En lo personal, fue bastante especial volver a mi ciudad de origen después de casi un 1 año fuera; Por tanto me tomé este viaje con bastante ilusión y entusiasmo.
El panel de ponentes y expositores que se conformó finalmente, fue de primera línea, contando con profesionales y expertos de Perú, Argentina y Chile. El resto, nos dimos cita en Santa Cruz desde distintas ciudades del país.
El punto de encuentro fue en la Universidad Privada Domingo Savio, un auditorio de buen tamaño y que ofrecía unas buenas condiciones para este tipo de eventos. Los ponentes incluso contamos con una pequeña sala de estar en donde aparte de tomar un descanso y servirnos un café. Podíamos “hacer migas” y compartir criterios entre los distintos invitados. Fue muy agradable la verdad.
La primera charla que se dio fue la de Nolberto Zabala quien nos habló de “Seguridad en equipos Mikrotik”. En principio, Nolberto no tenía programada su charla hasta el siguiente día (sábado), pero por alguna razón que desconozco, Saúl Mamani en ese momento no había hecho acto de presencia en el auditorio.
La charla de Nolberto fue bastante fugaz, en ella básicamente nos daba un pantallazo sobre las bondades de los equipos de esta marca y como sacarle todo el provecho del que disponen. Ya luego hablando con Nolberto en los descansos, me comentaba que él llevaba años trabajando con estos equipos y siempre le habían parecido flexibles.
El siguiente ponente que entró en escena fue Danilo Anatoli Mercado quien nos presentó su particular “Framework Galina”.
Luego llegó la hora de William Duabyakosky (@will_dex) quién en su charla “Seguridad en Aplicaciones Móviles con OWASP”, hizo un repaso del conocido OWASP Top 10, incluso haciendo mención a la reciente actualización del mismo (Release Candidate), con sus nuevos puntos: A7 - Insufficient Attack Protection y A10 - Underprotected APIs. En particular me sorprendió y a la vez me agrado ver a William empleando la distro Parrot Security OS.
Y antes de hacer la pausa para la comida, fue el turno de Carlos Vidaurre (@m13chy), que con su charla nos habló de “Blue Attacks”, es decir, la parte defensiva de la seguridad y para algunos incluso la menos “fácil”.
A la vuelta del almuerzo, el encargado de abrir las charlas fue el amigo francés Herman Brule, quien nos comentó sobre ataques de “DDOS y Bots a larga escala”. Una dura misión la de Herman, puesto que siempre después de comer nos ponemos un poco espesos, más su falta de fluidez en español, en lo particular, se me hizo un poco complicado seguirle el hilo.
Leonardo Quenta (@undertrigun) dio el relevo al anterior ponente, su charla titulada “Ransomware en las alturas - enjaulando a linux” fue bastante interesante. En ella nos mostró como ejemplo, una demo en la cual pudo cifrar el contenido de una directorio concreto y posteriormente elaborar la llave necesaria para recuperar el acceso a la información. Esto fue realizado a un Ubuntu mismamente.
Una agradable persona que tuve la oportunidad de conocer en Santa Cruz fue Jaime Mendoza, él nos habló de "Internet of Things". Lamentablemente Jaime no nos pudo acompañar más que el primer día debido a unas complicaciones familiares. Desde aquí mucho animo camarada!
De forma enorme se cerro el primer día. El encargado de clausurar la primera jornada fue un invitado extranjero. Se trata de Ricardo Supo (@ricardosupo) quien nos tenía preparada una emocionante historia anécdotica con su charla que tituló “Érase una vez cuando hackearon un NIC”. El relato fue bastante ameno, la verdad que las tablas que lleva Ricardo consigo son bastante notoria. Un gran profesional desde luego.
En los entretiempos de la jornada he ido hablando un poco más con Ricardo y hemos llegado a la conclusión que compartimos afición por la lucha contra el fraude y el phishing, lo cual hizo agradable compartir criterios.
La segunda y última jornada fue el sábado y yo tenía la importante misión de abrirla.
En lo personal, esto me hacía bastante ilusión y me encontraba bastante motivado para dar mi charla. La titulé “0037: Con Licencia para F*ckear!” y de lo que se trató fue principalmente de hacer un repaso por algunas de la entidades financieras a las que tuve la oportunidad de evaluar y hacer ethical hacking. Comenté inicialmente que mi charla no iba a ser demasiado técnica y es que mi principal objetivo era concienciar lo que a mi criterio es prioritario que se cambie en la mentalidad de algunas instituciones y sus miembros. Ya que en muchas ocasiones este tipo de evaluaciones de seguridad se hacen únicamente por alcanzar el cumplimiento regulatorio. Intenté por todos los medios no irme de tiempo con mi relato y lo que tenía preparado, pero al final tuve que pedir disculpas a mi sucesor por robarle algunos minutos.
En una próxima entrada subiré mi presentación para que puedan darle un vistazo.
Jorge Santillán y su equipo de Sucre, fueron mis sucesores y lamentablemente me descuidé del tiempo, me metí para los “camerinos” y no salí hasta prácticamente el final de la intervención de estos muchachos. Mis disculpas públicas desde aquí a Jorge y sus compañeros por mi despiste. Su charla se llamó "Kit de robótica económico".
Lo que vendría luego ya sería una notable subida de nivel e intensidad en las charlas, el culpable inicial de esto fue Israel Araoz (@yaritu_), con su cátedra “El Salto del León”. Un buen baño sobre desarrollo de exploits y su aplicación real. Isra repasó desde la base metodológica hasta llegar a los puntos necesarios para conformar un exploit.
Después del primer intento y de sufrir el “inregateable” efecto demo, Isra finalmente pudo poner en funcionamiento su exploit y dejar maravillado a todo el auditorio. Una gran charla desde luego.
Todo estaba previsto para que sea Richard Villca quien salte en escena y se continúe de hecho con el tema de los exploits, pero justo en ese momento Richard tuvo algunos problemas para sacar su pantalla por el proyector y después de varios intentos, en los cual yo también me implique. Se tuvo que optar por aplazar temporalmente la participación de Richard y pedir al siguiente ponente que asuma el espacio.
Pablo Videla (@pablovidelay) fue en ese sentido nuestro salvador, rápidamente se preparó y subió a escena. Su charla se tituló “Ingeniería (Anti) Social”, en ella nos mostró algunas evaluaciones de Ingeniería Social que había realizado en su trabajo a través de ataques de phishing y la efectividad de estos. Posteriormente nos fue redactando como dar valor a estos ataques y fortalecerlos para que tenga mayor impacto. Sin duda fueron impresionantes sus tips. Un experto Pablo y gran persona en el cara a cara. Tuvimos una buena charla después.
Lo que vino inmediatamente después fue un poco caótico, o al menos no me esperaba que fuera así. Apareció en escena Saúl Mamani (@kanito777), quien en realidad era el encargado de abrir el primer día, pero que no se le vio hasta este momento. Bueno en su charla nos habló de "Seguridad Perimetral de Aplicaciones".
En algún momento nos llamaron a los ponentes para entrar a la sala de estar que teníamos habilitada, allí dentro, los chicos de Dreamlab Chile (Gabriel y Boris) nos querían regalar a los ponentes un par de libros de 0xWORD. Lo hicieron a través de sorteo, en cual no tuve fortuna, a mi pesar.
Después de Saúl y una vez superado los inconvenientes de Richard Villca (@SixP4ck3r), que por cierto, lo hizo gracias a la pronta actuación de Sergio Guillen (@donkeysharp) quien le presto su laptop para que Richard pueda sacar adelante el material preparado.
Como indicaba anteriormente, la charla fue de "Desarrollo de Exploits" y en ella Richard nos mostró su capacidad y cualidades por este tipo habilidades. Un crack el tío.
El plato fuerte del evento prácticamente llegó de la mano de Gabriel Bergel (@gbergel) y Boris Murillo (@borismurillo). La charla "MAFIA Inc. How bad guys own our money ...and data", que yo lo definí en su momento “a lo pimpinela” fue una auténtica pasada. En ella nos hablaron del crimen organizado, el tema de los pagos con bitcoins para temas ilícitos, la evolución del fraude y las estafas por ATM y POS.
El background de estos señores es verdaderamente amplio. Boris es todo un orgullo nacional, que triunfa en el vecino país de Chile en una firma de renombre como es Dreamlab Technologies AG. Y Gabriel no necesita ningún tipo de presentación a esta altura, también miembro de Dreamlab Technologies AG y además Embajador en Chile de ElevenPaths.
Y para cerrar este magnífico evento llegó el turno de un tan gran profesional, como persona, estoy hablando de nuestro colega argentino Diego Bruno (@BlackMantisSeg), quien nos ofreció con su charla “DevOps - Del Salar de Uyuni a Skynet” su visión particular por integrar procesos de análisis de vulnerabilidades automatizadas en etapas de desarrollo, con el fin de poder corregir falencias de manera temprana y oportuna. La verdad que muy bueno su “speech”, nos traslado la actualidad de algunas empresas que están optando y apostando por lo conocido como infraestructura ágil (o como nos indicó Diego que dicen los americano “Agile Infrastructure”, XD).
Así mismo Diego nos mostró a modo de demo, un escaneo automatizado de vulnerabilidades realizado con OWASP ZAP a través de un Jenkins Server. Una verdadera pasada esta capacidad de mejora compartida para los procesos de desarrollo. Si amigos, desarrollo y seguridad no tienen por que ser mundos distintos. Así lo evidenció este maestro!
Finalmente y ya esto de modo privado, cerramos la noche compartiendo algunas cervezas y comiendo un “churrasco” en casa del anfitrión y también organizador del evento Elvin Mollinedo (@ElvinMollinedo). Muchas gracias por ello! El próximo año, una cita obligatoria.
Autor: UnD3sc0n0c1d0
Playlist: Gorephilia - Embodiment of Death (https://youtu.be/D4rf_0BH85s)
