jueves, 30 de octubre de 2014

Ekoparty 2014 dia 2

Antes que nada, algo que ayer me había olvidado.

Gera mostró ayer un gráfico con una cantidad enorme de redes sociales y aplicaciones que no usaba para mantener su privacidad. Eso está ok, pero me parece que tiene un error de perspectiva. Una cosa es ser "Gera", en cuyo caso no hace falta estar en ninguna red social. Otra es ser cualquiera de nosotros, perejiles normales, que profesionalmente estamos obligados a estar en sitios como linkedin o por motivos económicos o familiares usar whatsapp o bobófonos (dumbphones para la gente cool). Una vez hice un trabajo para un señor que la tenía tan larga, que no tenía celular ni leía sus mails, los delegaba a una secretaria. El trabajo fué conectarle una laptop al modem de un teléfono satelital para poder ver sus mails mientras se iba de safari a África.

El poder realmente estar fuera de las reglas del sistema requiere estar en una buena posición dentro en ese mismo sistema o ser un aborigen de la selva amazónica sin contacto con ninguna civilización. Me gustó mucho lo segundo que no esperaba Iván ayer en el panel: que quienes antes estaban contra el sistema ahora formaran parte de él.



Dia dos


El cumplimiento horario de la agenda de hoy estuvo casi cumplido, muy bien.

Las charlas me resultaron "normales", como siempre algo se aprende, pero nada del otro mundo. Como que las que mayor información o conocimiento me aportaron fueron las menos divertidas o amenas y viceversa. Tambien es verdad que a medida que uno va conociendo más se impresiona menos. Un ex compañero de facultad me había pedido asesoramiento para adentrarse en estos temas y sin dudarlo le recomendé mi blog (jaja) y que asistiera a la eko, que es como un patadón que te impulsa y posiciona que poder seguir luego solo y he visto con satisfacción que ha venido.

El español tan divertido en esta ocasión mostró buenas técnicas paranoicas para ataques de ingeniería social.

El que la otra vez nos mató de aburrimiento decapando integrados con peligrosos ácidos y usando microscopios de barrido electrónico, totalmente accesibles para todos, en esta ocasión nos remató convocando a newbies a implementar técnicas de punteros tramposos para evitar spraying en browsers y nos regó a borbotones con su odio contra quienes hacen exploits. Igual muy instructivo, en ambas ocasiones.

Cesar Cerrudo nos deleitó con los sistemas de control de tráfico, al igual que un mexicano con Software Defined Radio. Yo tengo alguna idea de SDR y pude extraer mucho conocimiento, pero dudo que alguien que no sabía nada pueda haberlo hecho.

El desafío de la habitación del lockpánico me atrae pero he logrado mantenerme alejado, me asusta mucho la idea de entrar y no conseguir ni un punto, de todo modos me llevo el equipo para mañana. Lamentablemente no tengo punteros laser con pilas y no pienso canibalizar mi cajita.


Me he encontrado con un docente de una escuela secundaria técnica con quien hemos compartido una capacitación. Él experimentó el juego ul con sus alumnos con todo éxito. Lamenté no haberme enterado antes, para invitarlo a Agiles Argentina 2014 donde mostré el otro juego, el de los piolines, hasta que caí en cuenta que podia mostrárselo mañana, al mediodía a la vera del río.







miércoles, 29 de octubre de 2014

Ekoparty 2014 dias 0 y 1

Me da un poco de miedo opinar, pues hay gente que no esta acostumbrada a recibir crítica constructiva pública y a veces soy medio bruto y desconsiderado, pero bueno, es lo que soy, tratando de asimilar la crítica destructiva provocada por la crítica constructiva de aspecto agresivo.

El respeto a los horarios de la agenda viene mucho mejor que en otras ocasiones, creo que sólo media hora de atraso.

Con respecto a la ubicación es tan deprimente como ir a Ciudad Universitaria, pero siendo sólo tres dias, se soporta.

El lugar, pese a la lluvia, está muy bueno. El que hayan puesto el canasto con los paraguas para poder circular es una muestra de que dios está en los detalles, no sé a quien felicitar.

Había un stand con "punch the boss", un maniquí con un kinetic en el pecho al que se le podía dar una piña. Tuve que darle un beso para pedirle perdón pues en l primer golpe aparte de hacer sólo cerca de 300 puntos, medio que le pegué de costado y me caí encima, pobre nerd. Por suerte me dejaron un segundo intento y pude llegar a más de 900. Inmediatamente un muchacho le pegó en la primera con 1050 y el que vino a continuación le arrancó la cabeza, pero sólo hizo 300, era un mantequita, jaja. Así que con mi amigo nos fuimos a romper otros stands.

En otro stand había arduinos con muchos accesorios, me asesoraron con respecto a ponerle un micrófono para obtener un dato arbitrario para arrancar un seed(), pero es tema de otra entrada.

En otro, supongo que el de Buenos Aires Libre, había un muchacho que debía ser mucho más joven de lo que aparentaba con su tupida barba y la radio de onda corta con válvulas a la vista que estaba manipulando. Me tiró unas pistas para comenzar con SDR y clonación de controles para alarmas de autos, es que lo segundo que más aborrezco despues de la gente que vocifera por celular en los colectivos son las alarmas nocturnas.

En el stand de Infobyte hay una habitación que parece ser la encarnación de la idea original del año pasado, un cuarto de lockpicking en lugar de una caja. Por supuesto hay completa hermeticidad así que no puede averiguar nada. Ya me ocurrió en alguna eko que el lockpicking fué mi perdición y no asistí a la mitad de las charlas por estar jugando con las cerraduras, no quiero acercarme... no...no!!!


Me encontré con un ex-compañero de trabajo que se ha huevonizado y es un testigo imparcial. Me comentó que fue a defcon y que es el triple. Le pregunté si de cantidad o calidad y me dijo que de cantidad, que la calidad de la eko es comparable.

Cuando digo "imparcial" es que no le importa comparar, no tiene intereses ni a favor ni en contra de una u otra conferencia. Bien.

Me hubiese gustado que igual que el año pasado avisaran a quienes habíamos hecho propuestas de actividades que ya se habían elegido aun no habiendo sido elegidos. Más me hubiese gustado que aceptaran nuestra propuesta (una mini caja Capture the Datacenter sin lockpicking), pero es sólo una expresión de deseo, no un reclamo como es lo primero que igual es un reclamo pequeño.

El panel de  apertura estaba compuesto por históricos hackers locales (de los cuales yo no conozco a nadie, apenas a Iván Arce gracias a que había aceptado mi convocatoria para explicar Heartbleed en Flisol 2014, es que nunca estuve en la escena local, ni en ninguna otra). Fue muy interesante oir sus experiencias. Casualmente hace pocos meses había leido "Exploding the Phone: The Untold Story of the Teenagers and Outlaws Who Hacked Ma Bell"[1] en el cual cuentan como unos pendejos, algunos de ellos ciegos, con la voz (tanto tonos como ingeniería social), silbatos y electrónica rudimentaria controlaban las centrales telefónicas en USA en los '60, recurso que parece que acá tambien se usó en los '90, antes de la digitalización. En ambos casos hay una mezcla de curiosidad y lucro. Uno de los expositores mencionó lo de los ratios en los BBSs, que no se regalaban nada. Otro que en las reuniones presenciales se sospechaba de espionaje por parte de organismos policiales y que se habían descubierto a un par. Tambien, que así como acá algunos crackeaban programas, varios de los locales en la actualidad son personas de renombre y fortuna, tal como allá algunos Steves (Jobs y Wozniak) que fabricaban y vendían las Boxes, que era la electrónica [no tan] rudimentaria. Espero que no tengamos que esperar cincuenta años para enterarnos. Tengo la idea de que hay un libro desde hace unos años... no, me estoy confundiendo con la historia del movimiento de improvisación teatral, lo lamento.

Supongo que antes de hablar se habrán asesorado legalmente y todo debe haber prescripto o no haber estado legislado. No creo estar divulgando nada privado pues han dicho que el video del panel estará online, vale la pena verlo y quizás poner pausa en algunas partes. Igual, fueron muy reservados.



En la charla de wifi jamming, el muchacho en un momento prendió su jammer, habiendo aclarado antes que tenía un alcance de 150 metros, supongo que se habrá notado.


Ayer asistí al training de pentesting de android, para mi muy bueno. Supongo que a alguien que ya sabía un poco de android no le hubiese parecido tan bueno.

No es como me ocurrió con una afamada capacitación de networking que estaba muy de moda y que yo tomé hace mucho y al terminar me quedé con la sensación de que de haberme juntado con dos o tres más que estuvieran en mi misma sintonía, con la plata que salía nos comprábamos tres routers, un libro y en tres fines de semana aprendíamos lo mismo.



A mi me viene como anillo al dedo, ya que tengo que dar una demo en el trabajo de "inseguridad mobile".

Mañana sigo.



[1] http://www.amazon.com/Exploding-Phone-Phil-Lapsley/dp/0802122280