[Nota previa] A decir verdad, no tengo perdón al publicar esta entrada en estos momentos, y es que desde que se realizó este evento ya ha pasado al menos 1 mes y yo vengo ahora con esto (aunque la había empezado a escribir prontamente, no fue hasta hoy que me dio por concluirla). Pero bueno, no quería dejar de hacerlo porque a través de esta manera quiero dejar plasmadas mis palabras de agradecimiento a la organización y a los compañeros anfitriones. Va en honor a vosotros señores!
Aquí empieza todo os lo juro ---> De este hecho ya ha pasado al menos una semana y bueno he querido dejar plasmada esta mi reseña sobre mi experiencia en el evento PerúHack 2017 en agradecimiento y honor a los muchachos que hicieron mi estadía en Lima bastante cómoda y muy agradable. Seguramente no les haga mucha gracia el verse tan señalados, pero no puedo pasar por alto el agradecerles una vez más a los señores: Walter Cuestas (@wcu35745), Juan Oliva (@jroliva), Alexis Torres (@Lu4m75) y Grover Cordova.
Bien, pues el viaje a Lima lo hice por carretera, básicamente por que mi presupuesto en ese momento fue muy reducido y bueno me mentalice para hacer un trayecto de al menos 1500 Km que se hacen en unas 25 horas.
Partí de la terminal de buses de La Paz pronto el día Miércoles 10. Mi principal idea era estar en Lima a primeras horas de la tarde del día siguiente Jueves 11, para tener un poco de margen de descanso y ya de paso intentar acudir al evento CyberSecurity Bank & Government Perú, que poco antes de partir me había enterado.
Un par de horas después de mi salida de La Paz, llegue a la ciudad fronteriza de Desaguadero, una curiosa región que marca el final de Bolivia y el inicio de Perú. Después de hacer mis respectivos trámites migratorios en ambos puesto fronterizos decidí tomar una foto conmemorativa.
A eso de las 14 horas (según mi reloj), estuve llegando a Lima, una ciudad enorme realmente y con particularidades que realmente no me esperaba. Como por ejemplo el hecho de no contar con una terminal central. Pero vamos, es una apreciación netamente personal.
Después de ubicarme en el hostal donde pasé la primera noche, me dirigí al Sonesta Hotel El Olivar, lugar donde se realizaría el PerúHack al día siguiente y justamente el mismo sitio donde se llevaba a cabo el evento CyberSecurity Bank & Government Perú.
En realidad este evento ya estaba en su fase final pero aún me dio tiempo para escuchar una parte de la charla/taller titulado “Hacking Web Services” de mi anfitrión Juan Oliva. La otra parte del tiempo la aproveché para saludar a los chicos de Open-Sec (@OpenSec), Walter Cuestas, Alexis Torres, Oscar Martinez (@oscar_mrdc) y Alfredo Garcia (@garciacajo).
Bueno, el resto del día fue de confraternización y mucha plática con los anfitriones.
Para el día del evento tuve el agrado y honor de poder abrir las jornadas, a eso de las 8:50 (hora local), ya estaba con mi equipo preparado y yo listo para empezar. Se me acercó Walter Cuestas y me pidió que mientras que la gente vaya entrando que me ponga algo de música, me pidió algo de música “electro” creo recordar, pero la verdad que no le hago a eso, así que nos pusimos a mirar mi repertorio, intentando que suene algo más acorde, y no lo que suelo escuchar y que apunto por aquí en el blog. Entonces llegamos a Judas Priest, el disco Painkiller fue el que nos amenizó los minutos. Una curiosa anécdota, por supuesto fue la CON más heavy en la que había estado.
Bueno a mi charla la titulé “Auditando a EEFF al otro lado de la frontera”, y en ella vine a comentar un poco sobre mis vivencias y experiencias acontecidas durante los últimos trabajos de Ethical Hacking que había realizado a finales del año pasado (2016). Por supuesto guardando mucho reparo para no caer en violaciones a los acuerdo de confidencialidad y esas cosas que había firmado.
Mi charla la orienté mas a la concientización y buscaba que mi material preparado sea más dinámico y que cause esa reacción en los participantes para que se preocupen más por la seguridad en sus instituciones. Espero haberlo logrado.
Mi charla la orienté mas a la concientización y buscaba que mi material preparado sea más dinámico y que cause esa reacción en los participantes para que se preocupen más por la seguridad en sus instituciones. Espero haberlo logrado.
Como de costumbre en mí, robe algo de tiempo al siguiente ponente que fue Javier Perez (@the_s41nt) de Chile, que venía de la empresa DreamLab con su charla “Breaking Bad (IN)Seguridad”, la cual fue una auténtica pasada, en ella Javier nos hizo un barrido por la actualidad en la seguridad (o más bien inseguridad) en dispositivos de pago (POS) para las tarjetas de crédito y débito, las vulnerabilidades existentes, las medidas de seguridad que se implementan, la organización de las bandas de criminales, la tendencia en este lado del charlo y también los estándares y normas internacionales que se manejan para estos temas. Esta charla o parte de ella también fue presentada semanas después en Rusia en el PHDAYS VII, evento en donde Javier estuvo junto a Gabriel Bergel (@gbergel).
Luego vino el turno del señor Jean del Carpio quien nos traía su tema “Realizando una Autopsia a un Ransomware”, que caía de manera oportuna teniendo en esos momento las RRSS ardiendo por el tema del WannaCry. En fin, no dejo de ser anecdótico. Jean del Carpio nos mostró todos los pormenores de un Ransomware, desde el como actúa, sus características, hasta llegar a un análisis de tipo forense.
La siguiente charla fue “OSINT y Recolección de Data”, una a la que tenía ganas de escuchar y también conocer a su expositor, Miguel Guerra León (@miguelguerrape), quien ya lo había visto bastante por vídeos en youtube (ElHackerBueno). Una charla bastante interesante que nos volvió a traer lo importante que es la recopilación de información de fuentes abiertas por internet y lo tan accesible que resulta recopilarla para un usuario con algo más de curiosidad en su objetivo. Me agradó bastante el speach de Miguel y me resultó de utilidad llegar a conocer algunas herramientas que no las había tratado. Gran aporte Miguel!
Al finalizar la charla de Miguel, llegó la hora del almuerzo, la organización muy cordialmente nos preparó el salón del hotel en donde compartimos todos los ponentes, la organización y alguno allegados.
Retomamos la CON de la mano de Angel Arteaga (@angelart07) con su charla bautizada como “Concientizando a Mr.Robot con FacebookCTF”, la cual tenía bastante ganas de escuchar pero lamentablemente para mí, tuve que ausentarme para ir a arreglar unos temas en mi hotel.
En todo caso, la presentación de Angel y otras más están subidas en la página de la CON. Pulsa aquí
Se prolongó mi demora en el hotel y llegue tarde a la charla de Cesar Farro (@cesarfarro), ya cuando estaba concluyendo prácticamente. Su charla se tituló “Ataques de Ramsomware dirigidos hacia Pymes”. Algo relevante de comentar fueron sus recomendaciones, extraídas del CERT.br según indicó.
La charla que dio Everth Gallegos (@PerverthsO) resultó estar bastante interesante. “Hacking de Aplicaciones Cliente-Servidor”, abarco la poca seguridad que se implementa en los canales de comunicación entre una aplicación y su base de datos. Nos mostró un ejemplo claro de como lograr manipularlo y como esto sería invisible para un usuario convencional. Everth también nos comentó sobre un trabajo en este sentido que había realizado para una entidad estatal de su país.
Ya prácticamente en la recta final de la CON, llegó el turno de Erick Olortegui, un chaval majo, analista de malware, miembro del equipo de Security Labs (www.securitylabs.pe), una de las empresas sponsors del evento. Erick nos comentó de como “hacer el mal” desde un dispositivo USB (BadUSB). Una Rubber Ducky fue la que empleo para mostrar algunas demos y evidencias de funcionamiento. Su charla titulada “Evil Tool - BADUSB” fue entretenida.
Y finalmente, ya como “broche de oro” se podría decir, llegó el turno de uno de los ponentes que de más dejos había venido. Mario Orellana (@MarioOrellana) de El Salvador. Su charla se tituló “Forencia de Aplicaciones Web” y fue una autentica cátedra en tema forense digital. Toda la experiencia y la habilidad de este tío quedó bastante clara y evidente, nos supo llevar desde como afrontar una investigación de esta rama tomando en cuenta un marco metodológico de investigación, pasando por los hitos que debemos tomar en consideración, y hasta como afrontarlo en una presentación. Fue una buena dosis de aprendizaje.
La charla de Mario para mi gusto fue prolongada, y sumando la larga jornada del día, hizo que más de uno se planteara en poner punto y final a su presencia, pero a medida de que la charla continuaba, cada vez se hizo más interesante de recibir toda esa información que Mario, muy amenamente contaba.
Mario de forma muy acertada supo captar la atención de la gente allí presente e incluso hizo su charla participativa. Ya en la parte final de su charla, quitando hierro al asunto nos compartió la siguiente imagen, consiguiendo la carcajada generalizada de todo el público.
El evento concluyo de buena manera, Walter Cuestas dio unas breves palabras finales y con eso ya empezamos a abandonar todos el salón del hotel, llevando con nosotros la satisfacción de haber sido parte de esta gran edición del PerúHack 2017.
Tanto Mario Orellana, Javier Perez, Walter Cuestas, Juan Oliva, Alexis Torres, William Marchand, Bruno Fonseca y yo, terminamos yendo a un pub de la ciudad a tomarnos unas cervezas y terminar cerrando nuestro paso por el PerúHack. Ha sido un autentico honor estar allí señores, eternas gracias a todos vosotros por la oportunidad y la cordialidad.
Autor: UnD3sc0n0c1d0
Playlist: Mercyful Fate - Time (https://youtu.be/cKat6jTfB0Q)
No hay comentarios:
Publicar un comentario