FP–Security Parte 1: Data mining con Matías Insaurralde

El sábado 8 de Junio, en el Aula Magna de la Facultad Politécnica de la Universidad Nacional de Asunción se llevó a cabo el primer evento de la FP-Security, un evento que nos tomó por sorpresa por el buen recibimiento y la impecable organización. Las 4 horas que estuvimos allí pasaron volando gracias a las amenas charlas y a las preguntas y respuestas que intercambiaba la audiencia con los disertantes.
Te contamos el paso a paso

@xfunex, arrancando la primera edición del FP-Security

Matías Insaurralde: Data mining y casos interesantes

Matías (Twitter: @matias_baruch) llegó al stage con un teclado y una Raspberry Pi: la cosa empezó interesante. Al final de la charla nos enteramos de que la presentación que vimos durante toda la charla estaba hecha en HTML, ya que como no es fan de PowerPoint la hizo en 15min antes de salir de su casa rumbo al FP-Security.

Tuvimos que tomarle una foto a Mati para que nos crean que es humano

Contenido de la charla de Matías:

• Introducción sobre Data Mining o BigData, y su uso por las grandes compañías para predecir el comportamiento de sus usuarios
• Scrapping: tomar información legítima de sitios que la publican de forma pública, pero de forma ilegal mediante scripts que “roban” esa información, ya que el sitio no provee de una API para el uso público de dicha información. Básicamente, tomar información de sitios que no la ofrecen de forma amistosa al desarrollador.
• Data Leaking: Cómo protegerse ante fuga de información.
• Fortalecer las aplicaciones web, para que ejerzan controles directamente en cada proceso.
• Honey Pots: ofrecer acceso a información sensible, para descubrir quién o quiénes intentan apropiarse de ella o publicarla.
• Limitar el acceso a los empleados. Ejemplo: Call Center que hace doble check entre las consultas que hacen los empleados y las llamadas de los clientes, corroborando que los empleados consultaron solamente lo que los clientes pidieron que sea consultado, y no los datos de ex novias, por ejemplo.
• La información de las empresas debe ser accedida mediante aplicaciones, ya que es imposible ejercer controles sobre planillas electrónicas y listados.
• Controlar la seguridad de las aplicaciones: mediante una captura de paquetes Mati detectó que una empresa no utiliza HTTPS  para encriptar las contraseñas de sus usuarios, haciendo que toda esa información sensible sea accesible a alguien que esté capturando los paquetes.
• Los Sistemas de detección de intrusiones: analizan todo el tráfico de la red, detectando tráfico anómalo. Por ejemplo, una misma IP que esté enviando paquetes a puertos sucesivos, es un escáner de puertos y debe ser bloqueada.
• Rootkits: un caso de intrusión es que alguien de Rusia o Turkía entre al servidor, y reemplace el comando ‘who’ (comando que muestra todas las IP conectadas al servidor) por un script personalizado que oculte todas sus IP, entonces cuando el administrador ejecute el comando para saber quién está conectado al servidor y consumiendo ancho de banda el resultado obviará las IPs atacantes y el administrador no podrá detectarlas.
• Detector de rootkit: tomando el caso anterior, un detector de rootkits inventariza todos los ejecutables del sistema junto con sus hash MD5, para de este modo detectar cuando un ejecutable del sistema fue modificado, y reemplazarlo con el original.
• Detectores de Spam: los filtros bayesianos que calculan el puntaje de spam de un correo electrónico, tomando en cuenta factores como el asunto, el idioma, los adjuntos, la codificación, las direcciones IP y palabras clave. Hay algoritmos supervisados y no supervisados.
• Las sugerencias de búsqueda de Google: se arman árboles de las palabras de búsqueda según su popularidad, en los que el recorrido completo desde raíz a hoja forma una frase válida.
• Google Dorks: usar Google para encontrar sitios con ciertas versiones de Apache, PHP, WordPress o cualquier información relevante mediante parámetros en una búsqueda de Google. Google limita la cantidad de resultados.
• Matías habla de un servicio que provee de una API para validar usuarios, pudiendo detectar bots que crean usuarios en servicios sólo para enviar SPAM o para fraude. Lastimosamente no anotamos el nombre
• Web Scrapping: el caso de American Airlines, en el que un sitio mediante scrapping tomaba los precios de vuelos de AA y los comparaba con los de otras areolíneas (que sí proveían estos datos mediantes APIs, de forma amistosa).
• Tomar contenido de toda la web: utilizar varios equipos que recorran todas las páginas mediante ciertos términos y vayan guardando los datos.
• Caso Justicia Electoral: Matías cuenta como descargó 3 millones de registros de la Justicia Electoral, porque ellos no revisaban que las consultas a su base de datos (mediante HTTP POST) se hagan desde el mismo sitio (tsje.gov.py).  Al parecer luego se dieron cuenta, y añadieron una validación de Referrer en su sistema. Entonces, tuvo que agregar el refferer en el script, para continuar descargando.
• La importancia de los Referrers: se usan para saber el origen de los clics en cuanto a publicidad, y también para rastrear a un usuario en todo momento, sabiendo de qué sitio proviene.
• Ejemplo de seguridad débil en aplicaciones web: sistema de tickets que no controla permisos ni creador del ticket, y que permiten el acceso a cualquier ticket directamente por el ID.

Hasta acá la charla de Matías, 50 minutos de información fresca y ejemplos más claros que el 2+2. En la próxima entrega: las charlas de Roberto Monges y Jonathan Funes.

Tags: conferencias, FP-Security, fp-una, hacking, paraguay, paraguay hacking

Sobre el autor

rocantero

Articulos relacionados

Primer Hackathon en Paraguay →

Conferencia de Hacking Ético en Paraguay HUBCON’12 →

Netflix, desde este miércoles disponible en Paraguay →

Un ataque al DNS es un ataque a Internet →