El pasado 2 de Septiembre se llevo a cabo este fantástico evento, en el cual tuve la enorme oportunidad de participar y vivir esta gran experiencia de ser parte del BSides LATAM 2017.
Todo arrancó el día Viernes 1 de Septiembre, después de un largo viaje de poco más de 13 horas, haciendo escalas en distintas ciudades hasta llegar a mi destino, en la mañana y ya cerca del medio día llegue al hotel que nos había reservado la organización, que por cierto estaba de 10 puntos. Allí coincidí con algunos speakers, entre ellos el gran Hugo Bayona, al cual tuve la oportunidad por fin de conocer en persona. Más adelante hablaremos algo más de él.
Bueno, en esos instantes nos preparemos y nos dirigimos hasta el lugar del evento en Ruta N. Allí saludamos a algunas personas y después de “papear” algo ágil, me dispuse a prepararme para iniciar el taller que tenía agendado como parte del evento. A este taller le llamé “Hacking con ParrotSec” y en él básicamente abarqué como afrontar un ejercicio completo de Ethical Hacking empleando para ello la distribución de GNU/Linux de origen italiano Parrot Security OS. Bueno, la verdad que el taller a mi criterio, tuvo bastante buena acogida. Arrancamos con los mínimos, como podría ser de esperar, pero a medida que iba avanzando con el tema, la gente se iba incorporando. Tengo que agradecer en este momento a Santiago Restrepo (@crunch524), Luis (@Sh3rl0ckH), Albert Torres (@dastos309) y Levi Reza (@levinho2santos) por que fueron los que nos acompañaron desde el principio.
Ya que en el taller hablaba de ParrotSec y con el fin de contribuir a la comunidad latina a la que nos debemos, en ese momento decidimos intentar emitir en directo el taller vía Hangouts, y bueno, con algún que otro inconveniente se logró sacar adelante. A los que estéis interesados en escuchar la grabación, aquí en enlace (https://youtu.be/DBfZUikQqRs).
Ya al día siguiente, se daba inicio como tal al evento del BSides LATAM 2017 y a sus ciclos de conferencias. El encargado de abrir la jornada fue el americano Justin Searle (@meeas) quien es bastante conocido en el ámbito de la seguridad sobre todo por ser instructor del SANS Institute. Su charla se llamo “Playing with Fieldbus and Serial Protocols” y la verdad que estuvo bastante interesante, al menos lo que pude escuchar, por que la verdad llegué cuando la charla había iniciado.
Después llegó el turno del local Luis Hernández (@luisco100), quien con su charla titulada “Desmitificando a Mirai el trasfondo su alcance y cómo jugar con éste Malware”, abarcó todo el análisis técnico que había realizado sobre el tema de Mirai, su vinculación y afectación con el IoT (Internet of Things). Luis hizo una excelente intervención y la verdad que el nivel que manejó para su charla, fue bien alto.
El listón alto fue implado, como he dicho anteriormente, y la misión que tenía yo por delante era bastante dura para poder seguir manteniendo el nivel y bueno, en realidad mi charla fue menos técnica y más de concientización. En fin, mi charla fue titulada “¡Dime dónde postulas, y te diré quién eres!” y en ella abarque un temita que iba mirando hace algún tiempo, básicamente hablé sobre la seguridad en los sistemas de información que son empleados en los procesos de selección de personal que utilizan algunas empresas. También mostré la criticidad y el riesgo que supone tener datos personales en sistemas vulnerables y la factibilidad de extracción y robo de información. En definitiva, intenté abarcar dicho tema de manera amena y con el fin de disuadir a los participantes o al menos concienciarles sobre la importancia de conocer a aquellas empresas a las que confían sus datos personales y el nivel de exposición al cual pueden verse afectados. Agradecimiento especial a Diego Espitia (@dsespitia) por la buena onda y el soporte con mi charla.
Quien me tomó el relevo fue Santiago Hoyos (@santiagohoyos) de Bogota. Su charla “DKIM y DMARC Técnicas para proteger los servicios de correo electrónico”, abarcó sobre la seguridad en los sistemas y servicios de correo electrónico. Santiago en su charla nos mostró algunas soluciones que tiene desarrolladas y tal.
Una de las charlas que apetecía bastante escuchar era la del jovencísimo Luis Eduardo Jácome (@Mortal_poison_), que básicamente titulaba “Explotando una vulnerabilidad zero-day en un CMS”. La charla se llevó hasta más o menos la mitad con normalidad, sin embargo la segunda parte se generó un debate general, en la cual por supuesto hubo tanto gente a favor, como en contra, aquí la organización del evento, comandada por Giovanni Cruz (@fixxx3r) rápidamente aclaró su posición sobre este tipo de revelaciones tan caliente. Bueno, todo se generó por que justamente Luis Eduardo mostraba algunos bugs o fallos de seguridad que tenían ciertas plataformas y que a su vez estas plataformas se encontraban vinculadas a marcas específicas. Luis Eduardo comentaba igualmente que algunas de las slides que se habían visto en su presentación no eran las adecuadas. En cualquier caso, fue anecdótica dicha situación y se quedó para el recuerdo.
La siguiente charla fue la de Hugo Bayona (@BatmanEsFriki) quien con “Security Awareness Fail Better activa ante ataques”, nos hizo pasar un gran rato. Todos somos conscientes o al menos cada vez más somos las personas que admiramos el potencial de este profesional por evaluar la seguridad más allá de las máquinas y la tecnología. Estamos hablando de la capa 8, es decir, los recursos que se encuentran entre la pantalla y la silla.
Después de un breve break, llegó el turno de Jaime Andrés Bello (@avechuch0), quien a parte de ser una gran persona, demostró ser un crack en la parte de la defensa de la seguridad informática, o lo que se conoce como Blue Team. Su charla fue titulada “Una mirada a la Active Defense Harbinger Distribution (ADHD) como herramienta de monitoreo defensa” y en ella básicamente nos mostró las características y bondades de esta distribución basada en Ubuntu evocada a la defensa y protección.
Antes de entrar en la charla final del evento, fue turno de Beebe, Jameson A quien a través de su charla “Sniffing and Cracking GSM / Fun with SDR’s”, nos mostró la capacidad de llegar a interceptar algunas señales de comunicación, llevando este entorno a potenciales nuevos vectores de ataques. Así mismo nos mostró algunas herramientas que había desarrollado para automatizar ciertos procesamientos.
El broche de oro lo puso Jeffrey Steve Borbón (@eljeffto) y fue de forma magistral con su charla “IoT en la cocina, algo huele mal”. Jeffrey quien nos comentó que se dedicaba a esto de la seguridad, pero que además tenía mucha afición por el mundo gastronómico y en su charla justamente unía ambos mundos, logrando mostrar algunos avances de investigaciones que había realizado sobre electrodomésticos inteligentes de cocina. Una charla bastante buena e interesante.
Finalmente la jornada la cerramos compartiendo unas cervezas entre los speakers y echando agradables charlas con algunos de ellos. Yo la verdad lo pasé genial durante todo el evento. Me he sentido entre algodones por parte de la organización y la verdad es que estaré completamente agradecido con todos los miembros de panel de la organización por largo rato por la disposición, la cortesía y la buena onda de todos ellos. Espero volver a veros en otras ocasiones.
Al día siguiente y hasta la salida de mi vuelo estuve conociendo un poco la ciudad de Medellín. Santiago Hoyos me hizo de anfitrión y fue bastante agradable conocer los sitios más turísticos de la ciudad. Medellín me pareció una ciudad muy bonita e interesante.
Por último, no me volví a mi ciudad de origen sin probar una deliciosa Bandeja Paisa. Dejo evidencia:
Autor: UnD3sc0n0c1d0
Playlist: Ghost - Opus Eponymous (https://youtu.be/IgADAz46dNM)
No hay comentarios:
Publicar un comentario