Especial Ekoparty 2017: pasillos, salas, auditorios y otros rincones.

Una conferencia de seguridad informática que tiene más que presentadores, patrocinadores y público, es un ekosistema.

El resumen de presentaciones y paneles ya pasó. Ahora viene algo que no es el backstage. Es el stage, porque todos son estrellas. Cada uno de los asistentes representa muy, muy seriamente el papel del consecuente investigador. A su manera, todos los son. Hasta el estudiante curioso, ávido de codearse con las estrellas oscuras del pentesting y los magos del coding. Porque ojo, que acá hay una enorme cantidad de brillantes programadores/as y un sólido centenar de muchachos y chicas que con un teclado en las manos son realmente temibles.

Este es el relato de mi experiencia paseando por algunos pasillos oscuros (menos que los de la Ópera), barras ruidosas de bar y salas atestadas de silenciosos hackers, los verdaderos hackers, dándole al teclado de la notebook detrás una flag difícil de capturar. O pegándole a un enemigo sonriente.

Si, lo primero que me encontré fue a las y los de Sysarmy. Y a Ramón, claro.

El muñeco de Sysarmy
Copiando lo que decía un tuit, si tuviste un mal día, una mala semana o un mal año y no soportás más, descargá tu ira con el muñeco de Sysarmy.

Para los nuevos en la Eko, Ramón es… (o puede ser) un jefe insoportable, un usuario irrespetuoso del otro lado del teléfono (que no sabe quién es el BOFH) en fin, lo que haga falta. Y Sysarmy es, según propia definición, “el soporte oficial de los que dan soporte”. Si visitan su website o su féisbuc se enterarán de muchas cosas más, de las que les importan a ellos, que es lo importante, caramba.

Al ladito estaba la gente de Hamping. Traducción: hack + campamento y no pienso corregirlos.

El taller de antenas de Hamping es un éxito en cada Eko.

En este caso las instrucciones (y la práctica) eran para armar antenas omnidireccionales para WiFi, y si no sabías usar el soldador, te explicaban. Además de eso podías aprender a hacer una hornalla portátil y otros útiles para campamento a partir de latas en desuso, y con herramientas mínimas: un taladro chico, destornillador, pinza. Éxito de público,

Al fondo de este espacio, que en el nombre oficial en la credencial era la Antesala, estaba la gente del Capture The Flag local.

 

Capture The Flag (foto (c) NULL Life CTF Team)

 

Sí, el local, porque entre el 12 y el 19 de septiembre se había realizado la competencia internacional, donde se inscribieron 184 equipos y resultaron ganadores los polacos de CodiSec, segundo TokyoWesterns de Japón y tercero 217, el equipo de la National Taiwan University. En el que se realizó en Buenos Aires ganaron los mayoritariamente peruanos de amn3s1a, seguidos de cerca por dos equipos argentinos: SYPER y kaktheplanet. En los dos CTF la organización estuvo a cargo de los integrantes de NULL Life, equipo que en la web que totaliza los principales Capture The Flag del mundo, CTF TIME, se presenta como “equipo latinoamericano con miembros de Argentina, Chile, Colombia y Perú”. El colombiano Daniel Correa (a.k.a. hds) me explicó pacientemente, en medio del ruido del bar de planta baja, que se dedica desde hace 9 años a preparar desafíos para competencias de este tipo, y lo hizo en éste y los CTF de 2015 y 2016 de la Eko, luego de que su equipo ganara el de 2014. Logré convencer a los NULL Life que colaboraron en Buenos Aires para que posaran juntos.

El del extremo izquierdo es Daniel Correa, y se ve ahí (no están en orden) a Marcelo Echeverría (emyei); Fataku (a.k.a Andrés Morales Z.); Fernando Muñoz, bef0rd; Henry Sánchez, g05u; Juan Escobar; Pablo Pollanco y Carlos Penagos (elvenking).

Luego de pasar por la sala grande de planta baja, donde estaba la gente de muchos de los docena y pico de sponsors, me entretuve con una delirante carrera de obstáculos en dron (muy buena idea de Faraday) y repasé la impresionante lista de talleres y charlas técnicas: Hack and Fun with Radio Frequency, Bug Bounty Hunting Methodology v2 de la cual encontré las slides, además del merecidamente reconocido Jaime Restrepo (DrangonJar) sacándole el jugo a BurpSuite; Hardening y Defensa en Gnu/Linux, más análisis de Android, pentesting OWASP Top 10 2017, o el conocido RFID Zapper del cual hay un circuito e imágenes CAD del equipo y la plaqueta, que puntualmente envido32 subió a GitHub y la gente prolija sabrá encontrar, el link acá no te lo pongo…

Entre las miniconferencias, los Ekolabs, estaban las de Micaela Ranea Sánchez y Matías Lang sobre Faraday, Etienne Stalmans explicando el tema de Ruler después de su presentación en la sala principal, o el Buanzo, Arturo Busleiman, mostrando cómo usar WebLorean para abusar del pasado. Según me comentó, “esta es una herramienta que permite ampliar la etapa de ‘information gathering’ o ‘reconocimiento’ hacia versiones pasadas de un sitio web, si es que se dan ciertas condiciones. La versión 2, re-escrita para presentar en ekoparty, es sencilla de instalar en Ubuntu 16.04 y similares. Hay que corregirle algunos bugs y agregarle algunos features, ¡bienvenidos colaboradores!” Si les picó la curiosidad, hay más detalles en el Readme.

Al fondo de la planta baja pude reunirme (¡otra vez, qué paciencia tiene!) con Jero Basaldúa. Estaba más contento que pentester con dos exploits (versión localizada de “más contento que perro con dos colas”), y muy cansado. Era viernes por la tarde. Además de los dos días de los trainings y los tres días de la Eko, repasamos las 24 conferencias principales, las actividades como el lockpicking de tres días, el museo de la informática (ah, las portátiles de 15 kilos…) o el wardriving organizado por Infobyte, con salidas en dos días, el primero recorriendo Av. Las Heras, Plaza Italia y Av. del Libertador, y el segundo visitando la zona del nuevo centro de exposiciones donde encontraron las máquinas de votar, todo eso con previo workshop en el Konex. Pasamos revista (superbreve) a las más las 26 actividades entre talleres y Ekolabs. Todo eso, disfrutado por unas 2500 personas entre los cuales hubo unos 300 extranjeros.

Coincidimos en que hubo mayor cantidad de mujeres entre los especialistas que hicieron presentaciones, y entre el público, tendencia que se va afirmando a lo largo de los años. Comentó la repercusión internacional que tuvo la presentación en la Eko de la charla sobre fallas de actualización en Mac de Rich Smith y Pepijn Bruienne, y me acompañó a conocer Ekodating.

Es una experiencia de headhunting estructurada, pero realizada de manera muy decontracté, aunque parezca un oxímoron. En una sala grande y en un ambiente más calmo que el de los activos pasillos de la Eko, nueve o diez de las empresas sponsor de la Eko habían ubicado cada una a un representante, todos en una larga mesa que daba vueltas a la habitación. En algún caso eran dos entrevistadores. En la entrada de la sala había un grupo de público en democrática fila que elegía a qué representante acercarse, bajo el imperio del first-come-first-served. La entrevista de evaluación laboral (pues nada menos que de eso se trataba) comenzaba con un simple “sentate, ¿cómo te llamás?”. Después de lo cual el visitante comenzaba a aflojarse, a explicar qué sabía hacer… todo en calma, muy lejos de la dura entrevista usual en RR HH. Esta singular experiencia se hizo durante dos horas cada día, justo antes del almuerzo el jueves, justo después del almuerzo el viernes. Un par de entrevistados a los que consulté más tarde estaban muy, muy contentos, se habían sentido bien tratados, todavía tenían susto, pero definitivamente la experiencia les había sido útil… y tenían la esperanza de que el famoso “yo te llamo” esta vez sería diferente. Uno de ellos había estado hablando con el representante de una de las empresas más importantes del continente en lo que a seguridad informática se refiere; el otro, con una ejecutiva de una compañía de las más grandes de Europa en el ramo; y todavía no lo terminaban de creer. Quedé con Jero en que dejaría pasar un tiempo, y lo llamaría para ver si tenía algunas opiniones desde el punto de vista del entrevistador, que podamos contar acá.

Agradecí a Basaldúa la paciencia, salí al corredor y me encontré un informático tocando la viola, que sonaba bastante bien, lo esquivé y tropecé con un emulador de juegos pre-PC, mientras en la mesa del costado un grupo entusiasmado desgranaba código como si fuera la última vez.

Por fin salí al patio. Faltaba poco para que Fede Kirschbaum repartiera premios y galardones en la reunión de cierre. Es otro infatigable, el que rema las presentaciones y de vez en cuanto ofrece en el escenario un trago al conferencista que se lo ganó. Pero no era el momento aún. Afuera y bajo la gran escalera un grupo reclamaba las figus para rellenar el álbum. No entendí nada, hasta que me alcanzaron uno y un puñado de figuritas, que son fotos más o menos modificadas de ejemplares destacados de la fauna hacker, locales en mayoría y algunos extranjeros. De los cuales se necesitan 29 diferentes para completar el álbum. Hay descripciones con ayuda, con cargada, con elogio o con acertijo.

Y sí, hay figuritas difíciles. No pude llenarlo.

Guardé el álbum en la mochila, y me fui hacia la salida (ya era hora). Rumiando que, para ser la número trece, todos los que vinieron tuvieron mucha suerte. Fueron días de curso intensivo. Y acá la mayoría de los abrazos son sinceros, la crítica es feroz pero te enseña siempre, y no importa que GiBa te diga que no le caes bien. Es una comunidad sólida, capaz, ávida. Long live, ekosistema.

Rubén Borlenghi, el Microsaurio

Docente y periodista. Investiga ataques informáticos desde que un virus le comió una nota hace 25 años. Los verdaderos hackers le cuentan cosas.

Ver todas las entradas de Rubén Borlenghi, el Microsaurio →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.