jueves, 6 de noviembre de 2014

Juego de Piolines




La receta es muy sencilla


Se distribuyen piolines de menos de un metro entre los concurrentes, que deberían ser más de diez. Las personas deben tomar uno o más piolines y conectarse con las cercanas. Esto va a formar una red.

Las personas representan routers y los piolines conexiones.

Se necesitan dos personas, situados en lugares opuestos para que hagan de Servidor y Navegante, teniendo un solo piolín el Navegante.

Hay que tener preparados varios diálogos en tarjetas. De un lado deben tener un Origen y un Destino, por ejemplo:



De uno u otro lado una fracción que representa la posición de este Paquete con respecto al total.

Del otro lado, la Petición


 o la Respuesta, con su render como gentileza.



De este modo estamos representando:

Origen y Destino            Información del encabezado IP
Paquete/total                  Información TCP
Nombre host                  Información del encabezado HTTP o SNI
Petición                          Cuerpo del mensaje HTTP

El primer diálogo se hace con autenticación con envío de credenciales con http y se muestra como los Nodos intervinientes pueden ver el contenido de las tarjetas.

Luego, se repite colocando las tarjetas en sobres, escribiendo en el sobre únicamente las direcciones. Se puede poner el nombre de host en las Peticiones para representar SNI. En este caso tenemos una Respuesta:


En el Destino yo he puesto el nombre en lugar de la IP y en el Origen la IP (y viceversa en las Respuestas), para recalcar que el Navegador tiene IP aunque no nombre.

Se explica que a diferencia del juego, en la realidad no se pueden abrir los sobres, no por ser una regla sino por que es prácticamente imposible.

La tercera actividad es mostrar resolución de nombres y quizás enrutamiento, pidiendo a alguien que oficie de servidor de DNS. El Navegador recibe de la Persona un pedido a un dominio y le pregunta al DNS cual es la dirección IP correspondiente. Una vez que la tiene el Navegador envía la Petición al Nodo al que se halla conectado, el cual decide hacia donde reenviarlo utilizando un mapa aproximado. Se explica tambien que los paquetes son copias y que pueden haber duplicaciones y extravíos.

La cuarta es mostrar como el DNS puede haber sido comprometido y el papel de los certificados en detectar la situación.

La quinta es mostrar las cookies, mediante su agregado al mensaje, sin escribirla sino adjuntando otra tarjeta.


Salvo lo de los cookies, de un modo un otro he realizado  con algunos grupos todas las actividades, con otros menos. La he realizado con quinto, sexto y séptimo grado de primaria, un grupo de quinto y sexto año de secundaria y algunos colados en un break de la Ekoparty 2014, un grupo de profesionales diversos, en el Agile Open MDP 2014, en Agiles Argentina 2014 y en Agile Open Educación 2014, en este último caso con dos o tres personas, sin piolines.


En caso de niños, la red se rompe, arregla y reconfigura continuamente. Lejos de retarlos, se les explica que así es Internet en realidad y su origen militar. Tambien es conveniente tras la primera actividad retirar los hilos y que las tarjetas circulen por todos siguiendo un único camino, para disminuir la distracción.

En mi experiencia, se puede utilizar este juego como actividad disparadora para explicar otros temas, como el almacenamiento de mensajes y credenciales en aplicaciones web ligándolo a privacidad y la conveniencia de no reutilizar contraseñas en distintos sitios.

En particular he explicado la diferencia entre la Persona, el Navegador y las librerías o el sistema operativo, por ejemplo: "La Persona pide ir a un sitio al Navegador. Este arma una parte de la Petición y se la pasa al sistema operativo, el cual avergua la IP y arma la Petición efectiva."

No lo he hecho, pero se podrían mechar diversos temas criptográficos, protocolos de enrutamiento, ingeniería social, virtual hosting. Depende del tiempo, del nivel de los participantes y de cuanto sepas. Como es de esperar, recomiendo que sólo se expliquen los temas que se dominan. Esta es una guía para el juego, no para los temas.

El otro juego que he desarrollado es http://seguridad-agile.blogspot.com/2011/05/juego-agile-ul-ubiquitous-language.html, hace más de dos años, como que inventar juegos no es lo mio.










viernes, 31 de octubre de 2014

Ekoparty 2014 dia 3 y otras reflexiones

Cumpliendo con los olvidos de ayer o anteayer

En la charla de jamming, el expositor era brasileño y mostraba periódicamente los AP activos mientras prendía y apagaba los jammers. En una oportunidad, algún vivillo creo un AP "Brasil 1 - Alemania 7". Muy bueno.

Quizás no era un muchacho el barbudo de BAL y más de nuestra edad, pero me olvidé de preguntarle. Sí recordé la frase que comenzó nuestra conversación, cuando esquivó el objetivo de una cámara "máquina hombre blanco roba alma", que pasará a ser uno de mis lemas, acompañando a la hace rato instalada práctica.

Dia tres

Nos anotamos al lockpicking pero era tarde. Entramos y conseguimos el record... de activar la alarma antes de 15 segundos, unos losers totales. Mientras, el equipo de nuestros amigos bolivianos y el mexicano, BolMex, se llevó la victoria olgada frente a los otros quince o veinte equipos. Por suerte nos enteramos tarde de que los equipos podían ser de más de tres, que es lo que habíamos entendido, sino nos hubieramos juntado con BolMex y los hubiésemos hecho perder. Uno de ellos se llama Elvin o Elbin y al decírnoslo inmediatamente lo acompaño de un chiste que no puedo reproducir para no aparecer en alguna lista de una famosa institución de seguridad foránea. Luego se me ocurrió que podía ser Elvin y les Erdilles.

El juego del ul salió bien, aunque quizás los asistentes, alumnos de quinto y sexto y algunos adultos que forcé a participar se deben haber quedado con la sensación de que era una gansada, lo que no es del todo incorrecto. Con un pizarrón para desarrollar los temas disparados hubiese sido más comprensible. Espero que en algún momento el docente me recolecte algún feedback.

En la exposición de privacidad de Luciano Martins me llamó poderosamente la atención su desencanto pues antes de Manning/Snowden pensaba algo y luego pasó a pensar otra cosa. ¡Qué cándido! No sé si será una visión extendida la de él, pero para mí y había pensado que para todos, las revelaciónes sólo dieron detalles sobre algo que era absolutamente claro, sin restarles mérito a su valor personal.

Muy divertida la exposición de rfid de otro brasileño, que anticipándose a cualquier chiste tenía en su presentación un slide que decía algo como "los programas para leer mifare son tales y Alemania masacró a Brasil 7 a 1" y en medio de las risas y aplausos encajó un "ustedes tambien perdieron". Muy bueno.

Hubo una de string comparison timing attack que me viene al dedillo para corregir unas pruebas parcialmente exitosas de hace un par de años, que honestamente es difícil que aproveche.



El cierre no tuvo la espectacularidad de las veces que yo he ido, pero por mi está ok, era como un vicio, placentero e innecesario.

Me llamó la atención que los expositores no usaran zoomit. Lo bueno es que en algún momento del operador de video hizo algo equivalente. Yo estuve sentado adelante de todo y las tablas de datos y similares casi no se podían interpretar.

Estuve conversando con un seguridad-agile que tiene gente para exponer sobre uno algoritmo de cifrado liviano, a ver si se mueve un poquito y hacemos un agileopen o una charla al menos.


En los momentos muertos, elaboré la idea para dos juegos nuevos, pero son con máquinas. Si alguien ofrece un lugar...

...y otras reflexiones


Estas son reflexiones muy personales y las comparto por si son útiles para alguien y para sacármelas de la mente.

En general, sigue sin gustarme el que haya una sección VIP ni me gusta la onda  rockstar, entiendo la aversión que genera en alguna gente esta conferencia.

Entiendo perfectamente el motivo, está la venta de seguridad de por medio, hay sponsor a quienes rendir cuentas. El problema es que eso tiñe todo, así que un error como el mio del año pasado de emitir una opinión sin consultar antes, que en perspectiva no fue tan terrible y la verdad es que hubiese emitido de todos modos aunque el grupo no estuviera de acuerdo, apesta en un ámbito "de negocio". Y el "negocio" no admite críticas y busca salvar las apariencias.

Tambien está el problema de que se mezcle el trabajo con el voluntariado. Alguien que es voluntario no está sujeto a la misma disciplina que quien está trabajando y cualquier conflicto que surja puede poner en riesgo la continuidad laboral de quien esté trabajando, independientemente de quien "tenga razón" en ese conflicto. En realidad, quien está trabajando se ve perjudicado en un conflicto tanto si ha metido la pata como si no y no ha podido evitar el conflicto.

Estos problemas no se manifiestan de modo tan pronunciado, por no decir que no se manifiestan, en eventos como Agiles20xx, que agrupan a varios centenares de asistentes desde hace siete años, en varias ciudades de Latinoamérica (BsAs, Florianópolis, Córdoba, Medellín, Lima y el año que viene en Montevideo), que duran tres días, con una entrada de precio al menos este año bastante mayor a la eko. Son eventos mucho más simétricos, en el sentido que se desdibujan los roles organizadores/disertantes/público. Tienen una carga organizativa inmensamente inferior tanto en términos absolutos como en proporción a la cantidad de asistentes y como no hay una presión "corporativa" por que salga bien, salen bien con relativamente poco stress.

Tambien tienen una parte Open Space, de modo que no hace falta pasar por el filtro de un comité un montón de propuestas, que simplemente se hacen dependiendo del interés que provoquen en ese momento. Incluso está en discusión eliminar el comité y usar completamente el formato Open Space, me parece que Agiles 2015 Montevideo será así, tambien conocido como KAOS 2015 (Keynote less Agile Open Space).

Me preocupa que la ekoparty pueda colapsar por el peso de su propio éxito, que le impide cambiar y la hace cada vez más cara, no tanto para los asistentes sino para los organizadores. Igual estas son reflexiones desde afuera, no he participado de la organización, no he podido acercar a la gente que asiste a la eko a los recursos del agilismo ni he podido acercar a los agiles a la eko. La gente de seguridad como que es reacia a compartir con desconocidos a diferencia de los agilistas.

Las reflexiones han sido escritas bajo la influencia de un profundo sueño, así que pueden haber partes un tanto inconsistentes. Además, es la conversación imaginaria que tengo con algunos del nucleo de la Eko, como cuando uno habla con alguien famoso que no conoce... ¿qué? ¿sólo a mi me pasa?