OWASP Meeting 2008 – Spanish Chapter

El pasado viernes asistí a las jornadas OWASP 2008 en Barcelona. Aproveché para visitar de nuevo una ciudad encantadora en buena compañía, y disfrutar algo del clima cálido que en Alemania ocasionalmente se extraña.

Seguía desde hacía algún tiempo la actividad de este capítulo, por su relevancia internacional y sus contribuciones al mundo de la seguridad. Publican frecuentemente papers y documentos que abordan temáticas relacionadas principalmente con el ámbito de la seguridad y de la programación segura. En este enlace puedes descargar gratuitamente sus publicaciones, o adquirirlas físicamente a un precio muy competitivo.

La experiencia fue francamente muy enriquecedora. Todas las presentaciones tuvieron un nivel muy alto, y verdaderamente todos los asistentes eran personas dedicadas a este mundo: asesores de empresa, consultores independientes, ingenieros de seguridad…

Especialmente me llamó la atención la tercera charla, “Ataques a las políticas de seguridad por contexto”. Una pareja de expertos demostró como inferir información privada de una red o sistema utilizando información exclusivamente pública. En concreto, mencionaron un concepto que encontré muy útil: los ataques de diccionario adaptativos. Resumiendo un poco: está comprobado que la mayoría de las palabras del inglés empiezan por t, y en este subconjunto por th, etc. Cómo habréis sospechado, almacenar esta información en un árbol y realizar el ataque probando las combinaciones en el contexto del idioma, supone un ahorro de tiempo inimaginable, sobre todo cuando estamos hablando de diccionarios de 700 MB…

Si os dedicáis activamente a la programación web, os recomiendo no dejar de visitar el enlace