Crónica de la CharruaCon – 2/3

Día 1 de la CharruaCon. Con casi 700 registrados y una plaza de 365 personas era un poco incertidumbre si tendríamos un overbooking o si según las previsiones de que en eventos gratuitos, el 40% de los inscritos asisten.

8:50 mientras Gabriel Bergel de la 8.8 Chile, preparaba su portátil para su charla, y ultimáramos los últimos detalles la gente entraba tímidamente en la sala, sin saber muy bien que iba a encontrarse.

9:20 aún sin mucho público, decidimos que arrancábamos a las 9:30

9:30 La sala tenía otro aspecto, aún no habíamos colgado en enlace del streaming en la web, y yo no podía hacerlo desde una wifi pública teniendo que subir el index.html por FTP, sin exponerme a que alguien intercepte la comunicación y nos haga un defacement a la hora de empezar al evento. Así que le pedí a mi equipo en España que lo subieran ellos desde allí. Luego siguió la charla de guille con pentesting arsenal, donde nos habló sobre el potencial de metasploit y realizó una demo online. Yo estaba tomando fotos por lo que no pude seguir de cerca la charla. Y unos minutos antes, bajé porque me tocaba a mi dar mi charla. Entre telones Mateo me presentó a Ignacio de Agesic, donde me dio mucho gusto conocerlo y saber un poco más de Agesic, hablamos de su proyecto de poner varios CERTS y apenas pude comentarle algo sobre mi charla. Porque ya me tocaba intervenir.

Mi charla, bien, mi charla tenía como objetivo decirles, señores está bien que según la ITU estemos muy bien posicionados, pero nuestras infraestructuras presentan varias deficiencias, Agesic no tiene capacidad en recursos y dinero para afrontar todo el trabajo que tiene. Apoyarse en la comunidad, y pedir colaboraciones. La comunidad quiere hacerlo, puede hacerlo. Todos buscamos un bien común. Proteger nuestras infraestructuras más críticas. Buscar el mecanismo, articularlo y trabajemos juntos en esa dirección. El mensaje llegó, pero a algunas personas, no le gustó la forma, la buena noticia, es que me encanta saber que el mismo sábado 13 la web del cert.uy había añadido información sobre el malware WCRY 2.0. Puede que no tenga nada que ver mi charla, da igual, pero la web del CERT.UY cumplía con su función de informar y estar actualizada. Y eso está muy bueno.

Luego siguió la tan esperada charla del Cuervo, hackeando el sistema de transporte metropolitano. Dicen que compartió más información de la que muchos esperaban y toda su investigación de estos años. Una charla super interesante, que quien quiera profundizar más, le recomiendo su blog y ponerse en contacto con él. https://elcuervo.net Tras el panel muy interesante que moderó Mateo, se le fue la pinza y mandó a todos a comer, dejando la charla de Noel sobre Phising para luego de la comida. Tras ir corriendo al MAN, esperar 15 minutos una milanes con fritas, volvimos sobre la hora con Noel ya lista para su charla. Una charla con mucha investigación por detrás donde nos explicaba, como el phising es el gran desconocido, y técnicas avanzadas de phising que hacen más de lo que la mayoría piensa. Una charla que si está grabada vale la pena volver a ver. Luego subió al escenario Enrique y Carlos, para hablarnos de 5 años viviendo en peligro, o 7?

Sinceramente no tenía ni idea de que iba a ser la charla, así que tenía cierta curiosidad por saber de qué iba. Bueno, pronto lo descubrimos, en Uruguay hay una operadora única de telefonía fija que es Antel, y todo el gasto de infraestructura en fibra como sus routers son de Antel. Antel utiliza unos routers para fibra con ciertas vulnerabilidades que estos dos señores se dedicaron a estudiar, hacer un trabajo de campo y cuantificar en miles, los routers afectados. Esta es otra de esas charlas que vale la pena volver a ver. Conclusiones, si tienes un router de antel, cambia la clave por defecto de tu Wifi. Ya con la agenda movida de tiempo subió al escenario Eduardo Carozo de ITC, hablando sobre blockchains. Eduardo es una enciclopedia con patas, pero por primera vez entendí cómo funciona la minería bitcoins gracias a un video super didáctico y una explicación magistral sobre el escenario. Lo malo que Eduardo tenía material para quedarse 2 horas en el escenario. Así que para cumplir agenda y que ya veníamos con una charla atrasada pedir que resumiera. Por la noche conocí a Eduardo personalmente, y creo que es uno de los grandes que han hecho historia en este país en el campo de las tecnologías. Luego siguió programación esotérica con Fernando, entre telones me explicó su charla brevemente, yo le presenté y tuve que salir hacer fotos y no pude seguirla de cerca. Así que si está grabado volveré a verla porque tuvo que estar muy interesante. Ya con el tiempo vencido, con Mateo decidíamos en donde cortar y hasta donde nos iba a aguantar Antel y todo su personal al que también les doy las gracias. Así que decidimos tirar adelante con la siguiente charla. Secure my random, en este caso Hector nos explicó cómo funciona el Radmon en los distintos sistemas operativos, y cómo lo utiliza los principales lenguajes de programación. Una charla original y desde mi punto de vista profunda en conceptos.

Apuramos y salió al escenario Leandro, muy nervioso con su charla de SQLi, una charla si bien básica para los que conocemos SQLi, muy didáctica y clara para los que no saben cómo funciona.

Leandro se traía una demo muy trabajada, y muy didáctica con las consultas en SQLi explicadas y mostradas encima del formulario. Quién no conozca el SQLi, recomiendo ver esta charla. Yo le intentaré pedir los ejemplos para mis clases. Son muy muy buenos. Y por último ya más que pasados de hora, Diego salió al escenario a contarnos algo que yo desconocía, Scrapy, Hoy en día está de moda crear bot, spider, o crawler para todo, así que para la automatización de tareas nunca viene mal herramientas que nos ayuden. Por ejemplo a recorrer todo un sitio web y recolectar información. Lo que no sabía era que estaba mantenida por uruguayos. Dejo aquí nota de Wikipedia. Scrapy was born at London-based web aggregation and e-commerce company Mydeco, where it was developed and maintained by employees of Mydeco and Insophia (a web consulting company based in Montevideo, Uruguay). The first public release was in August 2008 under the BSD license, with a milestone 1.0 release happening in June 2015.[10] In 2011, Scrapinghub became the new official maintainer

Gracias Diego por tu aporte, así que si tienen dudas sobre esta herramienta desarrollada en Pyhton, puede hablar con Diego Sarro de Kod Latam.

Al finalizar, dimos por cerrado la conferencia, dejando colgada la charla del juez argentino Manuel Campos. Cibercrimen.

Comments are closed.