Saturday, October 02, 2010

Ekoparty 2010

Esta fue una de las aventuras más simpáticas de los últimos tiempos. Ya el año pasado nos quedamos sin ir por la carga laboral y este año nos lanzamos.
Era importante para nosotros ir como team y para ver que tal estamos comparados con un medio tan avanzado y competitivo como el argentino, en otras palabras, que tan "hackers" somos y de hecho, el resultado fue positivo para nosotros, pero, hay que tener en cuenta que en Argentina no solamente hay buenos pen testers, ethical hackers, etc. sino excelentes investigadores y desarrolladores en seguridad informática. Mauricio Velazco se preguntaba : y ellos estan todo el día investigando para encontrar esas vulnerabilidades y desarrollar exploits ? La respuesta es SI porque allá hay empresas que se dedican a desarrollar herramientas de hacking, tanto como software libre como comercial. Ejemplo de todo ello son Core Impact (de Core Security), CANVAS (de Immunity) y la incorporación de w3af al "conglomerado" de Rapid7 que ya cuenta con MetaSploit, así como, Netifera y el ataque de Padding Oracle aplicado a la __viewstate de .Net donde el 50% del mérito lo tiene un argentino, Juliano Rizzo.
Aca nuestra investigación se da en forma posterior porque nos dedicamos a entender las vulnerabilidades reportadas y luego, a comprender como funcionan las herramientas o exploits lanzados, y, en algunos casos, para corregirlos o adecuarlos a nuestras necesidades (aunque ya tenemos 3 nuevas herramientas que lanzaremos este mes en el evento de ISACA el 22 de octubre).
A continuación la aventura Ekoparty en imágenes :
Perú estuve super presente en Ekoparty 2010.
Estuvimos 4 de Open-Sec, Juan Pablo, Felipe y Miguel (más datos omitidos a propósito).






La danza diabólica de las habitaciones compartidas.
Quién duerme con MV ? Por aca! Pero, luego encontró su pareja ideal : MU, durmieron juntos 3 noches y fueron felices por siempre. MV se quedó unos días más en Bs Aires haciendo los trámites del matrimonio.
(El del gesto diabólico no es ninguno de los M*).



Nos mandaron un mail diciendo que lleguemos a las 7:30 am., como buenos peruanos puntuales, llegamos a las 9:00 de la madrugada y quedó claro que argentinos y peruanos somos hermanos, más puntuales imposible!





El escenario de Ekoparty. El lugar donde se realiza es bien particular, hay que tener la mente bien abierta para encontrarle lo simpático, pero, el escenario como tal es buenísimo : un logo de Ekoparty en neón, un panel suficientemente grande, buen audio, una decoración entretenida, muy bueno.



A la izquierda : MV en el CtF. Lo curioso fue que alguien dijo : es un web! MV buscó, lo encontró y empezó a atacarlo. Rato después alguien le dice que era un web que estaba publicado en Internet y los retos eran de esos que solo entienden los creadores y sus amigos. Curiosamente, el web del reto terminó siendo "alterado". Quién habrá sido ?
A la derecha : MU, CC y JQ haciendo lockpicking que luego será aplicado en pruebas de seguridad física.
A la izquierda : seleccionando "exploits".

A la derecha : MU meditando sobre el padding oracle attack...oooommmm...ZZZZZZ




Dicen que la mejor defensa es el ataque, MV lo pone en práctica...



A la izquiera : peruanos en el subte.



A la derecha : reciclador tecnológico.