viernes, 31 de octubre de 2014

Ekoparty 2014 dia 3 y otras reflexiones

Cumpliendo con los olvidos de ayer o anteayer

En la charla de jamming, el expositor era brasileño y mostraba periódicamente los AP activos mientras prendía y apagaba los jammers. En una oportunidad, algún vivillo creo un AP "Brasil 1 - Alemania 7". Muy bueno.

Quizás no era un muchacho el barbudo de BAL y más de nuestra edad, pero me olvidé de preguntarle. Sí recordé la frase que comenzó nuestra conversación, cuando esquivó el objetivo de una cámara "máquina hombre blanco roba alma", que pasará a ser uno de mis lemas, acompañando a la hace rato instalada práctica.

Dia tres

Nos anotamos al lockpicking pero era tarde. Entramos y conseguimos el record... de activar la alarma antes de 15 segundos, unos losers totales. Mientras, el equipo de nuestros amigos bolivianos y el mexicano, BolMex, se llevó la victoria olgada frente a los otros quince o veinte equipos. Por suerte nos enteramos tarde de que los equipos podían ser de más de tres, que es lo que habíamos entendido, sino nos hubieramos juntado con BolMex y los hubiésemos hecho perder. Uno de ellos se llama Elvin o Elbin y al decírnoslo inmediatamente lo acompaño de un chiste que no puedo reproducir para no aparecer en alguna lista de una famosa institución de seguridad foránea. Luego se me ocurrió que podía ser Elvin y les Erdilles.

El juego del ul salió bien, aunque quizás los asistentes, alumnos de quinto y sexto y algunos adultos que forcé a participar se deben haber quedado con la sensación de que era una gansada, lo que no es del todo incorrecto. Con un pizarrón para desarrollar los temas disparados hubiese sido más comprensible. Espero que en algún momento el docente me recolecte algún feedback.

En la exposición de privacidad de Luciano Martins me llamó poderosamente la atención su desencanto pues antes de Manning/Snowden pensaba algo y luego pasó a pensar otra cosa. ¡Qué cándido! No sé si será una visión extendida la de él, pero para mí y había pensado que para todos, las revelaciónes sólo dieron detalles sobre algo que era absolutamente claro, sin restarles mérito a su valor personal.

Muy divertida la exposición de rfid de otro brasileño, que anticipándose a cualquier chiste tenía en su presentación un slide que decía algo como "los programas para leer mifare son tales y Alemania masacró a Brasil 7 a 1" y en medio de las risas y aplausos encajó un "ustedes tambien perdieron". Muy bueno.

Hubo una de string comparison timing attack que me viene al dedillo para corregir unas pruebas parcialmente exitosas de hace un par de años, que honestamente es difícil que aproveche.



El cierre no tuvo la espectacularidad de las veces que yo he ido, pero por mi está ok, era como un vicio, placentero e innecesario.

Me llamó la atención que los expositores no usaran zoomit. Lo bueno es que en algún momento del operador de video hizo algo equivalente. Yo estuve sentado adelante de todo y las tablas de datos y similares casi no se podían interpretar.

Estuve conversando con un seguridad-agile que tiene gente para exponer sobre uno algoritmo de cifrado liviano, a ver si se mueve un poquito y hacemos un agileopen o una charla al menos.


En los momentos muertos, elaboré la idea para dos juegos nuevos, pero son con máquinas. Si alguien ofrece un lugar...

...y otras reflexiones


Estas son reflexiones muy personales y las comparto por si son útiles para alguien y para sacármelas de la mente.

En general, sigue sin gustarme el que haya una sección VIP ni me gusta la onda  rockstar, entiendo la aversión que genera en alguna gente esta conferencia.

Entiendo perfectamente el motivo, está la venta de seguridad de por medio, hay sponsor a quienes rendir cuentas. El problema es que eso tiñe todo, así que un error como el mio del año pasado de emitir una opinión sin consultar antes, que en perspectiva no fue tan terrible y la verdad es que hubiese emitido de todos modos aunque el grupo no estuviera de acuerdo, apesta en un ámbito "de negocio". Y el "negocio" no admite críticas y busca salvar las apariencias.

Tambien está el problema de que se mezcle el trabajo con el voluntariado. Alguien que es voluntario no está sujeto a la misma disciplina que quien está trabajando y cualquier conflicto que surja puede poner en riesgo la continuidad laboral de quien esté trabajando, independientemente de quien "tenga razón" en ese conflicto. En realidad, quien está trabajando se ve perjudicado en un conflicto tanto si ha metido la pata como si no y no ha podido evitar el conflicto.

Estos problemas no se manifiestan de modo tan pronunciado, por no decir que no se manifiestan, en eventos como Agiles20xx, que agrupan a varios centenares de asistentes desde hace siete años, en varias ciudades de Latinoamérica (BsAs, Florianópolis, Córdoba, Medellín, Lima y el año que viene en Montevideo), que duran tres días, con una entrada de precio al menos este año bastante mayor a la eko. Son eventos mucho más simétricos, en el sentido que se desdibujan los roles organizadores/disertantes/público. Tienen una carga organizativa inmensamente inferior tanto en términos absolutos como en proporción a la cantidad de asistentes y como no hay una presión "corporativa" por que salga bien, salen bien con relativamente poco stress.

Tambien tienen una parte Open Space, de modo que no hace falta pasar por el filtro de un comité un montón de propuestas, que simplemente se hacen dependiendo del interés que provoquen en ese momento. Incluso está en discusión eliminar el comité y usar completamente el formato Open Space, me parece que Agiles 2015 Montevideo será así, tambien conocido como KAOS 2015 (Keynote less Agile Open Space).

Me preocupa que la ekoparty pueda colapsar por el peso de su propio éxito, que le impide cambiar y la hace cada vez más cara, no tanto para los asistentes sino para los organizadores. Igual estas son reflexiones desde afuera, no he participado de la organización, no he podido acercar a la gente que asiste a la eko a los recursos del agilismo ni he podido acercar a los agiles a la eko. La gente de seguridad como que es reacia a compartir con desconocidos a diferencia de los agilistas.

Las reflexiones han sido escritas bajo la influencia de un profundo sueño, así que pueden haber partes un tanto inconsistentes. Además, es la conversación imaginaria que tengo con algunos del nucleo de la Eko, como cuando uno habla con alguien famoso que no conoce... ¿qué? ¿sólo a mi me pasa?





jueves, 30 de octubre de 2014

Ekoparty 2014 dia 2

Antes que nada, algo que ayer me había olvidado.

Gera mostró ayer un gráfico con una cantidad enorme de redes sociales y aplicaciones que no usaba para mantener su privacidad. Eso está ok, pero me parece que tiene un error de perspectiva. Una cosa es ser "Gera", en cuyo caso no hace falta estar en ninguna red social. Otra es ser cualquiera de nosotros, perejiles normales, que profesionalmente estamos obligados a estar en sitios como linkedin o por motivos económicos o familiares usar whatsapp o bobófonos (dumbphones para la gente cool). Una vez hice un trabajo para un señor que la tenía tan larga, que no tenía celular ni leía sus mails, los delegaba a una secretaria. El trabajo fué conectarle una laptop al modem de un teléfono satelital para poder ver sus mails mientras se iba de safari a África.

El poder realmente estar fuera de las reglas del sistema requiere estar en una buena posición dentro en ese mismo sistema o ser un aborigen de la selva amazónica sin contacto con ninguna civilización. Me gustó mucho lo segundo que no esperaba Iván ayer en el panel: que quienes antes estaban contra el sistema ahora formaran parte de él.



Dia dos


El cumplimiento horario de la agenda de hoy estuvo casi cumplido, muy bien.

Las charlas me resultaron "normales", como siempre algo se aprende, pero nada del otro mundo. Como que las que mayor información o conocimiento me aportaron fueron las menos divertidas o amenas y viceversa. Tambien es verdad que a medida que uno va conociendo más se impresiona menos. Un ex compañero de facultad me había pedido asesoramiento para adentrarse en estos temas y sin dudarlo le recomendé mi blog (jaja) y que asistiera a la eko, que es como un patadón que te impulsa y posiciona que poder seguir luego solo y he visto con satisfacción que ha venido.

El español tan divertido en esta ocasión mostró buenas técnicas paranoicas para ataques de ingeniería social.

El que la otra vez nos mató de aburrimiento decapando integrados con peligrosos ácidos y usando microscopios de barrido electrónico, totalmente accesibles para todos, en esta ocasión nos remató convocando a newbies a implementar técnicas de punteros tramposos para evitar spraying en browsers y nos regó a borbotones con su odio contra quienes hacen exploits. Igual muy instructivo, en ambas ocasiones.

Cesar Cerrudo nos deleitó con los sistemas de control de tráfico, al igual que un mexicano con Software Defined Radio. Yo tengo alguna idea de SDR y pude extraer mucho conocimiento, pero dudo que alguien que no sabía nada pueda haberlo hecho.

El desafío de la habitación del lockpánico me atrae pero he logrado mantenerme alejado, me asusta mucho la idea de entrar y no conseguir ni un punto, de todo modos me llevo el equipo para mañana. Lamentablemente no tengo punteros laser con pilas y no pienso canibalizar mi cajita.


Me he encontrado con un docente de una escuela secundaria técnica con quien hemos compartido una capacitación. Él experimentó el juego ul con sus alumnos con todo éxito. Lamenté no haberme enterado antes, para invitarlo a Agiles Argentina 2014 donde mostré el otro juego, el de los piolines, hasta que caí en cuenta que podia mostrárselo mañana, al mediodía a la vera del río.







miércoles, 29 de octubre de 2014

Ekoparty 2014 dias 0 y 1

Me da un poco de miedo opinar, pues hay gente que no esta acostumbrada a recibir crítica constructiva pública y a veces soy medio bruto y desconsiderado, pero bueno, es lo que soy, tratando de asimilar la crítica destructiva provocada por la crítica constructiva de aspecto agresivo.

El respeto a los horarios de la agenda viene mucho mejor que en otras ocasiones, creo que sólo media hora de atraso.

Con respecto a la ubicación es tan deprimente como ir a Ciudad Universitaria, pero siendo sólo tres dias, se soporta.

El lugar, pese a la lluvia, está muy bueno. El que hayan puesto el canasto con los paraguas para poder circular es una muestra de que dios está en los detalles, no sé a quien felicitar.

Había un stand con "punch the boss", un maniquí con un kinetic en el pecho al que se le podía dar una piña. Tuve que darle un beso para pedirle perdón pues en l primer golpe aparte de hacer sólo cerca de 300 puntos, medio que le pegué de costado y me caí encima, pobre nerd. Por suerte me dejaron un segundo intento y pude llegar a más de 900. Inmediatamente un muchacho le pegó en la primera con 1050 y el que vino a continuación le arrancó la cabeza, pero sólo hizo 300, era un mantequita, jaja. Así que con mi amigo nos fuimos a romper otros stands.

En otro stand había arduinos con muchos accesorios, me asesoraron con respecto a ponerle un micrófono para obtener un dato arbitrario para arrancar un seed(), pero es tema de otra entrada.

En otro, supongo que el de Buenos Aires Libre, había un muchacho que debía ser mucho más joven de lo que aparentaba con su tupida barba y la radio de onda corta con válvulas a la vista que estaba manipulando. Me tiró unas pistas para comenzar con SDR y clonación de controles para alarmas de autos, es que lo segundo que más aborrezco despues de la gente que vocifera por celular en los colectivos son las alarmas nocturnas.

En el stand de Infobyte hay una habitación que parece ser la encarnación de la idea original del año pasado, un cuarto de lockpicking en lugar de una caja. Por supuesto hay completa hermeticidad así que no puede averiguar nada. Ya me ocurrió en alguna eko que el lockpicking fué mi perdición y no asistí a la mitad de las charlas por estar jugando con las cerraduras, no quiero acercarme... no...no!!!


Me encontré con un ex-compañero de trabajo que se ha huevonizado y es un testigo imparcial. Me comentó que fue a defcon y que es el triple. Le pregunté si de cantidad o calidad y me dijo que de cantidad, que la calidad de la eko es comparable.

Cuando digo "imparcial" es que no le importa comparar, no tiene intereses ni a favor ni en contra de una u otra conferencia. Bien.

Me hubiese gustado que igual que el año pasado avisaran a quienes habíamos hecho propuestas de actividades que ya se habían elegido aun no habiendo sido elegidos. Más me hubiese gustado que aceptaran nuestra propuesta (una mini caja Capture the Datacenter sin lockpicking), pero es sólo una expresión de deseo, no un reclamo como es lo primero que igual es un reclamo pequeño.

El panel de  apertura estaba compuesto por históricos hackers locales (de los cuales yo no conozco a nadie, apenas a Iván Arce gracias a que había aceptado mi convocatoria para explicar Heartbleed en Flisol 2014, es que nunca estuve en la escena local, ni en ninguna otra). Fue muy interesante oir sus experiencias. Casualmente hace pocos meses había leido "Exploding the Phone: The Untold Story of the Teenagers and Outlaws Who Hacked Ma Bell"[1] en el cual cuentan como unos pendejos, algunos de ellos ciegos, con la voz (tanto tonos como ingeniería social), silbatos y electrónica rudimentaria controlaban las centrales telefónicas en USA en los '60, recurso que parece que acá tambien se usó en los '90, antes de la digitalización. En ambos casos hay una mezcla de curiosidad y lucro. Uno de los expositores mencionó lo de los ratios en los BBSs, que no se regalaban nada. Otro que en las reuniones presenciales se sospechaba de espionaje por parte de organismos policiales y que se habían descubierto a un par. Tambien, que así como acá algunos crackeaban programas, varios de los locales en la actualidad son personas de renombre y fortuna, tal como allá algunos Steves (Jobs y Wozniak) que fabricaban y vendían las Boxes, que era la electrónica [no tan] rudimentaria. Espero que no tengamos que esperar cincuenta años para enterarnos. Tengo la idea de que hay un libro desde hace unos años... no, me estoy confundiendo con la historia del movimiento de improvisación teatral, lo lamento.

Supongo que antes de hablar se habrán asesorado legalmente y todo debe haber prescripto o no haber estado legislado. No creo estar divulgando nada privado pues han dicho que el video del panel estará online, vale la pena verlo y quizás poner pausa en algunas partes. Igual, fueron muy reservados.



En la charla de wifi jamming, el muchacho en un momento prendió su jammer, habiendo aclarado antes que tenía un alcance de 150 metros, supongo que se habrá notado.


Ayer asistí al training de pentesting de android, para mi muy bueno. Supongo que a alguien que ya sabía un poco de android no le hubiese parecido tan bueno.

No es como me ocurrió con una afamada capacitación de networking que estaba muy de moda y que yo tomé hace mucho y al terminar me quedé con la sensación de que de haberme juntado con dos o tres más que estuvieran en mi misma sintonía, con la plata que salía nos comprábamos tres routers, un libro y en tres fines de semana aprendíamos lo mismo.



A mi me viene como anillo al dedo, ya que tengo que dar una demo en el trabajo de "inseguridad mobile".

Mañana sigo.



[1] http://www.amazon.com/Exploding-Phone-Phil-Lapsley/dp/0802122280