15 mayo 2013

Mi experiencia personal en Conectacon 2013 #conectacon




Sucedió hace unos meses, cuando recibo un whatsapp, el método de comunicación universal desde hace unos años hasta ahora, del gran Pepelux. Me comentaba que si me apetecía participar como ponente en la próxima edición de la Conectacon, que se realizaría en Jaen, el 9 y 10 de Mayo. Entre que no sé decir que no, y que la crónica que nos mandó de la primera edición tenía una pinta envidiable, acepté encantado la propuesta. Según fueron pasando el tiempo y me fueron poniendo al día del resto del cartel, sabía que me lo pasaría genial junto a un montón de amigos, esta vez de España.

Mi compañero de viaje en tren a Jaen, fue el genial y dicharachero Juan Garrido "Silverhack" con quien llegamos, entre risas, a la estación. A los pocos minutos, apareció en la estación el comité de bienvenida, formado por los organizadores Antonio CruzRaimundo Alcázar, "el presi y el vice", para recogernos. Desde este minuto (e incluso en días previos) hasta el día de hoy, la hospitalidad y el trato por su parte ha sido inmejorable. En todo momento, estuvieron pendientes de los ponentes, ofreciendo lo que fuese necesario para asegurar nuestra comodidad.

Después de dejar el equipaje en el hotel nos llevaron a una cena de bienvenida en la que no faltó la cerveza y la comida en abundancia, siempre precedida de unos cuantos platos de olivas de la zona. Dejando a un lado discusiones puntuales con algún "elemento", el ambiente de la cena fue espléndido, dando lugar a multitud de "situaciones inexpugnables en el camino del guerrero con herramientas low cost" (internal joke) que perdurarán en la cabeza de los asistentes durante, espero, muchos años.




Jueves 9 de Mayo, comienza la Conectacon!

Tras una breve charla de inauguración por parte del Vicerrector de TIC de la Universidad de Jaen y Antonio Cruz (como presidente de la Asociación EnRed 2.0) tuve el honor de ser el primer ponente. En este caso, el tema de la charla fue "Análisis forense de IOS con herramientas Low Cost", en el que hablé de diferentes herramientas, tanto comerciales como libres para analizar y presentar los datos que se pueden extraer de un dispositivo con IOS (ya sabéis, el sistema operativo de los iCacharros), así como liberar una herramienta que, próximamente, pondré a disposición del público lector de Security By Default. 



La siguiente de las charlas fue a cuenta de los geniales Pepelux y Juan Garrido, que nos contaron de una forma bastante amena, y muy alarmante por cierto, las interioridades de la red Tor, las aberraciones que esconde la Deep Web y un montón de estadísticas extraídas en base a los resultados devueltos por herramientas desarrolladas por ellos mismos, con fines académicos e investigativos, para llevar a cabo clasificaciones respecto a los tipos de páginas encontradas. Ambos investigadores trabajan con total transparencia ante los cuerpos y fuerzas de seguridad del estado, cediendo incluso el fruto de su trabajo al Grupo de Delitos Telemáticos de la Guardia Civil, a fin de ayudar, en la medida de lo posible, contra algunas de las ilegalidades que se puedan encontrar en la Deep Web.




La siguiente charla, venía de la mano de uno de los profesionales más encantadores, carismáticos y apreciados por mí, de todo el panorama español de este sector: el bilbaino afincado en Asturias, Dabo. Atención al título de su presentación: "Seguridad y optimización, el camino del guerrero hacia la paz interior del GLAMP". Esta ponencia, tenía la peculiaridad de ser una demo continua, y el ponente habitual de los "podcasts con voz de locutor", explicó en vivo, con conexión directa a servidores en la nube diferentes herramientas para optimizar la ejecución y proteger la integridad de los datos alojados en servidores LAMP. Sin duda, la charla fue todo un éxito, puesto que la profesionalidad de Dabo en su día a día en Apachectl, así como su amplia experiencia, son garantes de ello. 



Lamentablemente, no pude quedarme a verla completa puesto que Raimundo Alcázar "el vice", me llevó corriendo a los estudios de radio de Canalsur Jaen, en los que nos esperaba una locutora de un programa local, que quiso concienciar sobre seguridad a sus oyentes, con Raimundo y conmigo. Podéis escuchar el corte del fragmento de la radio a partir del minuto 12 en Hora Sur Jaen de Canal Sur Radio




Según llegamos de vuelta, ya se encontraba en el escenario Jose Selvi, autor del blog de seguridad Pentester.es hablando de "Offensive Man-in-the-middle". Este gran profesional mostró de una forma muy comprensible para todos los públicos, las posibilidades de ataques que se pueden llevar a cabo en situaciones Man-in-the-middle. Habló de herramientas tan potentes como the middler, por supuesto el conocido y utilizado framework Metasploit, en el que Jose implementa habitualmente sus propios scripts.




Por la tarde, se llevaron a cabo dos sesiones de dos talleres diferentes: "Análisis Forense en entornos Windows" por parte de Juan Garrido; y "Hacking web" por Pepelux, Dani Kachakil y Roman Medina, que fueron muy bien valorados según la crítica de los asistentes.




Cabe destacar el gran despliegue de repercusión mediática conseguida por Raimundo Alcázar, que dejó claro que a un movimiento de un dedo, Jaen se vuelca con él.



Mientras transcurrían los talleres, una unidad móvil Canalsur Televisión, se acercó a la Universidad de Jaen, y realizó una entrevista al propio Raimundo y a Jose Selvi, en la que explican los peligros de privacidad que esconden los dispositivos móviles. Bajo estas líneas podréis ver el corte del programa que ha hecho público la organización de Conectacon. Por cierto, que encontraréis a algún actor extra que os resultará conocido :D



Una vez terminada esta jornada, nos llevaron al hotel, y tras una merecida ducha, la organización nos obsequió con una opípara cena junto a los patrocinadores del evento. 


Viernes 10 de Mayo: Día 2

El encargado de dar comienzo a la segunda jornada fue Daniel Medianero. Arrancó con pequeñas modificaciones con el título inicial de su charla "Desarrollo Inseguro en Android". Por aquello de adaptarlo a la terminología utilizada en el evento, lo sustituyó por "De cómo tu aplicación Android no es tan inexpugnable como creías y cómo puedes descubrirlo siguiendo el camino del guerrero utilizando herramientas low cost"… (sí, como bien podéis imaginar, lectores, hubo momentos repetitivos de cachondeo entre nosotros con esto de las herramientas low cost, la inexpugnabilidad y el camino del guerrero… a lo largo de los dos días de jornadas). Dani nos contó, e incluso demostró, cómo utilizando aplicaciones de Android existentes, que disponen de permisos "de más", otras programadas con malas intenciones, se pueden aprovechar de dichos permisos extra de las anteriores, para fines no previstos inicialmente.



El siguiente ponente fue Alejandro Nolla que habló sobre diferentes vulnerabilidades existentes en diferentes servicios CDN, y cómo mediante su explotación, resulta posible, en algunos casos, atacar de forma directa a los clientes que dicen proteger. Esta charla tuvo un componente importante de arquitectura de redes, que es un tema que personalmente me motiva bastante, por lo que puedo decir que me resultó especialmente interesante.



Como cierre de fiesta, Dani Kachakil, uno de los integrantes de la representación española en CTFs a nivel mundial, del grupo "Int3pids", dejó con la boca abierta a todos los que asistimos a su charla, en la que detalló la resolución de 16 pruebas de criptografía que había recopilado de diferentes lugares, y que por supuesto, había resuelto. Estoy seguro que todos los asistentes nos quedamos con la sensación de decir: menudo crack es este tío!!! Si bien es cierto que muchas de las pruebas son "solucionables" con herramientas existentes (no sé si serán low cost o no ;D), hay otras en las que predomina la idea feliz por encima de todo y quedas en estado de shock analizando los procedimientos explicados por Dani. 

Por lo demás, ha sido un placer compartir un par de días con el resto de los ponentes y amigos, aprender de las charlas y disfrutar de la increible hospitalidad de Raimundo Alcázar y Antonio de la Cruz. Felicitar a Juan Cobo y Pedro Barrio, también de la organización del evento, por el apoyo mostrado y el trato brindado, que han hecho de este evento, unos días inolvidables.



Una lástima que la única nota discordante del evento, el único lunar, haya venido dado precisamente por otro miembro de la organización, que parece no aprender de errores pasados, no siendo capaz de dejar de lado sus fobias personales, intentando predisponer al mal rollo a una gran comunidad de personas. 

Quiero agradecer también a Goldrak por acercarnos a Juanito y a mí, en el inexpugnable camino de los guerreros hacia el aeropuerto de Granada, desde donde enfilamos el rumbo hacia lo que sería nuestro siguiente destino, Reus… Pero esto, es otra historia.

2 comments :

Diego dijo...

Lorenzo, ¿las diapositivas de tu charla están disponibles en algún sitio para descargarlas? Si las puedes compartir te lo agradeceré infinitamente.

Dabo dijo...

Qué bueno !! a ver esa camiseta de Securízame ;D. Has estado muy rápido con la crónica, a ver si hago mi post con las herramientas que usé. Muchas gracias por la mención, ha sidp toda una experiencia y un abrazo a toda la gente de la ConectaCon !