ekoparty-logo(Por Rubén Borlenghi, El Microsaurio) Exploit writers, fallas de la boleta de voto electrónico, duplicación de huellas digitales, talleres de Kali Linux, ataque al kernel en Windows 10, cómo salir del sandbox en Internet Explorer 11. De todo y para todos los gustos.

Tres días intensos; basta con leer la lista de oradores. Para sortear semejante lluvia de material, pedí ayuda otra vez a Jero Basaldúa y a Fede Kirschbaum. Y a varios de las/los muuuy eficientes colaboradora/os que me dieron datos, además de correr de arriba abajo con Leonardo Pigñer, organizador/fundador de la Eko junto a Francisco Amato o al +GiBA Borgna (lejano el hombre, pero recordado y extrañado y nombrado)

Consultando, preguntando y molestando, supe que las conferencias que generaron más ruido fueron las de Nico Economou/Diego Juarez sobre la explotación de ring0… demostrándolo en Windows 10, y las variadas actividades de Car Hacking. Lo de Economou tuvo un extra, ya que para mientras lo agasajaban por cumplir diez años presentando material en una Eko fue sorpresivamente atacado por dos feroces personajes (disfrazados…) salidos de Game Of Thrones y de Batman.

Si salimos de las anécdotas y vamos a los billetes, noté más sponsors. Tanto del lado “seguridad defensiva/ofensiva” como entre empresas de gente trajeada. A medida que pasan los años, “están empezando a entender a la Eko” (dijo Basaldúa) y les quedó claro que no se pueden subir al escenario a proclamar las bondades de su producto; a cambio aprovechan la especificidad de la audiencia para un cuidadoso head hunting, medianamente disfrazado de concurso para probar habilidades ganándose un regalo. Y no se me escapó la atención con que algunos directivos preguntaban por el resultado del Capture The Flag, y si estaban presentes los ganadores…

También hubo cambios en la asistencia de especialistas del exterior. Prolijo como de costumbre, Jero me acercó estos datos: sobre unos 2500 inscriptos, hubo más del 10% de extranjeros; vinieron más de cincuenta desde Chile, unos cuarenta de Uruguay y cantidad similar de Estados Unidos, treinta y cuatro brasileños, unos veinte peruanos, nueve mexicanos y nueve franceses, cinco de Colombia e ídem de Bolivia, y cuatro alemanes.

También hubo un giro en los talleres y actividades no “académicas”. Ya veremos eso en detalle más adelante.

Entre tantas presentaciones técnicas, todas con nivel de muy bueno para arriba, dos momentos generaron silencios, comentarios en voz alta y aplausos: el panel sobre exploit writing, el miércoles, y cuando se retomó el tema Voto Electrónico, el viernes.

El primer día arrancó con el tradicional saludo de Fede Kirskbaum, que cuando indicó que a continuación habría un panel, reflexionó sobre la cantidad de expertos en seguridad informática que había presentes, sobre el escenario o en la platea. Y que seguramente todos lo habían notado, pero no el Gobierno Nacional, a quienes se les había pedido una máquina de voto electrónico para analizarla, y no habían contestado. Una pena, dada la cantidad de expertos que podrían haberla estudiado en estos días. Fede también reflexionó sobre la implantación de la informatización del voto, ya que “el gobierno lo está haciendo ciegamente y de manera apresurada… y aquí somos especialistas”.

Aplausos y gruñidos aprobatorios de la audiencia. Detrás de Fede ya estaban sentados los del panel. Allí vi, entre otros, a Thomas Lin (de COSEINC, la empresa de seguridad informática de Singapore); Gera Richarte (estuvo en Core Security, en Satellogic, sigue aterrorizando programadores con desafíos magistrales); Alfredo Ortega (Avast Mobile Enterprise, ex Core Security); Alfonso de Gregorio (Zeronomicon – Italia – compran exploits); Miguel Yusim (CTO de Blue Frost Security – Alemania); Laurene Grenier, (defiende de exploits en USA, escribe exploits, se queja porque no le preguntan cómo se hacen exploits) y Hamid Kashfi (ex empleado del gobierno iraní, luego profesor en una universidad sueca, consultor en Immunity-USA). Ayudó moderando, hizo preguntas y agregó muchos comentarios Nico Waisman, actual vicepresidente para Latam de Immunity. Y también hizo alguna pregunta el Fede Kirschbaum.

Como tema de apertura salió “¿es este el año en que los exploits morirán?”

Sonrisas sardónicas, explicaciones serias. “Aparecerán nuevos desafíos, el software es inseguro, están los navegadores, Windows… nunca será el último año”. Aseguraron que, como concepto, los exploits están aquí para quedarse; la escritura de exploits se hace cada vez más difícil, “aunque para la industria del antivirus, los exploits no existen” (sonrisas en el panel). Algunas veces un panelista interrumpía a otro, pero pude escuchar algo como “los exploits ahora son armas políticas… hay un mercado ahí afuera, pero es más complicado venderlos…” Entendí mal, ¿o entre ellos había un directivo de una empresa que compra exploits?

Ante otra pregunta del público “¿cómo hay que entrenarse para escribirlos?” hubo varias respuestas: que es lo mismo que cuando enseñas matemáticas, que la capacidad de escribirlos hay gente que la tiene o que no la tiene, que hay una gran especialización, que al que tiene la capacidad y es principiante conviene ponerlo en un equipo con gente experimentada para que lo guíe.

Al aparecer eso del trabajo en equipo, preguntaron cómo se hace en las empresas que desarrollan los exploits. El de Singapur opinó que no hay nada irrompible, que es trabajo en grupo, y el iraní agregó que, para los temas más complejos, que llevan más personal, puede haber financiamiento asumido por un gobierno. Incluso explicó los pasos: se obtiene o se diseña un exploit, se lo procesa, se hace una transferencia de contenidos, se envía gente a entrenarse, sale el exploit mejorado; se trata de gente dispuesta a gastar.

El que compra exploits trajo el tema “monetization” (Ah, aparece el sucio dinero…) También se habló de los Bounty Programs de las empresas de software, se regresó a la política internacional y a los gobiernos que financian exploits y Jero quedó diciendo “politics, politics”, mientras varios comentaban que se amplía día a día la base de aparatos con software (o firmware) explotable, y Laurene Grenier preguntaba “¿cuándo van a dejar de ponerle compus a las cosas?

Como verán, excelente forma de empezar una conferencia de seguridad informática. Ya llegará el resto. Stay tuned.

Panel sobre Exploits, donde hay exploit writers y un comprador/vendedor de exploits, más los moderadores Nico Waisman y Fede Kirschbaum
Panel sobre Exploits, donde hay exploit writers y un comprador/vendedor de exploits, más los moderadores Nico Waisman y Fede Kirschbaum

Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291

Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.