Buenos Aires, 25 de setiembre de 2019
|
|
Termina el invierno y llega la Eko. Ese momento es una excelente conjunción de un factor natural y un delirio hecho organización, si se descodifican los sustantivos por su orden. Esta vez el rediseño de la primera acreditación terminó con las colas de dos cuadras y tres horas; antes del momento de la bienvenida casi todos estábamos abrazando conocidos y saludando a los por conocer. O tomando solcito y consultando el programa del día.
El tal rediseño no se quedó en mejorar el ingreso: le pegó de lleno al programa de actividades. La extensa costumbre de armar tracks me sigue cayendo gorda, porque siempre el asistente tiene que elegir entre dos bellezas y se queda pensando en la otra, y para peor este año aumentó la cantidad de presentaciones de herramientas y procedimientos. Eso de peor va de gruñón, porque realmente es una mejora.
|
Marcando las diferencias
Abundan las conferencias que sobreviven a fuerza de presentaciones comerciales marquetineras. Y la Eko sigue distanciándose de esas, lejos en la punta. Para que quede claro: los patrocinadores comerciales eran veinte empresas, contadas puntualmente en el reverso de mi identificación y en la pantalla del escenario. Ninguna presentó charla de producto. Sí había, en la planta baja y al costado del salón principal, cantidad de mesas con el cartelito de una empresa y persones varies explicando que su producto/servicio era muy bueno; pero la onda nunca era "somos los mejores". Afortunadamente, si eran de marketing, lo disimulaban; o en la mayoría de los casos, eran del palo infosec en alguna variante. Lo cual fue una decisión empresaria acertada, porque la concurrencia era de todas las ramas del árbol infosec. Los sponsors, sin duda, ya saben que en la Eko no hay que vender humo, porque allí el público está formado por bomberos o inventores de encendedores. O gray hat, que vi unos cuantos...
Sigo con la demografía, y voy a un tema al que regreso, en cada nota, desde la primera de las doce veces/años que escribí sobre la Eko: presencia femenina. En este caso, ese público más que duplicó al año anterior. Lo cual me parece excelente. Para muestra, LasPibasDeInfosec o la brillante investigadora Sheila Berta, una piba geek a la cual de vez en cuando se le cae algún exploit, que llegó a estas pampas poco después de exponer frente a un público experto del Norte Adinerado, (BlackHat Las Vegas), y a días de haber sido nombrada Head of Research en esta empresa suiza.
En esta, su cuarta aparición en una Eko, se lució mostrando su capacidad en el hardware hacking. Pero eso lo dejo para cuando, en una nota siguiente, llegue el turno de analizar las charlas de esa jornada.
|
Contando ovejitas, para quienes no saben lo que es Ekoparty
Días de actividad, la conferencia tuvo tres: el miércoles 25, jueves 26 y viernes 27. Pero el lunes y martes anteriores hubo una sección de once trainings arancelados, que por la cantidad de personas registradas (250) ocuparon más de 20 aulas en tres edificios. Los datos me los pasó, entusiasmado, Jerónimo Basaldúa, que tuvo que orquestar semejante logística, incluyendo la cantidad de cursantes que viajaron desde el interior de Argentina o países latinoamericanos, y los instructores e invitados extranjeros. Quienes tomaron los trainings tenían entrada a la conferencia, por lo cual se agregaron a los/as estudiantes de secundaria y universidad, investigadores/as independientes y los/as que trabajan en empresas del ramo. Más un par de los que hace años usaban anteojos negros y traje, y ahora andan cancheros con una mochila colgada del hombro... pero los conocemos igual.
Semejante masa, calculada en unos tres mil, asistió a 19 presentaciones en la sala mayor (más de 700 sentaditos, y algunos idem pero en pasillos), algunas reuniones de media hora, otras de casi una hora, pocas de dos horas o más; 10 actividades que incluyeron demostraciones prácticas de cómo se ataca la alarma de una motocicleta, cómo es una entrevista técnica o cuánto resiste a los ataques el noble BSD; 13 ekolabs, donde se pudo aprender a cazar código malicioso en la memoria RAM, o reconocer varias amenazas que esperan a los usuarios en las Nubes; 7 ekokids donde los chicos y chicas pudieron experimentar con lockpicking, música digital, robots y programación, y para los mayores hasta hubo headhunting, el ekodating , cara a cara con los representantes de catorce empresas. Me contaron que hubo unas quinientas entrevistas, así que, como dicen los de marketing, ha sido win-win.
Y basta de contabilidad. Otro dato: Antes de cada eko se hace un concurso con votación popular, para elegir esa frase que acompaña al dibujo; siempre es humorístico, y este año tiene un peso ligeramente escatológico (con 15 años me hago alta eko!)
Saludos y conversaciones al sol en el patio, mirando la colección de isologos y de slogans; en los intervalos, además de charlar, algunos aprovecharon las máquinas de juegos retro.
Más networking (como dicen los de las empresas), avisaron que se puede pasar, al trote por la escalera y hacia la sala principal (lleno absoluto).
|
Ingeniería social para todos y todas
Al arranque, y luego de los aplausos de la muchachada expectante, los saludos de Fede Kirschbaum y un muy emocionado Juan Pedro Daniel Borgna.
La espera inicial, y la emoción de las palabras de los dueños de casa fueron seguidas por una bajada acelerada para disfrutar del primer cofibreic (¡excelentes manzanas!) y al volver, un bocado para abrir el apetito de conocimiento: A un bit de ir en cana. Para que algunos pacatos recuperen la respiración, Hacking e ingeniería social al límite de la ley era el subtítulo.
El tema lo traían Marcelo Temperini, abogado y además técnico en seguridad de redes Cisco y perito informático forense (ahhh...) y Maximiliano Macedo, analista en informática y también perito informático forense; el aroma académico seguramente tranquilizó a los que se erizaron al leer la primera parte del título.
El tema central era un panorama de los riesgos que implica una tarea de investigación que no cuente con permisos previos debidamente aclarados.
Sobre todo, la necesidad de formalizar un contrato en el cual la autorización garantice que no se transgredirá la ley.
En la parte de actividad que no se relaciona con la exploración de una red, sino con la interacción con personas, se mencionó la obtención de datos personales o del movimiento interno de una empresa, la información que incluya a menores, y la forma en que esos contenidos pueden incluirse en un informe.
Luego recordaron algunos casos famosos de engaño, siempre con una base de recolección de datos clave, al estilo de Kevin Mitnick .
También mencionaron el proyecto ODILA, Observatorio de Delitos Informáticos de Latinoamérica del que son cofundadores, por medio del cual procuran recabar datos para una estadística de delitos informáticos en Latinoamérica, dado que los que llegan a formalizarse en denuncias son muy pocos.
Completaron la presentación con algunas descripciones de sus trabajos, el público aplaudió y salimos.
Hora de comer.
|
Al regreso, un buen momento para ver qué pasaba en la planta baja.
Entre varios stands con concursos que implicaban desafíos, había gente haciendo simultáneas de ajedrez, y mientras los visitaba, en la sala principal seguían las presentaciones.
Cuando subí la conferencia del equipo de Emiliano Piscitelli, Alan Levy, Carlos Loyo y Jorge Martín Vila: OSINT e Ingeniería Social Aplicado a las Investigaciones estaba en su tercio final.
Por supuesto, nadie en las butacas necesitaba que le explicaran que OSINT es inteligencia (información) recolectada de fuentes abiertas (públicas).
Hubo muchas definiciones que la platea escuchó muy atentamente. Entre otras, desfilaron las colecciones de datos que pueden obtenerse a través de OSINT y que pueden ayudar en una investigación, empleando lo que una persona deja en las redes sociales (twitter, facebook...): menciones a lugares visitados, fotos, comentarios sobre preferencias religiosas o deportivas; también se recordó que es necesario conocer las jergas o localismos del habla de los investigados.
Luego Alan Levy se dedicó a exponer sobre la magia de la ingeniería social y el arte del engaño, encantando de paso a la platea con trucos que demostraban el poder de la distracción en el momento de convencer a alguien para entregue informaciones o autorice acciones.
|
Los asistentes quedaron, luego de esta muy buena presentación, listos para el postre: Social Engineering Booth presentado por Base4 Security, la empresa propiedad de Leonardo Pigñer y Jero Basaldúa, dos de los cinco fundadores de Ekoparty. Para los que no lo saben (ni miraron el "acerca de" de la Eko) los otros tres fundadores son Federico Kirschbaum y Francisco Amato, propietarios de Faraday, y Juan Pablo Daniel Borgna, SysAdmin Emeritus.
Ante la expectativa de una platea repleta, lo que preparó Base4 fue una demostración en vivo de ingeniería social, armada como una competencia.
Tres participantes ingresaron por turno en una cabina cerrada y con una ventana hacia la platea, desde la cual tenían veinte minutos para llamar por teléfono a un lugar previamente elegido, diferente en cada caso.
No se divulgó el nombre de ninguno de los participantes, que eran llamados por alias, excepto Elmo, a quienes todos reconocieron.
Un jurado (y el público) escuchaban la conversación telefónica.
Mientras los participantes se comunicaban con sus objetivos, se mostró a los espectadores una lista de preguntas clave, sobre aspectos que convenía incluir en una conversación de este tipo.
No diremos acá cuales fueron los "blancos" atacados, pero quienes recibieron las llamadas eran empleados de oficinas, en dos casos de tipo administrativo, y otro de tipo técnico. Lo que se presenció fue una interesante aplicación práctica de las técnicas discutidas en las presentaciones del día.
El que logró obtener más información fue el Gato Hacker, que recibió su premio dos días después, en el cierre de la Eko. El segundo participante y Elmo no tuvieron tanto éxito.
Los de la platea aplaudieron a rabiar, y yo me puse a leer el Código de Conducta de la Eko y a revisar algunos comentarios. Pero eso lo dejo para la siguiente nota.
IR AL SEGUNDO DÍA DE ESTA EKO
|
por Rubén Borlenghi, a.k.a. el Microsaurio
Las fotografías son propiedad de R.Borlenghi, excepto aquellas marcadas (c)ekoparty
la excelente imagen del Microsaurio (estoy muy parecido...) fue creada por el brillante artista gráfico Víctor Carbajal.
|
