HaCe DiAs Que No DiGo NaDa

Acontecimientos del mundo real me han anclado al mismo, con toda la fuerza de los terremotos vitales, murió alguien muy amado y pocas ganas ni tiempo ni nada he tenido de andar por el mundo virtual. Tampoco había mucho que andar, francamente. Cuando estás un tiempo desconectada y vuelves te das cuenta -siempre me doy cuenta- de que de la cascada de noticias, bajo la que estamos diariamente y que nos parecen tan impresionantes, vista en perspectiva sólo unas pocas cosas pueden recuperarse porque son auténticamente importantes.

A Pirate Bay le vino el mundo real encima y también le ha hecho, como a mi, zas en toda la boca. Podía esperarse aunque no se esperase. ¿Desde cuándo un tribunal de gallinas puede juzgar a un par de zorros con algún tipo de ley que sea justa para ambos mundos?

Vino un amigo y me montó el famoso Spotify (ja funciona :). Fue una alegría ver que por fin funcionaba con mi Ubuntu. Una alegría que duró 3 canciones porque a la cuarta me salió un anuncio -que repugnancia- y he vuelto a mis canciones de mi pc de siempre. La nube, sí, que guapa la nube. Pero aquí en la red por lo que se ve las nubes no son free. Son nubarrones propiedad de empresas. Pues nada, adiós y ya me avisáis cuando no lluevan anuncios, que mientras tanto iré descargando de donde me entere.

Vendí un somier de segunda mano y, aunque he reiterado a las empresas anunciantes que ya está vendido, me siguen machacando a spam, newsletters sin posibilidad de desuscripción. Mucha nube, sí. Mucha nube. Niebla es lo que hay en la red, mundo real que quiere trasladarse al virtual y no tiene ni idea, lo ensucia con su verborrea y marketing, nada más. Por ahora prefiero el real, vasto cielo azul sin nubes, ya ves que te digo.

Despertadme cuando haya pasado la oleada de novatos. Cuando por fin haya cosas nuevas e interesantes. Ya no digo cuando vuelva la poesía a la red, pero sí al menos cuando todos esos millones hayan aprendido algo más allá de su messenger, su facebook, su twitter, su móvil y mira cómo los tengo todos integrados. Cuando por fin vuelva a andar el barco. El pirata, sí. Gracias.

V OWASP Spain Chapter Meeting

Cuándo: 15 de mayo
Dónde: Barcelona (Ateneu Barcelonès)
Qué: http://www.owasp.org/index.php/Spain

15:00h-15:30h
Registro

15:30h-15:35h
Bienvenida y presentación del evento.
Vicente Aguilera Diaz. CISA, CISSP, ITIL, CEH Instructor, ECSP Instructor, OPST, OPSA.
OWASP Spain Chapter Leader. Director del Departamento de Auditoría de Internet Security Auditors.

15:35h-16:30h
Sintonizar la función de seguridad con el negocio.
Necesitamos una clara sintonía, por no decir armonía, entre la funciónde seguridad en tecnologías de la información dentro de una organización y el negocio, la verdadera razón de ser de la organización. La mera idea de negocio implica asumir unos riesgos. Sin embargo, la seguridad trata de mitigar riesgos. Esta presentación propone 8 medidas, basadas en más de 10 años de experiencia profesional, para conseguir esa sintonía entre el negocio y la seguridad.
Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM.
Miembro del consejo asesor de SANS Institute.

16:30h-17:25h
LDAP Injection & Blind LDAP Injection.
Las técnicas de inyección de código son conocidas ámpliamente. Esta sesión se centrará en las posibilidades de las inyecciones de código LDAP en aplicaciones web. Se verá, en un entorno de prueba, el impacto que pueden tener los ataques de inyección LDAP y la extracción de datos mediantes técnicas a ciegas.
Chema Alonso. Microsoft MVP Windows Security.
Consultor de Seguridad. Informatica64.

17:25h-18:00h
Coffe-break

18:00h-18:55h
Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica.
En la primera parte de la ponencia conoceremos la estructura y funciones de la Brigada de Investigación Tecnológica y veremos algunos ejemplos de las distintas tipologias delictivas mas frecuentes, para centrarnos en la segunda parte en los incidentes de seguridad web que se denuncian habitualmente, sus consecuencias y el tratamiento que la Brigada da a cada uno de ellos, haciendo especial mención a aquellos aspectos que debe tener en cuenta un administrador para no perjudicar una posible investigación posterior.
Jorge Martín, Inspector. Jefe del grupo de Seguridad Lógica.
Brigada de Investigación Tecnológica. Cuerpo Nacional de Policía.

18:55h-19:50h
Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP.
Se hablará sobre la modificación del código fuente del framework para realizar tests de seguridad y permitir su internacionalización, así como varios módulos para realizar pruebas que hasta el momento no existían: el uso de cifrado predecibles, como es el caso del bug aparecido en Debian el pasado año, y la explotación de desbordamientos de búfer en aplicaciones web.
Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young.
Daniel Muñiz Marchante. Consultor. Ernst & Young

19:50h-20:25h
Mesa redonda.
Se abrirá un debate sobre alguna temática relacionada con la seguridad y las aplicaciones web, entre los distintos ponentes y los invitados:
Francesc Rovirosa i Raduà. G.O d'Integració Tecnològica. Universitat Oberta de Catalunya (UOC)
Gabriel Martí. Vocal de la Junta Directiva General. Responsable de los servicios ATInet. (ATI).

20:25h-20:30h
Despedida y cierre del evento.
Vicente Aguilera Diaz. CISA, CISSP, ITIL, CEH Instructor, ECSP Instructor, OPST, OPSA.
OWASP Spain Chapter Leader. Director del Departamento de Auditoría de Internet Security Auditors.

Seguridad en redes sociales - Seminario en Madrid

El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de
Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de
Madrid, España, el seminario "Seguridad en redes sociales: ¿están nuestros
datos protegidos?"
http://www.capsdesi.upm.es/

IMPORTANTE PARA OTRAS CIUDADES Y PAÍSES DE HABLA HISPANA: Se informa que
el seminario se transmitirá por videostreaming a través de los servicios
del Gabinete de Tele-educación de la UPM GATE. Recuerde que para esta
opción no es necesario inscribirse.