Lo que nos dejó el BlueSpace en Ekoparty 16 #pwndemic

El 24, 25 y 26 de Septiembre se realizó la 16º Edición de la mayor conferencia sobre ciberseguridad en Latinoamérica Ekoparty (y por primera vez de manera completamente virtual! #PWNDEMIC).

El formato virtual no fue el único cambio en esta Ekoparty, si no que por primera vez desde que abrió sus puertas al público, se crearon espacios de temáticas específicas llamadas “Hacktivities”. Las Hacktivities fueron pensadas como espacios para aprender y compartir experiencias sobre diferentes temáticas, que surgen y son ¡completamente gestionadas por la comunidad!

Los participantes de la Ekoparty 16 pudieron disfrutar de contenidos especializados y de vanguardia en los espacios de Mobile Hacking, Bug Bounty Space, Radio Experimentación, LockpickAR Space, Zona Red Team, DevSecOps Space, Social Engineering, Avoiding Jail y, por supuesto, nuestro BlueSpace.

Como organizadores del BlueSpace nos encontramos con el desafío no sólo de participar en Ekoparty, sino de estar al nivel de nuestras expectativas. Hace años pusimos la conversación sobre la mesa de la necesidad de abrir un espacio para la ciberseguridad defensiva que ayude a mejorar las capacidades defensivas de las organizaciones que se enfrentan día a día con atacantes que cuentan cada vez más con mejores recursos y capacidades técnicas. Esto nos permitió que hoy podamos poner manos a la obra para ofrecer contenidos que no sólo ayudan a mejorar las aptitudes y competencias defensivas de la región, si no también que invitan a la participación y discusión de sus múltiples aspectos.

El BlueSpace es un espacio colaborativo diseñado para unir a la comunidad latinoamericana dedicada a la seguridad defensiva fomentando la práctica y el conocimiento de las técnicas de Blue Teaming con charlas y talleres de profesionales experimentados en las áreas de Inteligencia, Análisis de Malware, Respuesta ante incidentes, Operaciones de SOC y muchas otras.

¿Te quedaste afuera de la ekoparty? Las charlas están grabadas y vamos a hacer actividades en el futuro, ¡no olvides unirte a la comunidad para seguir todas las novedades de cerca!

Web: https://www.bluespacesec.org/

Discord: https://invite.gg/bluespace

Telegram: https://t.me/BlueSpaceSec

Twitter: https://twitter.com/BlueSpaceSec

¿Te perdiste el #EkoBlueSpace? Acá te lo contamos

Durante la Ekoparty, el BlueSpace contó con la colaboración de 17 profesionales de la industria que nos ofrecieron los siguientes contenidos:

El Viernes 25 abrimos con la keynote Open Threat Research dictada por nuestros hermanos peruanos Roberto Rodriguez [@Cyb3rWard0g] (Microsoft Threat Intelligence Center) y Jose Rodriguez [@Cyb3rPandaH] (MITRE — ATT&CK) donde nos hablaron sobre la importancia de eliminar la práctica del gatekeeping y nos dieron unos excelentes consejos sobre cómo compartir nuestro trabajo y conocimiento para aunar esfuerzos y reconocer oportunidades de colaboración! La máxima es clara: “If you want to go fast, go alone. If you want to go far, go together” (en español, “Si querés ir rápido, camina solo. Si querés llegar lejos, camina acompañado”). A este respecto, durante la Keynote hubo un anuncio muy importante para el BlueSpace. A partir de ahora, la comunidad de Open Threat Research y la comunidad de BlueSpace iniciarán un camino conjunto con actividades y recursos que estarán disponibles de forma gratuita con el objetivo de promover las prácticas de seguridad defensiva y ayudar a todos aquellos que quieran iniciarse en este camino.

No menos importante, los hermanos Rodriguez también nos presentaron Entrando a Mordor: Compartiendo datos para la investigación de amenazas con la comunidad donde nos mostraron un proyecto que busca unificar esfuerzos y compartir telemetría de emulaciones de ciberataques en formato JSON y PCAPs con la comunidad con el fin de agilizar el proceso de generación de detecciones facilitando el análisis del comportamiento del adversario.

Luego, Ruben Lencina [@troniux] (BASE4) nos presentó el “Té para tres”: herramientas open source que nos permiten desplegar y realizar operaciones de inteligencia de amenazas y respuesta ante incidentes en las organizaciones con un bajo costo en su charla Automatizando la respuesta ante incidentes con herramientas colaborativas.

También contamos con una excelente charla por parte de la Ing. Gabriela Nicolao [@rove4ever] (Deloitte) y Luciano Martins [@clucianomartins] (Deloitte) quienes nos contaron todo sobre Prevención de Fugas de Información. En su charla, nos hablaron sobre el modelo de monetización, su relación con el ransomware, los infostealers, BEC, BPH y cómo los atacantes actúan coordinadamente entre ellos para sacarle el mejor provecho a la información de las organizaciones víctimas, y por supuesto recomendaciones para evitarlo! No olvidamos tampoco la polémica que se desató en relación al presupuesto destinado en café VS. en ciberdefensa. Al fin y al cabo ¡sin café no se puede empezar a defender nada!

Una de las charlas que despertó mayor interés en el público fue la de Ayelen Torello [@Cyb3rhuskys] (Deloitte) y Fernanda Billordo Zini [@cyb3rR4v3n] (Deloitte) con Yet Another Talk About YARA donde nos enseñaron cómo generar reglas de YARA, evaluarlas, mejorar su calidad y nuevos recursos para sacarle el mayor provecho.

Por la tarde fue el turno de Luciano Sebastianelli [@Chenzelli] (Deloitte) que nos contó sobre su experiencia analizando malware de piezas de android (APK). Luciano nos mostró las características principales y un método para abordar el análisis estático desensamblando el mismo y analizando su código a bajo nivel en Analizando Piezas Maliciosas de Android con SMALI y Linux, e incluso nos dió unos consejos sobre dónde podemos encontrar muestras interesantes para su análisis.

Como no podíamos dejar de mencionar el framework ATT&CK, Valentina Palacin (@fierytermite) y Fernanda Billordo Zini (@cyb3rR4v3n) nos enseñaron a identificar y perfilar las Tácticas, Técnicas y Procedimientos que los atacantes utilizan en sus actividades maliciosas, y cómo podemos utilizar esta información para protegernos en Cómo Mapear con ATT&CK. En esta charla explicaron cómo se puede aplicar el framework para actividades de ciberinteligencia, red teaming y threat hunting.

Con esta gran introducción pudimos dar un paso más en la adopción de este framework con la charla de nuestros hermanos colombianos Ing. Sergio Rodríguez Andrade, Ing. Juan Carlos López [@Z3r0Ju4n] y M. Sc. Diego Osorio Reina [@DiegoOsorioRei1] (UCA) quienes nos mostraron cómo emular adversarios en Emulación de Adversarios con MITRE CALDERA y ATT&CK y cómo también puede ayudarnos a evaluar y mejorar las capacidades defensivas de las organizaciones.

Continuando con los aportes de MITRE en ciberseguridad, Matias Dolce (@PepitoResearch1) en su charla New Matrix, Same MITRE nos introdujo SHIELD, el nuevo framework diseñado específicamente para aplicar tácticas y técnicas de defensa ante los adversarios, cómo podemos aplicarlas y armar un plan de defensa relacionando SHIELD y ATT&CK. ¡Y no faltaron los memes!

De la mano de Camilo Gutierrez [@hcamiloga] (ESET) se dictó un excelente workshop Correlacionando datos de detecciones para aportar más valor a los procesos de inteligencia de amenazas sobre detecciones y análisis de amenazas utilizando teoría de grafos y cómo construir modelos en python que nos aporten valor e información contextual y super útil a la hora de realizar procesos de inteligencia de amenazas.

El segundo día empezó con la participación del líder de un SOC de Argentina, el profesional Mauricio Cruz (BASE4), quien nos explicó cómo hacen dia a dia para enfrentar las amenazas de las organizaciones y nos compartió su experiencia y los desafíos a los que se enfrenta en Blue Team: Generando visibilidad y respondiendo a ciberamenazas desde un SOC.

Continuamos con la charla Operaciones en el Ciberespacio del coronel en situación de retiro, Juan José Benitez [@JjBeni102], que nos contó cómo se planean las ciberoperaciones a nivel táctico, estratégico y operacional. Esta charla generó un amplio debate en el chat sobre el estado de la situación de las ciberoperaciones actuales y las consecuencias que tienen a nivel nacional e internacional.

La última charla del BlueSpace, Pandemic Lurkers, la presentó el analista de ciberinteligencia Francis Guibernau [@OutrageousLynx] (Deloitte), donde hizo un repaso a las amenazas persistentes avanzadas más importantes de acuerdo a la supuesta región de origen y el impacto que tuvo la pandemia en la temática elegida por los ciberatacantes para engañar a sus víctimas.

Finalmente, cerramos nuestras actividades con el increíble workshop Análisis de Datos en Seguridad Defensiva via Jupyter Notebooks, en el que una vez más los hermanos Roberto Rodriguez [@Cyb3rWard0g] (Microsoft Threat Intelligence Center) y Jose Rodriguez [@Cyb3rPandaH] (MITRE — ATT&CK), compartieron sus conocimientos con nosotros mostrándonos cómo podemos aplicar la ciencia de datos, Jupyter y Binder para generar y compartir detecciones de forma rápida e interactiva.

Cómo cierre, fuimos al canal del channel Bluespace-voice! en el Discord de Ekoparty y tuvimos una charla desestructurada con los hermanos Rodriguez donde recordamos la importancia de generar un ambiente colaborativo donde todos puedan participar y expandir su conocimiento. Hablamos sobre oportunidades de crecimiento del BlueSpace, y nos compartieron sus experiencia adelantando también algunos de los planes futuros de colaboración con la comunidad, e invitando a todos a participar.

¡Pero eso no fue todo! No contentos con ofrecer todas estas charlas y workshops, ¡también contamos con sorpresas para los participantes! Durante el desarrollo de la conferencia el BlueSpace publicó un quiz con preguntas específicas del contenido de las exposiciones, incentivando la participación de todos en esta comunidad que crece día a día. Los ganadores fueron @luro1501, Mateo Bosco y @Nanno4k quienes ganaron los cursos ·”Operational Threat Intelligence” de Paralus LLC [@ParalusL] impartido por Joe Slowik [@jfslowik], y “SOC Training” y “Threat Detection & Response” en Udemy respectivamente.

¡Gracias a Joe (Principal Adversary Hunter en Dragos especializado en ICS) y PlugXOR (DEFCON BTV Organizer) por colaborar con el BlueSpace y hacer posible estos increíbles premios!

Closing Notes

Desde la organización del #EkoBlueSpace queremos darles las gracias a todos los profesionales que se hicieron un tiempo para poder brindarnos estas excelentes charlas con contenido muy valioso para la comunidad. También debemos agradecer a todos los espectadores que nos brindaron sus mensajes de apoyo y reconocimiento, sepan que todo lo que hacemos ¡lo hacemos por ustedes!

Le debemos mucho del trabajo a los colaboradores de nuestro espacio que no solo otorgaron contenido si no ayuda con la organización, diseño y comunicación, y también queremos reconocer a las personas que de una manera u otra nos acercaron una mano y nos brindaron su apoyo @nicowaisman, @mattaereal ,@AiluCastellucci y @OutrageousLynx.

Aprovechamos este espacio para felicitar enormemente a Luciano Martins, quien bien merecido obtuvo el premio de la Ekoparty a “Trayectoria” y nos dedicó unas palabras simples pero muy concisas que creemos sostienen una gran verdad, “We need more defenders!” (“¡Necesitamos más defensores!”).

No queremos dejar de mencionar nuestro agradecimiento a un donador anónimo gracias al que podemos decir que ¡Estrenamos sitio web! No dejen de visitarlo para estar al tanto de las últimas novedades (https://www.bluespacesec.org/)

El BlueSpace en números:

9 charlas

4 talleres

17 profesionales

720 minutos de contenido

3 miembros del espacio ganaron cursos para seguir formándose como Blue Teamers

388 followers en Twitter

266 nuevos usuarios en el discord de BlueSpace

360 espectadores (pico) durante el primer día

270 espectadores (pico) durante el segundo día

189 espectadores constantes

163 litros de café

18 planchas de stickers!

https://twitter.com/i/status/1305670351796477952

Las coordinadoras Ruth Barbacil [@33root], Valentina Palacin [@fierytermite] y todo el equipo de BlueSpace: Ayelen Torello [@Cyb3rhuskys], Fernanda Billordo Zini [@cyb3rR4v3n], Matias Dulce [@PepitoResearch1] y Gabriela Nicolao [@rove4ever].

Web: https://www.bluespacesec.org/

Discord: https://invite.gg/bluespace

Telegram: https://t.me/BlueSpaceSec

Twitter: https://twitter.com/BlueSpaceSec