacar y defender sistemas de información, Billy era un oficial en servicio activo de la Infantería de Marina de Estados Unidos. Billy ha expuesto en diversas conferencias de seguridad, que incluyen: Black Hat Briefings, BlueHat, RSA, Hack in the Box y PACSEC. Posee una Licenciatura en Administración comercial, un Máster en Ciencias en Sistemas de información y actualmente sigue estudios para obtener un Máster en Administración comercial (MBA).

Nathan McFeters
Asesor senior de seguridad, Ernst and Young

Nathan McFeters es Asesor senior de seguridad para el Centro de seguridad avanzada de Ernst & Young con sede fuera de Houston, TX. Ha realizado trabajos de aplicaciones web, código de fuente, Internet, Intranet, conexiones inalámbricas y de acceso telefónico, y de ingeniería social para varios clientes en Fortune 500 durante su carrera en Ernst & Young; y ha ejercido como Engagement Manager para el cliente de mayor envergadura de ASC, a cargo de cientos de revisiones de aplicaciones web sólo este año.

Antes de asumir su cargo en Ernst & Young, Nathan costeó sus estudios universitarios y de posgrado en la Western Michigan University trabajando como consultor para Solstice Network Securities, una empresa cofundada con Bryon Gloden de Arxan, centrada en proporcionar consultorías de alta calidad a clientes en la zona oeste de Michigan.

Nathan posee un grado universitario en teoría y análisis de informática de la Western Michigan University y un Máster en Ciencias en Informática, con especialización en seguridad informática, de la misma universidad.

  Vea una entrevista con Billy Rios y Nate McFeters

 

Hacer más tonto el software

Descripción de la sesiónOrador

Describimos nuestra experiencia con un sistema diseñado para seleccionar candidatos óptimos para pruebas de exploración de vulnerabilidades mediante datos aleatorios de software desde cuerpos de muestras grandes con una inversión inicial mínima de esfuerzo. Las pruebas modelo de exploración de vulnerabilidades mediante datos aleatorios asistidas por inferencia se han destacado en la identificación de vulnerabilidades en datos de entrada altamente estructurados de análisis de software; describimos cómo lograr resultados comparables sin la gramática de requisito y a un costo de instalación bastante reducido. Nuestra técnica aplica minimización de cobertura establecida a los cuerpos de muestra, combinada con mutación impulsada por comentarios mediante una técnica nueva que llamamos generación de perfiles de subinstrucción. Demostraremos cómo usamos esta técnica para revelar varias vulnerabilidades en Windows.

(El título se deriva de la observación con respecto a que una investigación importante sobre las pruebas de exploración de vulnerabilidades mediante datos aleatorios hace que los ejecutores de estas pruebas se vuelvan más inteligentes y les otorga mayores conocimientos del protocolo y del objetivo que están atacando. Proponemos que esta es la dirección equivocada y demostramos cómo el software se puede hacer genéricamente “más tonto”, en esencia con pruebas de exploración de vulnerabilidades mediante datos aleatorios muy ingenuas tan efectivas como ejecutores más costosos [en términos de esfuerzo de desarrollo]).

Tavis Ormandy
Ingeniero de seguridad, Google

Tavis Ormandy es investigador de seguridad de UNIX y activo participante de la seguridad de código abierto. Como ingeniero de seguridad de información del Equipo de seguridad de Google, es responsable de identificar y analizar vulnerabilidades de seguridad en una amplia gama de software. Entre sus publicaciones recientes, se incluyen las obras en que participó como coautor de Exposing Application Internals y Hostile Virtualized Environments.

Neel Mehta
Ingeniero de software de personal, Seguridad de información, Google

Neel Mehta es investigador de seguridad en Google, con experiencia en ingeniería inversa. Neel ha pasado la mayor parte de su carrera buscando vulnerabilidades de amplio alcance en software y hardware en red. Es coautor de The Shellcoder's Handbook y ha expuesto en muchas conferencias académicas y de seguridad de información aplicada. Por sobre todo lo demás, trabaja duro para estar al frente de la investigación de vulnerabilidades e ingeniería inversa, donde reside su verdadera pasión. En particular, Neel disfruta auditar software de Microsoft.

 

Ingeniería de seguridad de Office (en inglés)

Descripción de la sesiónOrador

Esta es una presentación multipartita de ingenieros que trabajan en seguridad de Microsoft Office. En la primera parte se detallará un marco de pruebas distribuidas de exploración de vulnerabilidades mediante datos aleatorios. En la segunda parte se detallarán las defensas de ingeniería para ataques de pruebas de exploración de vulnerabilidades mediante datos aleatorios en la próxima versión de Office (Office 2010).

Los investigadores de seguridad y las vulnerabilidades de seguridad siguen aprovechando los errores de las pruebas de exploración de vulnerabilidades mediante datos aleatorios en los productos Microsoft. ¿Qué estamos haciendo para defender nuestros productos? Tal como se presentó en la conferencia Blue Hat del año pasado, mientras más iteraciones de pruebas de exploración de vulnerabilidades mediante datos aleatorios haya, es más probable que encuentre errores. SDL ahora necesita una ejecución de prueba de exploración de vulnerabilidades mediante datos aleatorios limpia de medio millón de iteraciones para proceder al envío. Parece una buena idea que se podría concretar, pero ¿qué pasa si su aplicación analiza más de 200 formatos? Es tiempo de pensar y aprovechar la eficacia de un botnet para hacer el trabajo: termine con comandos de pruebas de exploración de vulnerabilidades mediante datos aleatorios y servidores de control para delegar el trabajo a bots de este tipo de pruebas.

Esta presentación trata un marco creado por el equipo de Office para aplicar pruebas de exploración de vulnerabilidades mediante datos aleatorios de manera eficaz a cualquier analizador de formatos de archivo. Este marco lo puede usar cualquier equipo interno de productos que analice la entrada de archivos y reduzca de manera significativa el impacto en torno a las pruebas de exploración de vulnerabilidades mediante datos aleatorios de los archivos. Este marco en sí no ejecuta pruebas de exploración de vulnerabilidades mediante datos aleatorios. No necesita volver a escribir sus ejecutores de pruebas de exploración de vulnerabilidades. En su lugar, permite que los ejecutores existentes se complementen y se ejecuten de manera distribuida. El equipo de Office está usando este sistema para realizar millones de iteraciones por día sin comprar ningún hardware adicional. El equipo de Office transformó máquinas de escritorio y máquinas de laboratorio en un botnet para pruebas de exploración de vulnerabilidades mediante datos aleatorios durante el tiempo de inactividad. Otros desafíos resueltos por el marco de pruebas distribuidas de exploración de vulnerabilidades mediante datos aleatorios y tratados en esta presentación incluyen administración de ejecución central, programación de trabajos recurrentes, detección duplicada en máquinas y ejecuciones, pasos de regresión automatizados y archivos de errores automatizados.

Incluso con millones de iteraciones de pruebas distribuidas de exploración de vulnerabilidades mediante datos aleatorios y siguiendo las prácticas recomendadas del ciclo de vida de desarrollo de seguridad (SDL), algunos errores se pasarán por alto. El equipo de seguridad de Office ha diseñado una serie de defensas en capas para fortalecer los analizadores. Esta presentación también trata dos de estas capas. La primera capa, Equipo selector, ayuda a validar si los datos debe cargarlos la aplicación objetivo. La arquitectura del Equipo selector permite que lo usen otras aplicaciones y describe formatos binarios adicionales. La segunda capa en discusión aprovecha los niveles de integridad de Windows y se conoce como Vista protegida. Incluso si se ejecuta un código malintencionado dentro de la Vista protegida, no debe ser capaz de modificar el equipo host. La presentación demostrará cómo la Vista protegida y el Equipo selector pueden mitigar casos recientes del MSRC.

  Vea la presentación Ingeniería de seguridad de Office

Tom Gallagher
Jefe senior de pruebas de seguridad, Microsoft

A Tom Gallagher le intrigó la seguridad física e informática a corta edad. Actualmente lidera el equipo de Pruebas de seguridad de Microsoft Office. Es coautor la obra de Microsoft Press Hunting Security Bugs y ha expuesto en Open Web Application Security Project (OWASP) en Seattle, en Black Hat y en las conferencias de TechEd.

David Conger
SDET II, Microsoft

David Conger comenzó en Microsoft en 2005 después de graduarse de la Universidad de Puget Sound. Es Ingeniero de desarrollo de software en Pruebas II del equipo Microsoft Access y creó el Marco de pruebas distribuidas de exploración de vulnerabilidades mediante datos aleatorios como una manera de utilizar mejor los recursos de su equipo para este proceso.

  Vea una entrevista con David Conger y Tom Gallagher

 

Transformaciones de caracteres: búsqueda de vulnerabilidades ocultas

Descripción de la sesiónOrador

Las aplicaciones web se explotan cada día cuando los atacantes encuentran nuevos vectores para perpetrar sus ataques transversales de script. Esta tarea tratará maneras en que un carácter latente y una administración de cadenas pueden transformar entradas inteligentes en salidas malintencionadas. Muchos marcos de aplicaciones como Microsoft .NET e ICU permiten estos comportamientos sin el conocimiento del desarrollador. Se analizarán las transformaciones de cadenas a través de las asignaciones más adecuadas, operaciones de caso, normalización, sobreconsumo y otros medios, con entradas útiles para las pruebas. También se planea el lanzamiento de una herramienta de prueba.

Se discutirá el estado actual de ataques visuales de suplantación de identidad. Los ataques de suplantación de identidad (phishing) predominan en la Web y las direcciones URL bien diseñadas pueden aumentar la posibilidad de que el ataque sea satisfactorio. Es revelador ver demostraciones de lo vulnerables que son aún los exploradores web modernos ante muchas formas de ataques de suplantación de identidad visual.

Chris Weber
Cofundador, Casaba Security

Chris Weber es cofundador de Casaba Security, donde está a cargo del desarrollo de productos para que las herramientas nuevas ayuden en el campo de seguridad de Unicode y de aplicaciones web. Lleva años concentrado en las pruebas de seguridad de software para algunas de las empresas líderes de desarrollo de software y propiedades en línea. Chris ha escrito varios libros, artículos y presentaciones de seguridad, y normalmente expone en conferencias del sector. Ha trabajado como investigador y consultor de seguridad durante más de una década, identificando cientos de vulnerabilidades de seguridad en muchos productos ampliamente utilizados.

  Vea una entrevista con Chris Weber