[LACNIC/Seguridad] [LAC-TF] Researchers warn of attacks from unprotected IPv6 traffic

[Iván Arce]

Hola


Talvez aporte poco a esta discusión pero les doy mi opinion con las
siguientes salvedades:

- Fuí a BlakcHat y a DEFCON muchas veces, no se cuantas exactamente pero
calculo que entre 5 y 10 veces a c/u. Asistí a muchos otros congresos de
"practicantes" similares, a congresos de la industria, tipo RSA, y a
algunos mas académicos. Participé varias veces en el comite de selección
de algunos de todos los anteriores

- Sospecho conocer en detalle la referencia que hizo Fernando Gont a la
presentación sobre explotación de OpenBSD via IPv6 en un congreso.
Fernando, no hacía falta ser tan misterioso, no hay demasiados bugs de
OpenBSD de esas cracterísticas, seguramente hablabas del bug de mbufs
del stack IPv6 de OpenBSD que encontró y explotó Alfredo Ortega en 2007
(http://bit.ly/16SIMbF). Hizo presentaciones en las conferencias
CanSecWest, Ekoparty, DEFCON15 y talvez otras más.
En ese contexto es importante aclarar que en su presentación Alfredo
incluyo slides específicos para discutir como mejorar en general la
seguridad del kernel frente a ataques similares

https://www.defcon.org/images/defcon-15/dc15-presentations/dc-15-ortega.pdf

Mi comentario mas allá de lo anecdótico es que los congresos como DEFCON
y BLackHaT reciben varios cientos de propuestas de charlas y no
requieren que las propuestas sean sobre temas novedosos o no publicados
anteriormente, aunque si lo valoran positivamente. Coincido en que esta
presentación en particular no aporta demasiado al estado del arte y que
hay otras en las mismas condiciones pero no creo que eso sea suficiente
para invalidar en general el contenido de ese tipo de congresos.

Tampoco creo que se deba invalidar o menospreciar a la audiencia de esos
congresos (que en el caso de DEFCON ronda los 12 a 15 mil asistentes)
suponiendo que a ninguno le interesan los detalles técnicos de lo
presentado ni indagará por su cuenta en algún tema. En más de una
ocasión me encontre con gente que no solo estaba interesada en los
detalles técnicos de alguna presentación sino que tenia conocimientos
profundos sobre el asunto, a veces incluso mas profundos que los del
presentador.

Todos los congresos de este tipo y, en mi opinion tambien los de
carácter mas "académico" tiene un componente de show y el criterio de
selección de las presentaciones considera eso y no es puramente técnico.

Coincido en que los congresos de "practicantes" de la seguridad
informática (evito usar el termino "hackers" porque se presta a
multiples intepretaciones) son cada vez mas espectaculares y parecidos a
un show pero por otro lado no creo que reavivar el remanido y simplista
argumento de que "romper/atacar es mas cool" y que la cosa mas
importante pero aburrida es "arreglar/defender" sirva de mucho.

En mi opinion eso es menospreciar al conjunto de personas, practicantes
y académicos que se que existe, genuinamente interesadas en la seguridad
informática que entiende tanto al ataque como a la defensa como desafíos
interesantes.


-ivan


On 8/15/13 5:42 PM, Fernando Gont wrote:
> On 08/15/2013 05:25 PM, Carlos M. Martinez wrote:
>>> On 08/15/2013 01:07 PM, Raul Cabrera wrote:
>>> Desde un punto de vista "personal", no diria mucho.
>>>
>>> Si uno lo quiere analizar desde el punto de vista del conocimiento, sin
>>> embargo:
>>>
>>> * En primer lugar me sorprende que les hayan aceptado la presentación.
>>
>> Pensé exactamente lo mismo, "¿tan pobre está el nivel de DEFCON?".
> 
> Yo nunca fui a DEFCON... Sin emabrgo, ahora caigo en el dilema de si
> alguna ves envío algo.. ya que si aceptaron esta presentación, y luego
> me revotan una con algo relevante, me voy a querer matar. :-)  -- Podría
> ser aun peor: me la podrían rebotar, y decirme que estoy "ignorando el
> estado del arte en la materia" y citar esta presentacion. :-)
> 
> 
> 
>> No
>> solo ignoran un montón de trabajo existente en el área sino que ademas
>> su presentación es casi un 'corri unos scripts y capture trafico' y
>> listo, sin mayor análisis de la (posible?) "vulnerabilidad".
> 
> Es que... este planeta es un poco así. No importa nada de eso. Si la
> audiencia se fue a la casa flasheados de que van a robar tarjetas de
> credito con ese script (como dcia el articulo de prensa), listo.
> 
> 
> 
>> El análisis se reduce 'ahh este software *que hizo alguien mas* esta
>> viejo y las dependencias no compilan, entonces hice un script para
>> automatizar la compilación de las dependencias. Saludos' :-)
> 
> Aparte... todo bien, pero... yo no sé si suma o si resta decir "no puede
> compilar esta herramienta" :-)
> 
> 
> 
>> Supongo que además les preocupa poco la defensa y mitigación, por lo que
>> me sumo a los demás comentarios de Fernando.
> 
> Personalmente, cada vez veo mas a las conferencias como algo mas tipo
> "show" que como algo relacionado con el conocimiento.
> 
> Es un poco asi, de hecho. Muchas conferencias piden, por ejemplo
> "participacion del publico en el cfp".. lo cual si te ponés a pensar, es
> bastante loco. :-9 Mas alla de hacer prguntas a la audiencia (con el
> riesgo de silencio mortal, porque no les interesa, o estan ocupados
> chequeando el mail ), no se a donde se supone que apunta. Show?
> 
> Veng jugando con la idea de poner una cumbia la proxima vez que corra
> una herramienta en una presentación... como para explicitar un poco el
> clima de show y festivo. :-)
> 
> Abrazo,
>