HCEL 2009

Claudio Salazar Sepúlveda csalazar en alumnos.inf.utfsm.cl
Lun Ago 25 10:29:44 CLT 2008 

Horst H. von Brand escribió:
> Como he dicho en multiples oportunidades, andarse colando en sistemas
> ajenos, creando gusanos y troyanos, etc _nada_ tiene que ver con seguridad,
> son habilidades y enfoques completamente diferentes. Saber mucho de una de
> ellas pocazo aporta en la otra.
>   

Nada de gusanos, nada de troyanos (eso es para eventos windowzeros), 
nada de sistemas ajenos. Son simplemente niveles que presentan 
vulnerabilidades, tanto en aplicaciones del servidor web como en 
binarios, que pueden ser explotados.
Y son enfoques muy asociados la seguridad con la explotacion. Para mi, 
una persona que no sepa explotar cosas basicas y llegar a pensar 
realmente como un atacante, no puede basar su aplicacion de la seguridad 
en el conocimiento de libros.
Y la explotacion en la realidad, es muy diferente a lo que dicen los 
libros que hablan sutilmente de buffers overflows y otros.

> Notese que organizar una cosa de estas tiene posibilidades serias de
> problemas legales, y definitivamente de dejar a la comunidad Linux (de
> nuevo, despues de un trabajo de an~os de crear una imagen seria!) como "una
> tropa de nin~itos malcriados, aficionados al vandalismo". De ninguna forma
> quiero verme asociado con esta clase de actividades.
>   

¿ Por que en otros paises, donde existen leyes mas estrictas sobre 
cibercrimen, se desarrollan perfectamente ? Tambien estan los wargames.

El fin que perseguimos, es impregarle tambien caracter TECNICO al 
Encuentro. Mucha charla que no llama la atencion a gente que tiene ya 
conocimiento en Linux y no quiere pagar la inscripcion para "el roce con 
la comunidad", que no se da.

Cuando se creo el Encuentro Linux, supongo que otros vientos corrian. 
Era el 99', con menos GULs y mas gente en canales de IRC. Habian 
corriendo por Internet varias ezines chilenas de caracter tecnico 
(aparte de haber un auge mundial en este tema), y el Encuentro Linux se 
habria como la primera instancia de reunion de la comunidad. Pero que 
acerca de la otra comunidad? Esa que realmente hablaba temas tecnicos, 
que se salia de la GUI para meterse en el codigo y lo que gdb vomitara a 
las 5 AM?  Quedo con el conocimiento estancado, relegado a mirar el 
Encuentro de lejos que solo le hablaba de UI y algun que otro tema 
tecnico, pero que no valia la pena asistir.

Es el momento preciso para darle un caracter mas tecnico al Encuentro, y 
limpiar lo que muchos conocen como "hacking".

>
> Si son buenas opciones: Juntar a la gente a desarrollar, reparar pifias,
> ver como reproducir problemas, cerrar/aportar a tickets en bugzilla, ...
> (/eso/ es hacking!). Incluso organizar auditoria de codigo de alguna cosa,
> buscando pifias de seguridad, con eso la gente aprende cosas utiles.
> Requiere algun lider de un proyecto, y recopilar algunos problemas a
> resolver, proyectos chicos a enfrentar, ...  /Esto/ es un aporte.
>   

Eh, esa es otra concepcion de hacking dada por los primeros 
programadores de GNU, mas bien relacionado con programacion y no con 
exploracion y cuestionarse las cosas.

Lo que nosotros planteamos, es algo que nace quizas con Capitan Crunch 
(70's) y los phreakers, y se cultivo en BBS y ezines como phrack y otras.
Quizas con una auditoria de seguridad, veamos que un strcpy() pasa los 
limites y digamos "oh un posible bof" y pongamos strncpy() y solucionado 
el problema.
Que aprendi? Mi mente quedo reducida a lo mecanico de ocupar funciones 
que hacen verificacion de largos de buffers.

Entonces aprendi de lo realmente peligroso que puede ser eso, si vi 
lineas de codigo sin ningun PoC (Proof of Concept)?

El enfoque que proponemos es mediante lo mismo que podemos hacer en un 
auditoria, de una manera mucho mas dinamica, llegar al fondo de la 
cuestion y que el asistente realmente VEA y EXPERIMENTE el problema de 
seguridad. Mientras a uno le digan que algo es malo y no lo experimenta, 
no lo toma en cuenta y eso es algo de la vida real.

Ademas, el feedback que se da entre los participantes, sera alto. Para 
explotar cosillas en memoria, se requiere bastante conocimiento 
comparado con otras cosas, y los que menos saben seguramente exprimiran 
a los otros.

El fin es perderle el miedo al hacking, entender que es, que mas de 35 
años no han sido en vano para que algunos de nosotros lleguemos a pensar 
asi.

Saludos

-- 
Claudio Salazar Sepúlveda
http://csrg.inf.utfsm.cl/~csalazar

Más información sobre la lista de distribución Encuentro