Security Conferences means Business

Posted on June 9, 2011 by Simon Roses

[Español] Hoy en día existen multitud de conferencias de seguridad por todo el mundo y seguramente el lector participa en una o varias al año, todos tenemos algunas fijas ;) Todos los congresos siempre buscan los mejores ponentes pero es interesante analizar qué ofrecen estasconferencias al ponente y esto es lo que hemos hecho para este post.

[English] Today there are a lot of security conferences around the world and the reader will surely attend one or more a year, some of them are even a must ;) All conferences are always seeking the best speakers but it is interesting to analyze what these conferences offer the speakers and this is what we have done for this post.

Para este pequeño ejercicio de análisis hemos seleccionado 19 conferencias, unas conocidas y otras no tanto, basándonos en los siguientes criterios:

  • Son conferencias que he asistido como ponente o asistente, participado en la organización o simplemente oído hablar de ellas
  • La recogida de información está basada en el CFP de este año (2011) o del año anterior (2010) (exceptuando una de ellas que no tiene CFP)

For this little analysis exercise we have selected 19 conferences, some well-known and others not so much, based on the following criteria:

  • Conferences that I have attended as a speaker or attendee, participated in the organization or simply heard of them
  • The gathering of information is based on the CFP of this year (2011) or the previous year (2010) (except one of them that has no CFP)

Con esta información hemos analizado lo que ofrecen al ponente y desde luego que los resultados son variopintos:

  • La mayoría de conferencias paga hotel y suele ser un máximo de 3 noches
  • También la mayoría se hace cargo del transporte pero el precio del billete varía y siempre hay un límite
  • Sólo tres conferencias además pagan un honorario (Blackhat, Defcon y Syscan)
  • Dos conocidos congresos no cubren nada (RSA y OWASP)
  • Algunos de ellos, incluso con cierto renombre, proporcionan poca o ninguna información sobre los beneficios del ponente
  • Otros beneficios que algunos congresos ofrecen son fiesta, cenas, barra libre y/o visitas guiadas
  • La organización es bastante variada. Algunas tienen un acento corporativo (RSA, Infiltrate) y otras se presentan sin ánimo de lucro (Brucon, ToorCon) o son organizadas por colectivos hacker

With this information we have analyzed what they offer to the speaker and the results are quite varied:

  • Most conferences pay hotel, usually a maximum of 3 nights
  • Also most pay travel but the ticket price varies and there is always a limit
  • Only three conferences also pay a honorarium (Blackhat, Defcon and Syscan)
  • Two well-known conferences do not cover anything (RSA and OWASP)
  • Some of them, even with some renown, provide little or no information on the benefits of the speaker
  • Other benefits offered by some conferences are party, dinner, open bar and/or tours
  • The organization is quite varied. Some have a corporate accent (RSA, Infiltrate) and others are non-profit (Brucon, ToorCon) or are organized by hacker groups.

En mi experiencia, como fundador original de un congreso de seguridad en España, los congresos que realmente quieren triunfar necesitan profesionalizarse y tomárselo como un negocio, no necesariamente para ganar dinero pero sí para cubrir gastos y ofrecer una buena experiencia tanto a los ponentes como a los asistentes.

In my experience, as the original founder of a security conference Spain, conferences which really want to succeed need to professionalize it and treat it like a business, not necessarily to profit but to cover expenses and provide a good experience for both speakers and attendees.

Desde luego algunas conferencias tienen claro que esto es un negocio y así lo demuestran ofreciendo varios beneficios al ponente, por ejemplo pagar un honorario. Lógicamente ningún ponente se hará rico y creo que no es el objetivo de ningún ponente pero para unas cañas siempre da ;)

Some conferences have it very clear that this is a business and they do demonstrate by offering several benefits to the speaker, for example an honorarium fee. Of course no speaker will become rich and I think this is not the goal of any speaker anyways but for sure they can buy a few pints of beer ;)

Algunas conferencias con cierta buena reputación consiguen magníficos ponentes a pesar de no ofrecer ningún beneficio económico y eso que en muchos casos tienen sponsors o respaldo económico para cubrir gastos del ponente. Estas conferencias no facilitan que los ponentes sin respaldo económico de una organización puedan participar y tienden a repetir los ponentes de forma asidua. En algunos congresos podríamos hablar de falta de sangre nueva.

Even some of these conferences with a good reputation achieve excellent speakers despite not offering any economic benefits and in many cases they have sponsors or financial support to cover costs of the speakers. These conferences do not make easy for speakers without the financial backing of an organization to participate so conferences tend to repeat the speakers on a regular basis. In some conferences we could start talking about the lack of new blood.

EL máximo ejemplo de éxito es Blackhat, uno de los congresos más famosos y profesionalizado aunque no era así al principio, que su fundador vendió en el 2005 por 10 millones de dólares a CMP Media.

The best example of success is Blackhat, one of the most famous conferences and professionalized around although it was not at first, which its founder sold in 2005 for 10 million dollars to CMP Media.

Por otro lado como ponente en varios congresos, en los que algunos se me cubrían gastos y en otros no, he participado en ellos por varias razones y creo que muchos ponentes pensarán de la misma forma:

  • Por invitación del congreso
  • Social: ver a los amigos
  • Carrera Profesional: la posibilidad de hacer contactos, “networking”
  • Reputación del congreso

On the other hand as a speaker at several conferences, which some did cover costs and others didn’t, I have participated in them for several reasons and I think many speakers would think the same way:

  • By invitation of the conference
  • Social: to catch up with friends
  • Professional career: the possibility of making contacts, “networking”
  • Conference reputation

Tanto organizador como ponente yo me tomo cualquier congreso como un negocio y busco que sea una relación ganadora para todos (Win-Win), y a mi entender cualquier congreso como mínimo debería cubrir gastos (hotel, viaje y comida) de los ponentes.

Both as organizer and speaker I treat any conference as a business and I’m looking for a winning relationship for all (Win-Win), and in my opinion any conference at least should cover expenses (hotel, travel and food) of the speaker.

Hoy en día existen posiblemente demasiados congresos, muchos más de los que hemos analizado aquí, y aunque algunos tienen éxito la mayoría tienen dificultades para sobrevivir, por eso son necesarias la profesionalización y la innovación. Solo así se podrán conseguir buenos ponentes y sponsors y el éxito ya vendrá por sí solo.

Today there are possibly too many conferences, many more of which we have analyzed here, and although some are quite successful most struggle to survive, so they need to be professional and innovate. Only this way they can get good speakers and sponsors, and success will come by itself.

Si organizas un congreso y quieres tener éxito ya sabes, innovar o morir :)

Aquí podrás encontrar la hoja Excel que hemos utilizado para el análisis. Si eres organizador de algún congreso de los analizados y quieres añadir/cambiar información o quieres incluir uno nuevo no dudes en ponerte en contacto, por favor.

Qué congresos te gustan y por qué?

If you organize a conference and want to succeed, you must innovate or die :)

Here you will find the Excel sheet we used for the analysis. If you are organizing any of the  conferences analyzed and want to add/change information or just want to include a new one please do not hesitate to get in touch with us.

What conferences do you like and why?

 — Simon Roses Femerling

Posted in Business, Conference, Security | Tagged , , | Leave a comment

Zeus on the Loose

Posted on May 13, 2011 by Simon Roses

[Español] Muchos conocerán a Zeus como el padre de los dioses en la mitología griega, pero Zeus también es un conocido malware con interesantes características. Se estima que este botnet es uno de los más activos con millones de infecciones por todo el mundo y que se puede contratar como un servicio o comprar en algunos foros por unos 10000 dólares con el código fuente. Es todo un lucrativo negocio.

[English] Many will know Zeus as the father of the gods in Greek mythology, but Zeus is also a well- known malware with interesting features. It is estimated that this botnet is one of the most active with million infections worldwide and it can be contracted as a service or purchased in various forums for 10000 USD with the source code. It’s a lucrative business.

En los últimos días han aparecido copias del código fuente en diversas webs en Internet y es fácil de encontrar con unas básicas habilidades de búsqueda, por lo que podemos imaginar en los próximos meses una explosión de botnets basados en Zeus.

In recent days copies of the source code have appeared on various websites on Internet and it’s easy to find with a few basic search skills, so we can imagine an explosion of Zeus-based botnets in the coming months.

En un análisis superficial del código fuente podemos encontrar una decente documentación de su instalación, configuración y uso, gracias :)

A superficial analysis of the source code we can find a decent documentation of installation, configuration and use, thank you :)

Lo cierto es que este malware es capaz de infectar varias versiones de Windows (XP, Vista y 7) con UAC activado y se controla desde un simple interfaz web escrito en php (C&C).

The truth is that this malware is able to infect multiple versions of Windows (XP, Vista and 7) with UAC turned on and is controlled from a simple web interface written in php (C&C).

Igual que hicimos con Stuxnet os pongo a continuación un mapa gráfico sobre Zeus en el cual podréis estudiar casi todas sus  capacidades.

Just as we did with Stuxnet I put below a graphic map on Zeus in which you can study almost all its features.

Composición de Zeus / Zeus Composition

 

 Analizando el gráfico podemos ver que Zeus es un complejo y sofisticado malware por lo que no sorprende su alto número de infecciones. Aunque Zeus no contiene exploits nos ofrece interesantes características como diversos canales de comunicación entre el Cliente y el Servidor con la posibilidad de encriptar mediante RC4 para saltarnos los mecanismos de seguridad típicos ;) así como un amplio arsenal: sniffer, robo de certificados, cookies y contraseñas, infección de navegadores (IE e Firefox), key logger, opciones de scripting y más. No es de extrañar que este botnet sea ampliamente utilizado por el ciber-crimen y con éxito.

Analyzing the graph we can see that Zeus is a complex and sophisticated malware so its high number of infections is not surprising. Although Zeus does not contain exploits offers interesting features such as number of communication channels between the client and the server with the possibility to encrypt using RC4 to skip your typical security mechanisms ;) as well as a broad arsenal: sniffer, stealing certificates, cookies and passwords, infection of browsers (IE and Firefox), key logger, options for scripting and more. Not strange that this botnet is widely and successfully used by cyber-crime.

Ahora que el código fuente es “público” podemos plantearnos diversas cuestiones:

  1. ¿Incluirán los framewoks de explotación algo parecido a Zeus? Hola Metasploit, sería genial :)
  2. ¿Veremos algún kit con código mezclado de Zeus y Stuxnet?
  3. Seguramente veremos una explosión de clones de Zeus en los próximos meses. ¿Cuál será su precio?
  4. ¿Uso de Zeus para la ciberguerra?

Now that the source code is “public” we can consider various issues:

  1. Will the exploitation frameworks include something like Zeus? Hello Metasploit, it would be great :)
  2. Will we see a kit mixing code from Zeus and Stuxnet?
  3. Surely we will see an explosion of clones of Zeus in the coming months. What will be their price?
  4. Use of Zeus for cyber war operations?

Aquí concluimos este análisis de Zeus, aunque personalmente seguiré estudiando su código con más detalle y quizás algún día pongamos un post más detallado. Imagino que todas las casas de anti-virus están como locos estudiando el código ;)

¿Y cuál es tu visión de Zeus para los próximos meses?

Here we conclude this analysis of Zeus although personally I will continue studying the code in more detail and perhaps one day publish a more in-depth post. I imagine that all anti-virus houses are looking at the code like crazy ;)

And what is your vision of Zeus for the coming months?

— Simon Roses Femerling

Posted in Hacking, Microsoft, Pentest, Security | Tagged , , , , , , , , , , | Leave a comment

Simon Roses Femerling Security Advisories (SRF-SA): New Blog Section

Posted on May 6, 2011 by Simon Roses

Inauguramos una nueva sección del blog con un aviso de seguridad en una aplicación Android vulnerable que descubrí hace unos meses, todo un ejemplo de desarrollo inseguro.

No soy muy dado a publicar avisos de seguridad por el amplio gasto de recursos que consumen y el poco ROI pero de vez en cuando publicaremos algo. Tenemos más 0days en el horno ;)

We are inaugurating a new section of the blog with a security advisory in a vulnerable Android app that I discovered a few months ago, a good example of insecure development practices.

I’m not too keen to publish security advisories for the broad spending of resources they consume and the little ROI but occasionally we will release some stuff. We have more 0days in the oven ;)

— Simon Roses Femerling

Posted in Advisories, Security | Tagged , , | Leave a comment