Crónica de la CharruaCon -3/3

Día 12 de Mayo de 2017

A las 5:00 am me despiertan por teléfono, algo pasa en España, tras atender varios emails, resolver varias incidencias en mi empresa en España. Me llega correo de Mateo sobre las 7 y poco de la mañana. Resolví dos incidencias de la conferencia, y también compruebo que el correo ctf@charrua.org no recibe emails. Así que me creo uno alternativo. El CTF está que arde!!

A las 9:15, siendo puntuales, empieza la charla de Cibercrimen de Manuel. Hizo lo que suelen hacer los jueces, abogados en estas charlas, suben sin portátil, y apenas con un papel, eso siempre garantiza que no habrá problemas técnicos, ni con el proyector, ni con las demos. Una charla super amena, dando un pantallazo general acerca de las reglas del cibercrimen, y las dificultades de la justicia para perseguirlo, diferenciando lo que es una evidencia digital y una prueba y los procesos a seguir por la justicia y sus limitaciones. Una charla que siguió todo el mundo en silencio y dio para reflexionar.

Siempre es un gusto escuchar a Manuel. Luego siguió una de las charlas más esperadas, entre otras cosas por el peso que tienen en la comunidad los dos investigadores (research como dicen de este lado del charco).Cristian Borghello y Sheila Berta ambos trabajan para ElevenPaths. Nos hablaron sobre lo que me comentó Chema Alonso, sus últimas investigaciones acerca de lo que se viene en certificados transparentes en los navegadores y su funcionamiento. Compartiendo con nosotros su investigación y una muy buena prueba de concepto realizada por ellos. Una gran charla con una investigación muy cuidada por detrás. Recomiendo volver a ver esta charla porque es muy interesante y es un adelanto de lo que se viene. Que por cierto si no tienes HTTPS deberías de ir pensando en ponerlo. Luego siguió Diego Cotelo con XSS paranormal, donde nos explicó desde sus orígenes en MySpace, los distintos tipos de XSS, reflejado, persistente, etc y los riesgos que supone, también se dio un paseo por Tienda Inglesa. Y nos comentó otros reportados por él en Uruguay. Otra de esas charlas que me gustaría volver a ver.

Luego vino Edgar el venezolano, hablándonos de la inseguridad industrial, un tema siempre olvidado en donde nos expone los riesgos y el peligro que tiene para la industria olvidar la seguridad en sus dispositivos. Antes de finalizar Hugo nos comenta un concepto filosófico empezando por explicar lo que es la palabra Ciber y la palabra resiliencia, una charla muy interesante que invita a la reflexión. Panel de abogados vs hackers, cosas a destacar. Escaneo de puertos no es delito, usar nodos tor, no es delito, fake AP, no es delito, aunque hay que ver su intencionalidad.

Osint bien, pero es una dato más a valorar. Buen panel, donde los jueces y hackers tuvimos varios puntos de coincidencias. Terminamos en hora y nos fuimos a comer a la misma Torre de Antel. Me senté al lado de Cristian Borghello que estaba comiendo bondiola, hacía años que no comía bondiola con pure!!! Muy buena la verdad… Con la bondiola en la garganta salí corriendo para el escenario. Una hora para comer, no da para mucho. Mateo ya se me había adelantado y ya estaba presentando en el escenario la primera charla de la tarde. El Coco y el Chiche (asador oficial de la H&B) , subieron para dar otra de esas charlas muy esperadas y sorpresa.  Hicieron un gran despliegue y develaron su charla. Con mucho humor, abordaron un tema de la tecnología de la BIOS y los procesos de arranque de las computadoras modernas.   

Como me fui hacer fotos, me perdí el final, perdonarme muchachos, así que es otra charla que tendré que volver a verla. Emotivo final con sus lazos negros en honor a un ser muy cercano a Mateo que días antes nos abandonó. Y un gran reconocimiento por la entereza de Mateo de estar ahí y darlo todo en momentos tan delicados. A las 14:40 no teníamos Katana para el ganador del CTF, así que Mateo salió corriendo a comprarla y yo me quedé presentando, tiwitteando y haciendo fotos, por lo que la charla de Pablo Rico Drop a Shell, no pude verla. Otra más para volver a ver. Rodrigo presentó Hacking de contraseñas, una charla sobre dónde guardo mis contraseñas, en la nube o en local. Una gran pregunta que contesta a lo largo de su ponencia, tampoco pude verla entera y la tengo apuntada también para volver a verla. Pero es una cuestión muy interesante. Alberto Wilson, dio broche de oro con su charla sobre procesadores Intel, una charla muy clara y muy bien explicada. Finalmente llegó la hora del sorteo, en donde participaron 73 personas, se regalaron cursos de especialización, uno de nuestro patrocinador TIB, y otro de entrenate.info. Y para rematar, una entrada para la Ekoparty de nuestro patrocinador Faraday. Finalmente la entrega de la Katana. Aquí dejo la tabla de posiciones. Una gran Con, esperamos tener más apoyo de las empresas locales, de las instituciones públicas y sobre todo de los medios, los grandes ausentes. He visto los periódicos el sábado y el ciberataque que paralizó casi medio planeta no fue noticia para la prensa uruguaya. Por lo que en nuestra próxima CharruaCon, nos gustaría que estuvieran más presentes los medios. Mañana me levanto a las 5 de la mañana como siempre, para atender mis clientes en España y también daré una entrevista en directo para Canal Sur Radio. Por lo que no deja de ser un indicativo de que aún queda mucho por hacer en cuestión de concienciar a la población sobre la ciberseguridad. Hay que empezar por conseguir el apoyo del gobierno y después el de los medios. Por lo que aún queda mucho por hacer en estas tierras.

Todas las fotos de la CharruaCon aquí.

Crónica de la CharruaCon – 2/3

Día 1 de la CharruaCon. Con casi 700 registrados y una plaza de 365 personas era un poco incertidumbre si tendríamos un overbooking o si según las previsiones de que en eventos gratuitos, el 40% de los inscritos asisten.

8:50 mientras Gabriel Bergel de la 8.8 Chile, preparaba su portátil para su charla, y ultimáramos los últimos detalles la gente entraba tímidamente en la sala, sin saber muy bien que iba a encontrarse.

9:20 aún sin mucho público, decidimos que arrancábamos a las 9:30

9:30 La sala tenía otro aspecto, aún no habíamos colgado en enlace del streaming en la web, y yo no podía hacerlo desde una wifi pública teniendo que subir el index.html por FTP, sin exponerme a que alguien intercepte la comunicación y nos haga un defacement a la hora de empezar al evento. Así que le pedí a mi equipo en España que lo subieran ellos desde allí. Luego siguió la charla de guille con pentesting arsenal, donde nos habló sobre el potencial de metasploit y realizó una demo online. Yo estaba tomando fotos por lo que no pude seguir de cerca la charla. Y unos minutos antes, bajé porque me tocaba a mi dar mi charla. Entre telones Mateo me presentó a Ignacio de Agesic, donde me dio mucho gusto conocerlo y saber un poco más de Agesic, hablamos de su proyecto de poner varios CERTS y apenas pude comentarle algo sobre mi charla. Porque ya me tocaba intervenir.

Mi charla, bien, mi charla tenía como objetivo decirles, señores está bien que según la ITU estemos muy bien posicionados, pero nuestras infraestructuras presentan varias deficiencias, Agesic no tiene capacidad en recursos y dinero para afrontar todo el trabajo que tiene. Apoyarse en la comunidad, y pedir colaboraciones. La comunidad quiere hacerlo, puede hacerlo. Todos buscamos un bien común. Proteger nuestras infraestructuras más críticas. Buscar el mecanismo, articularlo y trabajemos juntos en esa dirección. El mensaje llegó, pero a algunas personas, no le gustó la forma, la buena noticia, es que me encanta saber que el mismo sábado 13 la web del cert.uy había añadido información sobre el malware WCRY 2.0. Puede que no tenga nada que ver mi charla, da igual, pero la web del CERT.UY cumplía con su función de informar y estar actualizada. Y eso está muy bueno.

Luego siguió la tan esperada charla del Cuervo, hackeando el sistema de transporte metropolitano. Dicen que compartió más información de la que muchos esperaban y toda su investigación de estos años. Una charla super interesante, que quien quiera profundizar más, le recomiendo su blog y ponerse en contacto con él. https://elcuervo.net Tras el panel muy interesante que moderó Mateo, se le fue la pinza y mandó a todos a comer, dejando la charla de Noel sobre Phising para luego de la comida. Tras ir corriendo al MAN, esperar 15 minutos una milanes con fritas, volvimos sobre la hora con Noel ya lista para su charla. Una charla con mucha investigación por detrás donde nos explicaba, como el phising es el gran desconocido, y técnicas avanzadas de phising que hacen más de lo que la mayoría piensa. Una charla que si está grabada vale la pena volver a ver. Luego subió al escenario Enrique y Carlos, para hablarnos de 5 años viviendo en peligro, o 7?

Sinceramente no tenía ni idea de que iba a ser la charla, así que tenía cierta curiosidad por saber de qué iba. Bueno, pronto lo descubrimos, en Uruguay hay una operadora única de telefonía fija que es Antel, y todo el gasto de infraestructura en fibra como sus routers son de Antel. Antel utiliza unos routers para fibra con ciertas vulnerabilidades que estos dos señores se dedicaron a estudiar, hacer un trabajo de campo y cuantificar en miles, los routers afectados. Esta es otra de esas charlas que vale la pena volver a ver. Conclusiones, si tienes un router de antel, cambia la clave por defecto de tu Wifi. Ya con la agenda movida de tiempo subió al escenario Eduardo Carozo de ITC, hablando sobre blockchains. Eduardo es una enciclopedia con patas, pero por primera vez entendí cómo funciona la minería bitcoins gracias a un video super didáctico y una explicación magistral sobre el escenario. Lo malo que Eduardo tenía material para quedarse 2 horas en el escenario. Así que para cumplir agenda y que ya veníamos con una charla atrasada pedir que resumiera. Por la noche conocí a Eduardo personalmente, y creo que es uno de los grandes que han hecho historia en este país en el campo de las tecnologías. Luego siguió programación esotérica con Fernando, entre telones me explicó su charla brevemente, yo le presenté y tuve que salir hacer fotos y no pude seguirla de cerca. Así que si está grabado volveré a verla porque tuvo que estar muy interesante. Ya con el tiempo vencido, con Mateo decidíamos en donde cortar y hasta donde nos iba a aguantar Antel y todo su personal al que también les doy las gracias. Así que decidimos tirar adelante con la siguiente charla. Secure my random, en este caso Hector nos explicó cómo funciona el Radmon en los distintos sistemas operativos, y cómo lo utiliza los principales lenguajes de programación. Una charla original y desde mi punto de vista profunda en conceptos.

Apuramos y salió al escenario Leandro, muy nervioso con su charla de SQLi, una charla si bien básica para los que conocemos SQLi, muy didáctica y clara para los que no saben cómo funciona.

Leandro se traía una demo muy trabajada, y muy didáctica con las consultas en SQLi explicadas y mostradas encima del formulario. Quién no conozca el SQLi, recomiendo ver esta charla. Yo le intentaré pedir los ejemplos para mis clases. Son muy muy buenos. Y por último ya más que pasados de hora, Diego salió al escenario a contarnos algo que yo desconocía, Scrapy, Hoy en día está de moda crear bot, spider, o crawler para todo, así que para la automatización de tareas nunca viene mal herramientas que nos ayuden. Por ejemplo a recorrer todo un sitio web y recolectar información. Lo que no sabía era que estaba mantenida por uruguayos. Dejo aquí nota de Wikipedia. Scrapy was born at London-based web aggregation and e-commerce company Mydeco, where it was developed and maintained by employees of Mydeco and Insophia (a web consulting company based in Montevideo, Uruguay). The first public release was in August 2008 under the BSD license, with a milestone 1.0 release happening in June 2015.[10] In 2011, Scrapinghub became the new official maintainer

Gracias Diego por tu aporte, así que si tienen dudas sobre esta herramienta desarrollada en Pyhton, puede hablar con Diego Sarro de Kod Latam.

Al finalizar, dimos por cerrado la conferencia, dejando colgada la charla del juez argentino Manuel Campos. Cibercrimen.

Crónica de la CharruaCon – 1/3

Guauu el primer congreso de Hacking y seguridad informática en todo el Uruguay. Esta vez me tocó estar en el sitio del organizador, por lo que se disfruta menos que siendo asistente. Pero como recompensa tiene el agradecimiento de toda esa gente que está ahí, disfrutando de cada exposición, jugando al CTF, aprendiendo, tomando notas, conociendo a otros.

De este tipo de eventos salen proyectos, ideas, trabajos, y para mí a nivel personal, es lo más lindo que hay. Sobre todo si pones tu granito de arena para que eso suceda. La química con Mateo fue inmediata, para un uruguayo que vive en el extranjero y que viene un par de veces al año, es difícil conectar con una comunidad que está ahí y quizás necesita más voz y presencia.

Voy a compartir entonces mi crónica de cómo la viví. Y vaya por delante un especial agradecimiento a mi compañero de cabina, Mateo que sobre sus hombros cayó gran parte de la organización, él consiguió los patrocinadores, y usó su línea de contactos para conseguir y formar la agenda tan buena que quedó.

Luego un agradecimiento especial a cada uno de los patrocinadores que asistieron, en especial a los que cruzaron el charco, montaron su stand y nos acompañaron en todo el evento.Y por último no menos importante y la razón de todo esto, cada uno de usted que asistió, aunque sea 1 hora, gracias por estar ahí y formar parte de esto.

La previa: Hack and Beers Uruguay

Mientras en España se piensa que Hack and Beers nació de forma espontánea allí, aquí en Uruguay se viene haciendo desde hace más de 4 años. Y me consta que en otros países también se lleva haciendo desde hace tiempo.

Lejos de los patrocinios, de la cerveza gratis, al calor del fuego de una parrilla, o con unas cervezas en una mesa, se reúnen un grupo de amigos, en donde todo aquel que se quiere unir siempre es bienvenido, como en mi caso. Y va formando una comunidad cada vez más grande. Las cuentas son claras y transparentes… Unos se encargan de la leña, comprar la carne, las bebidas, se divide el coste entre los asistentes registrados y se paga a partes iguales al final. Los segundo miércoles que cada mes, se reúnen para asado, cervezas y charlas o bien, para cervezas y charlas. Aunque no siempre se realizan charlas, la reunión, el intercambio de conocimiento, los mini proyectos colaboraciones y sobre todo el poder compartir con otros tus conocimientos, el poder aprender de otros, compartir experiencias, siempre está asegurado. El uruguayo es una persona muy humilde, hasta que no te pones a hablar con un uruguayo no dimensionas lo que puede saber el tipo, y mucho menos su experiencia de vida. Por lo que asistir a una hack and beers en Uruguay es una caja de sorpresa. Porque te encuentras a gente increíble, con mundo, gente que ha viajado, con mente abierta, con profundos conocimientos en ingeniería, tecnología. Con investigaciones de doctorados que merecen ser conocidas en el resto del mundo. Sinceramente una muy buena experiencia. Donde entre charla y charla se forja algo más importante aún que el compartir conocimiento. La amistad. Y un especial agradecimiento al que quema los asados, perdón, al asador oficial de la H&B que no hay quién lo mueva de la parrilla y deleita a los asistentes con sus historias y muy buen sentido del humor. Al único e inigualable Chiche

CharruaCon, una realidad


Vaya si hacía falta un evento como este en Uruguay, no hay gratitud más grande que la de poder volcar toda mi experiencia adquirida en España en la SecAdmin y otras CONs que en una realizada en Montevideo.

Gracias a la unión entre Mateo y yo, hemos podido realizar un sueño e inquietud que teníamos entre los dos. La verdad que aunque llevó mucho menos organización que la SecAdmin.

Una programa genial e internacional, con mucha presencia de grandes internacionales de Argentina. La verdad que era hora ya de que en este lado del Río de la Plata se empezara a realizar este tipo de eventos. Toda la información en el sitio oficial. Charrua.org

Gracias también a nuestro amigo Chema Alonso por su apoyo y difusión.