Un abogado caminando entre hackers (éticos)

En mi primer Hack&Beers (volumen 2º) Seguridad en Aplicaciones Móviles, flipé en colores, pero es que en mi segunda Hack&Beers (volumen nº 3) Web Security he alucinado, también en colores.

Quisiera comentar brevemente mi participación en esta última Hack&Beers (que no será la última) que se ha celebrado en Córdoba en @cosfera un espacio de coworking para conectar, inspirar y transformar http://cosfera.es

La calidad y conocimientos de los ponentes me ha vuelto a sorprender y agradar. No me extraña que la Hack&Beers crezca (en Madrid y Barcelona) pues los temas se tratan en profundidad y se exponen clara y detalladamente. Tampoco me extraña que entre el público estuviera un miembro de la Policía Nacional de la Brigada de Investigación de Delitos Tecnológicos.

Carlos Ciyi @ciyinet Ingeniero en Informática por la UCO. Técnico en seguridad de redes y sistemas. Actualmente en Security Architect – Pen Tester en Accenture. Nos habló del CSRF (Cross Site Request Forgery) y los usuarios comprendimos que no debemos estar logeados ni mantener sesiones activas innecesariamente, y los desarrolladores y programadores aprendieron la necesidad de solicitar al usuario que se reautentifique a ser posible con elementos nuevos o mediante CATPCHA.

Eduardo Sánchez @eduSatoe Ingeniero Informático. Profesor de F.P. Investigador de Seguridad y desarrollador de Android, colaborador habitual de Hack&Beers, nos volvió a dejar pasmados con otra brillante exposición en esta ocasión sobre la vulnerabilidad centrada en consultas de base de datos de una aplicación (inyección SQL o SQLi) y la RFI (Remote File Inclusion) explicándonos una Backdoors con WebShell.

Miguel A. Arroyo @Miguel_Arroyo76 Cloud Senior Security en SVT Cloud Services. Fundador del blog http://hacking-etico.com Auditor Seguridad IT y Hacker Ético, de nuevo nos dejó alucinados con “Lo que el ojo no ve” explicándonos el diferente punto de vista de un usuario web y un craker (hacker negro o de los “dañinos”) y cómo usar Shodan (buscador que realiza una enumeración pasiva de servicios). Me convenció de la necesidad de una adecuada protección WAF (Web Application Firewall, solución de firewall de aplicaciones web).

Las exposiciones teóricas fueron de un alto nivel técnico (y a pesar de ello comprensibles) y las prácticas realizadas muy preparadas, detalladas y atractivas.

Soy un abogado 2.0 y elijo caminar entre estos hacker éticos, excelentes compañeros de trinchera en una posible guerra cibernética …