viernes, 23 de octubre de 2015

Eko 11 dia 3


Puff, pensé que no llegaba...

OSQuery de Facebook

Suena interesante, poder hacer select * from process where TTY="tty4"; en lugar de ps ax | egrep -e '^..... tty4'

Pero que te digan vengan y ayuden, no sé, me agarra cosita. Una cosa es que me lo pida un par o parecido, pero una empresa grande... Tanto a Infobyte y a Securetia que gentilmente me han dado acceso a Faraday y a Karma repectivamente, no he tenido problema en darle mi modesto y superficial aporte sin que me lo pidieran, pero Facebook es FACEBOOK, miles de millones de verdes y me pedís que te regale trabajo, ufff, soy open source pero no tanto.

No sé como resolver esto.

Aparte.

Si no hubiese asistido al training, no hubiese entendido nada de Windows SMEP bypass. No sé por qué no le dieron el premio de trayectoria a Nicolás @NicoEconomou. Espero se lo den en #eko12.

Muy buena Crozono de Sheila @UnaPibaGeek y Pablo @pabloromanos, mucho más sofisticado y limpio que mi plan: tirar un corcho atado con una tanza por el inodoro, ir a la cloaca a buscarlo y meter un cable ethernet con POE.

A raiz de que varios de mis compañeritos más observadores y babosos me han dicho que este año ha habido mayor presencia femenina, yo me pregunto, ¿no sería correcto brindar algún tipo de ayuda? A todos nos cuesta venir, no sé si a las mujeres no madres más, pero seguro que a las madres sí. De todos modos, una mujer que aún no ha tenido familia debería ser ayudada a asistir, para que esté mejor insertada para cuando tenga familia.

Adémas muchas mujeres pierden un día por mes por los dolores menstruales. Puede parecer una boludez, pero es una desventaja.

Tambien el viajar en horarios extremos. Yo me vuelvo en colectivo a la hora y del lugar que sea por 4 pé o menos, si lo hiciera en taxi, son más de 70 pé fácil.

Y ni hablar de que si hay una sola por cada cien hombres... debe ser estresante sentir doscientos ojos en el trasero...


Temo sin embargo que se confunda con lo que hacen (o hacian, ha pasado tanto tiempo...) en los boliches, estoy completamente en desacuerdo con el concepto de "Damas Gratis".

No me gustó que mercado libre tuviera promotoras, no me gusta que hayan promotoras y eso que este año los animalitos estuvieron bastante educados cuando ellas subieron al escenario, todo un mérito pues estaban muy bonitas, casi que a mi tambien me dieron ganas de gritarles algo, jaja.



Perdón que esté tan sensible. Si eres mujer y te molesta lo que escribo, considerá que puedo estar mal expresándome y tambien echale una ojeada a http://kyliechan.com/the-accidental-sexist/

Aparte.

Una pena que se haya cancelado lo de "Why app stores cannot be trusted: ROP as a Service", espero que alguien cuente algo, en archive.org no quedó.

En reemplazo de esta charla hubo un espacio de fast/lightning talks que con Javier @jjvmARaprovechamos para difundir el próximo Agile Open Seguridad.

PATCH: para todos los que no son de CABA Argentina, nos faltó decir que cuenten con nosotros si necesitan asesoramiento para organizar un evento de este tipo por vuestros pagos.

PATCH: para la organización de la Eko, cuenten con nosotros para asesorar y/o facilitar un día de Open Space en la Eko12. Esto es tanto un ofrecimiento como un pedido o sugerencia.


Antes, cuando estaba juntando valor y ánimo, había hablado con Andres @w3af, que ha venido a algún AOS. Lo que me dijo con una crudeza que me gustaría que mucha más gente empleara fue: "El formato me gustó, pero la asistencia tenía un nivel bajo, yo no volvería y los que fueran de acá no volverían tampoco" (más o menos, no lo grabé).

Y tiene razón, si no logramos en alguna oportunidad llegar a la masa crítica tanto de cantidad de asistentes, que supongo que debería ser el doble de lo normal, como en una mayor proporción de gente con conocimiento, seguiremos reptando.

Aparte

Fuí testigo de la solidaridad de @sysarmy para con Joaquín @_joac, junto a quien estuve por casualidad sentado un buen rato y siendo quien soy ni me dí cuenta quien era, prometo cambiar. Fijate que estoy poniendo los twiters y me estoy armando un txt con nombres y otros datos y de muchos de ustedes ya tengo la foto y voy a estudiar antes de cualquier evento para poder saludar correctamente a cada uno. De paso practico socint.

De conjunto ha sido una muy buena experiencia, claro que nunca superará a la primera a la que fuí (eko8), más que estaba Nitroman. Saludos y gracias a los organizadores que no hallé en persona y hasta #eko12.



jueves, 22 de octubre de 2015

Eko 11 dia 2

Esto viene mejorando. Salvo la primera vez, que por ser la primera vez todo te parece novedad, nunca había asistido a tantas charlas. Las que no menciono es por que nada puedo agregar o no me llamaron la atención con algo para compartir.

Contra vot.ar Iván y Javier le dieron palos al voto electrónico en general y al sistema utilizado en particular.

Aunque no lo dijeron así, la cosa es como discutir teología con un ateo. El punto esencial es que no hay transparencia, aunque el sistema sea perfecto. Desde el momento en que hay que explicarle a alguien algo más que "tomás tu boleta y la ponés en la urna" el sistema no es transparente.

No puede ser que haya que llamar a un técnico para certificar. Es algo tipo los problemas de Zero-knowledge proof[1]. Una persona puede comprobar que algo es cierto pero esa comprobación no sirve para otra persona. Cada persona debe comprobarlo por si misma. Con boleta y urna es factible, sólo alguien con serias limitaciones mentales no lo entendería. Con una computadora de por medio, sólo alguien con serias limitaciones mentales puede pretender que un sector significativo de la población lo entienda.

Algo que no se mencionó es que la lectoras probablemente sean grabadoras, lo cual es un canal de salida de información. Algo frente a lo que se detuvieron es el microcontrolador que hay para la rfid e impresora (y quizás pantalla). Ellos consideraron que bien puede estar protegido para que no se pueda leer (o sea auditar). Pero si le sacaras esa protección, si obtuvieras una urna podrías reprogramarlo y posibilitar persistencia o alguna emisión radioeléctrica tal que se pueda vulnerar el secreto de voto.


Luego Manuel y Francisco mostraron como emular parcialmente una celda telefónica con equipamiento accesible en precio. Quizás un poco caro para jugar pero interesante para pruebas de ingeniería social.

En varias de las de más bajo nivel y es algo que ocurre no sólo acá, los expositores no son generosos, asumen que están hablando con pares con conocimiento similares.

No sé si está mal, hace a exposiciones más cortas, pero supongo que deben haber muy pocos asistentes que realmente entiendan todo. Igual, sirven, al menos yo siempre saco algún pensamiento nuevo, una idea, algo.


Jaime de hacking carros me ha abierto el entretenido e interesante panorama potencial de inyectar conversaciones en algunos vehículos.

Lamentablemente me perdí el comienzo de el de fraude de empresas de comunicaciones entre ellas mismas, a los clientes y a los estados, que ni siquiera sabía que existía.

Finalmente Juliano mostró un tipo de vulnerabilidad que no sé porqué no conocía con ese nombre SSRF (Server Side Request Forgery). Estuvo bueno que durante un rato fallara, al repetir se hizo mas claro el ataque.

Impresionante el esfuerzo organizativo de Jerónimo que según entendí le consiguió el equipamiento vulnerable en muy poco tiempo. Al punto que Juliano hoy confirmó la vulnerabilidad y la reportó.

Con respecto al desafío de lockpicking, ni me acerqué, Juani me contó ayer que era de un nivel de dificultad comparable al CTF y la verdad es que me pagaron la entrada y training y en horario de trabajo, más me vale que le saque lo máximo.


En un plano muy íntimo, me siento muy disminuido, como que hay ciertas actividades mostradas en las charlas que son cosas que si a uno (al menos a mí) se me hubiesen ocurrido, las hubiera podido hacer, por ejemplo lo de vot.ar. El problema es que en el día a día hay que ir priorizando en incluso el descansar y no hacer nada por momentos puede tomar un valor muy alto.

No es que no haya hecho nada nunca, estoy muy contento con las charlas y demos que he dado, incluso con la de OWASP en la que se me borró de la mente una parte, con el poco código que he compartido, pero eso ya ocurrió, como que hay que generar permanentemente nuevas cosas.

Envidio (en el buen sentido) mucho a quienes exponen.

Y es cada vez más difícil, la comunidad agile la veo decaida en sus actividades, mas bien faraónicas una o dos veces por año y más bien alejándose de los aspectos técnicos, el grupo de seguridad-agile parece que hibernara. No sé, mejor me voy a hacer noni.


PD: pongo nombres de pila sin apellidos porque si no me suena como muy formal. Esos nombres estan en el programa (salvo Juani) y no me cabe poner "alguien", "el otro".

[1] https://en.wikipedia.org/wiki/Zero-knowledge_proof


miércoles, 21 de octubre de 2015

Eko 11 día 1

Aproveché la espera en la entrada para escribir lo de ayer que me había olvidado y justo cuando escribía esta mismísima linea escuché:

-¡Qué HDP's, cambiaron a las 11!

Lo que me preocupa es que justo estaba ayer leyendo en "El Chino" de  Henning Mankell (te juro que lo tenía de antes que se muriese) la parte en que cuenta de una persona que hace esperar a propósito a las otras, más tiempo según decrece su importancia.

En realidad no me preocupa, estoy convencido de que es mero desorden. Es una lástima que no hayan aceptado mi propuesta de hacer Open Space como relleno para esta situación, lo volveré a proponer el año próximo.

Algún gracioso puso un pasacalles en la puerta que decía "Volvé Katz, no te pwneo más". Él, ni lento ni perezoso envió un micro desde Paraguay y lo puso en la puerta para taparlo.

No voy a poner foto, pues además de parecerme una crueldad innecesaria, ya lo deben haber twiteado centenares de veces.



Se vió también presencia de ISSA en una esquina cercana (https://www.issa.org/)



Vampii de 2600/sysarmy/* me confirmó lo que había oido en alguna ocasión acerca de que telecom probó la centrales telefónicas digitales acá antes de instalarlas en Francia aportando que fué por el alto fraude que había por estos pagos. Esto me lleva a que lo que no te mata endurece y ahí termina,  iba a reflexionar sobre los ataques por mérito o diversión que sólo sirven para que los afectados mejoren su defensa.

De las charlas, que estuvieron muy amenas (winter is coming, arm disassembly) no puedo aportar nada. Del panel de voto electrónico llegan a lo mismo de siempre con lo cual concuerdo[1]: la falta de transparencia y el escenario del puntero que le dice a quien le compra el voto que lo puede controlar, sea cierto o no.

Cabe destacar la posición del partido de la red, pero no voy a opinar mucho por que esto es de tecnología, no de política. Confirma mi idea de que la mayoria somos más o menos igual de inteligentes, pero se manifiesta de distintas maneras, de modo tal que si la tenés muy clara en tecnología probablemente en el resto seas un cuatro de copas.


[1] http://seguridad-agile.blogspot.com/2015/08/agile-boleta.html

Ekoparty 11 Training

Perdón, no sé qué pasó ayer que me olvidé de hacer esta entrada, debe haber sido que el training al que asistí me consumió el cerebro.



Originalmente y más cuando ví que estaban con el protoboard y el soldador lamenté no haber asistido al de hardware, pero no calza bien con mi perfil en el trabajo, este de vulnerabilidades es más compatible.

Pronto dejé de lamentarlo.

Los muchachos a cargo de reemplazar a la persona original que no pudo asistir por una penosa situación personal, son muy rústicos desde el punto de vista didáctico, pero su impresionante conocimiento compensó holgadamente.

Se notó el reemplazo en algún ejercicio que no lo tenía preparado y tuvieron que investigar en el momento, eso fue muy arriesgado, pudieron no haber llegado a la solución, pero el haber visto como lo encaraban hasta llegar al resultado fue realmente impresionante. El la diferencia entre una demo y un ppt.

Algo que no puedo cuestionar pues es muy íntimo mío es que me por un momento me dió la sensación que tuve cuando cursé CCNA: si me hubiese asociado con dos personas más, por la misma plata nos comprábamos un libro,  tres routers y en menos tiempo aprendíamos lo mismo y nos quedában los routers.

En este caso no es resultó igual, ya que a diferencia de antes, ahora no tengo el tiempo disponible para semejante proyecto. Según nos contaron, lo que vimos en dos días ellos lo vieron en el trabajo en dos semanas.

Así que esa sensación sólo fué pasajera, tuve dos o tres momentos de (ah, no me acuerdo de la palabra y me niego a buscarla) que difícilmente hubiera logrado solo.

Los temas vistos... están en la descripción del curso. En conclusión, alcanzó y superó mis expectativas.