jueves, 22 de octubre de 2015

Eko 11 dia 2

Esto viene mejorando. Salvo la primera vez, que por ser la primera vez todo te parece novedad, nunca había asistido a tantas charlas. Las que no menciono es por que nada puedo agregar o no me llamaron la atención con algo para compartir.

Contra vot.ar Iván y Javier le dieron palos al voto electrónico en general y al sistema utilizado en particular.

Aunque no lo dijeron así, la cosa es como discutir teología con un ateo. El punto esencial es que no hay transparencia, aunque el sistema sea perfecto. Desde el momento en que hay que explicarle a alguien algo más que "tomás tu boleta y la ponés en la urna" el sistema no es transparente.

No puede ser que haya que llamar a un técnico para certificar. Es algo tipo los problemas de Zero-knowledge proof[1]. Una persona puede comprobar que algo es cierto pero esa comprobación no sirve para otra persona. Cada persona debe comprobarlo por si misma. Con boleta y urna es factible, sólo alguien con serias limitaciones mentales no lo entendería. Con una computadora de por medio, sólo alguien con serias limitaciones mentales puede pretender que un sector significativo de la población lo entienda.

Algo que no se mencionó es que la lectoras probablemente sean grabadoras, lo cual es un canal de salida de información. Algo frente a lo que se detuvieron es el microcontrolador que hay para la rfid e impresora (y quizás pantalla). Ellos consideraron que bien puede estar protegido para que no se pueda leer (o sea auditar). Pero si le sacaras esa protección, si obtuvieras una urna podrías reprogramarlo y posibilitar persistencia o alguna emisión radioeléctrica tal que se pueda vulnerar el secreto de voto.


Luego Manuel y Francisco mostraron como emular parcialmente una celda telefónica con equipamiento accesible en precio. Quizás un poco caro para jugar pero interesante para pruebas de ingeniería social.

En varias de las de más bajo nivel y es algo que ocurre no sólo acá, los expositores no son generosos, asumen que están hablando con pares con conocimiento similares.

No sé si está mal, hace a exposiciones más cortas, pero supongo que deben haber muy pocos asistentes que realmente entiendan todo. Igual, sirven, al menos yo siempre saco algún pensamiento nuevo, una idea, algo.


Jaime de hacking carros me ha abierto el entretenido e interesante panorama potencial de inyectar conversaciones en algunos vehículos.

Lamentablemente me perdí el comienzo de el de fraude de empresas de comunicaciones entre ellas mismas, a los clientes y a los estados, que ni siquiera sabía que existía.

Finalmente Juliano mostró un tipo de vulnerabilidad que no sé porqué no conocía con ese nombre SSRF (Server Side Request Forgery). Estuvo bueno que durante un rato fallara, al repetir se hizo mas claro el ataque.

Impresionante el esfuerzo organizativo de Jerónimo que según entendí le consiguió el equipamiento vulnerable en muy poco tiempo. Al punto que Juliano hoy confirmó la vulnerabilidad y la reportó.

Con respecto al desafío de lockpicking, ni me acerqué, Juani me contó ayer que era de un nivel de dificultad comparable al CTF y la verdad es que me pagaron la entrada y training y en horario de trabajo, más me vale que le saque lo máximo.


En un plano muy íntimo, me siento muy disminuido, como que hay ciertas actividades mostradas en las charlas que son cosas que si a uno (al menos a mí) se me hubiesen ocurrido, las hubiera podido hacer, por ejemplo lo de vot.ar. El problema es que en el día a día hay que ir priorizando en incluso el descansar y no hacer nada por momentos puede tomar un valor muy alto.

No es que no haya hecho nada nunca, estoy muy contento con las charlas y demos que he dado, incluso con la de OWASP en la que se me borró de la mente una parte, con el poco código que he compartido, pero eso ya ocurrió, como que hay que generar permanentemente nuevas cosas.

Envidio (en el buen sentido) mucho a quienes exponen.

Y es cada vez más difícil, la comunidad agile la veo decaida en sus actividades, mas bien faraónicas una o dos veces por año y más bien alejándose de los aspectos técnicos, el grupo de seguridad-agile parece que hibernara. No sé, mejor me voy a hacer noni.


PD: pongo nombres de pila sin apellidos porque si no me suena como muy formal. Esos nombres estan en el programa (salvo Juani) y no me cabe poner "alguien", "el otro".

[1] https://en.wikipedia.org/wiki/Zero-knowledge_proof


No hay comentarios:

Publicar un comentario