lunes, 8 de noviembre de 2010

VI Jornadas de Software Libre en Junín



El sábado estuve en Junín, invitado por los organizadores, la Rama Estudiantil del IEEE de la UNNOBA. El evento, ya en su sexta edición estuvo muy bueno (lamentablemente solo estuve en una parte del mismo)

Una buena noticia, los videos de las sesiones van a estar disponibles. Además, se difundieron en vivo!

Aún así, va un breve resumen de lo que escuché.

El amigo Andés Riancho presentó una visión de la seguridad en ambientes web de una manera muy entretenida.

Planteó un escenario (acceso pago a Internet en un hotel), y nos mostró como cuatro perfiles de atacantes distintos se comportarían, y en todo loos casos lograría acceso.

El primero, alguien que conoce mucho de sistemas operativos y networking (Charly García)
Usa un CD (BackTrack), una distro basada en Ubuntu, con herramietas de seguridad. Booteando desde el CD se tienen todas las herramientas para el ataque, ya configuradas (listas para usar)
En este caso, el ataque fue tcpdump y luego fakeo de la mac (ifconfig) de algún usuario con acceso.

El segundo, sabe de todo (Sheldon Cooper)
El objetivo es tomar control del servidor que tiene el proxy
- Nmap: info de los puertos abierto
- OpenVas: scanner de vulnerabilidades
- MSF: permite hacer exploits
En el ejemplo se encontro una vulnerabilidad, y se pudo usar un exploit que permite correr comandos en el servidor. Luego hay que trabajar para lograr un usuario de mayor nivel, ya que se entró por un servicio, cuyo usario tenía pocos privilegios.

El tercero sabe mucho seguridad informática (Paris Hilton)
Utiliza la herramienta de la que Andrés es creador (w3af), no encuentra nada obvio inicialmente, pero luego aplica una estrategia de Man in the Middle (MITM proxy provisto por la herramienta), y con eso falsea un post y consigue acceso gratuito.

El cuarto no sabe nada de Internet ni servidores ni seguridad informática (Chaqueño Palavecino)
¡Pero no es ningún tonto! Mira la página, y encuentra un fallo en el procedimiento. ¡Hace que le carguen el costo a otro huesped del hotel!

Esperen el video, un maestro Andrés!, como hacer que una charla de seguridad sea divertida.

Python y las aplicaciones extensibles, por Roberto Alsina

Roberto usó Qt (GUI multiplataforma), como una manera de hacer una aplicación rápidamente, para luego dedicarse a hacerla extensible.

Usó Qt Designer para hacer en 15 min un buscador de twitter (kwrite como editor, creo que lo usó solo para zoomerar)
Luego de tener la aplicación andando, la hizo extensible usando un framework (yapsy) para manejo de plugin. En poco tiempo tuvo una aplicación extensible!. Las extensiones son clases
Python con un método actual (un patrón command) y un pequeño archivo de configuración. Muy elegante.

Juan Pedro Fisanotti y Django

Fisa presentó Django y implemento un sitio sencillo.
Entre algunas de las cosas que resaltó estuvierno:
- Aplicaciones desacopladas (reusables), un plus de Django
- MVC: la forma de programar Web en estos días
- ORM: el mejor amigo del programador que usa datos en DB relacionales
- Plantillas: simplicidad (y posibilidad de no usarlo si uno no quiere!)
- Admin: el argumento de venta de Django, no vuelvas a escribir este código, chabón.


No hay comentarios: