Crónica de la CharruaCon (parte1)

Guauu el primer congreso de Hacking y seguridad informática en todo el Uruguay. Esta vez me tocó estar en el sitio del organizador, por lo que se disfruta menos que siendo asistente. Pero como recompensa tiene el agradecimiento de toda esa gente que está ahí, disfrutando de cada exposición, jugando al CTF, aprendiendo, tomando notas, conociendo a otros.
De este tipo de eventos salen proyectos, ideas, trabajos, y para mí a nivel personal, es lo más lindo que hay. Sobre todo si pones tu granito de arena para que eso suceda.
La química con Mateo fue inmediata, para un uruguayo que vive en el extranjero y que viene un par de veces al año, es difícil conectar con una comunidad que está ahí y quizás necesita más voz y presencia.

Voy a compartir entonces mi crónica de cómo la viví. Y vaya por delante un especial agradecimiento a mi compañero de cabina, Mateo que sobre sus hombros cayó gran parte de la organización, él consiguió los patrocinadores, y usó su línea de contactos para conseguir y formar la agenda tan buena que quedó.
Luego un agradecimiento especial a cada uno de los patrocinadores que asistieron, en especial a los que cruzaron el charco, montaron su stand y nos acompañaron en todo el evento.
Y por último no menos importante y la razón de todo esto, cada uno de usted que asistió, aunque sea 1 hora, gracias por estar ahí y formar parte de esto.

La previa: Hack and Beers Uruguay

Mientras en España se piensa que Hack and Beers nació de forma espontánea allí, aquí en Uruguay se viene haciendo desde hace más de 4 años. Y me consta que en otros países también se lleva haciendo desde hace tiempo.
Lejos de los patrocinios, de la cerveza gratis, al calor del fuego de una parrilla, o con unas cervezas en una mesa, se reúnen un grupo de amigos, en donde todo aquel que se quiere unir siempre es bienvenido, como en mi caso.
Y va formando una comunidad cada vez más grande. Las cuentas son claras y transparentes… Unos se encargan de la leña, comprar la carne, las bebidas, se divide el coste entre los asistentes registrados y se paga a partes iguales al final.
Los segundo miércoles que cada mes, se reúnen para asado, cervezas y charlas o bien, para cervezas y charlas. Aunque no siempre se realizan charlas, la reunión, el intercambio de conocimiento, los mini proyectos colaboraciones y sobre todo el poder compartir con otros tus conocimientos, el poder aprender de otros, compartir experiencias, siempre está asegurado.
El uruguayo es una persona muy humilde, hasta que no te pones a hablar con un uruguayo no dimensionas lo que puede saber el tipo, y mucho menos su experiencia de vida. Por lo que asistir a una hack and beers en Uruguay es una caja de sorpresa. Porque te encuentras a gente increíble, con mundo, gente que ha viajado, con mente abierta, con profundos conocimientos en ingeniería, tecnología. Con investigaciones de doctorados que merecen ser conocidas en el resto del mundo. Sinceramente una muy buena experiencia. Donde entre charla y charla se forja algo más importante aún que el compartir conocimiento. La amistad.
Y un especial agradecimiento al que quema los asados, perdón, al asador oficial de la H&B que no hay quién lo mueva de la parrilla y deleita a los asistentes con sus historias y muy buen sentido del humor. Al único e inigualable Chiche Pardiñas!!

Día 1 de la CharruaCon.
Con casi 700 registrados y una plaza de 365 personas era un poco incertidumbre si tendríamos un overbooking o si según las previsiones de que en eventos gratuitos, el 40% de los inscritos asisten.
8:50 mientras Gabriel Bergel de la 8.8 Chile, preparaba su portátil para su charla, y ultimáramos los últimos detalles la gente entraba tímidamente en la sala, sin saber muy bien que iba a encontrarse.
9:20 aún sin mucho público, decidimos que arrancábamos a las 9:30
9:30 La sala tenía otro aspecto, aún no habíamos colgado en enlace del streaming en la web, y yo no podía hacerlo desde una wifi pública teniendo que subir el index.html por FTP, sin exponerme a que alguien intercepte la comunicación y nos haga un defacement a la hora de empezar al evento. Así que le pedí a mi equipo en España que lo subieran ellos desde allí.
Luego siguió la charla de guille con pentesting arsenal, donde nos habló sobre el potencial de metasploit y realizó una demo online. Yo estaba tomando fotos por lo que no pude seguir de cerca la charla. Y unos minutos antes, bajé porque me tocaba a mi dar mi charla.
Entre telones Mateo me presentó a Ignacio de Agesic, donde me dio mucho gusto conocerlo y saber un poco más de Agesic, hablamos de su proyecto de poner varios certs y apenas pude comentarle algo sobre mi charla. Porque ya me tocaba intervenir.

Mi charla, bien, mi charla tenía como objetivo decirles, señores está bien que según la ITU estemos muy bien posicionados, pero nuestras infraestructuras presentan varias deficiencias, Agesic no tiene capacidad en recursos y dinero para afrontar todo el trabajo que tiene. Apoyarse en la comunidad, y pedir colaboraciones. La comunidad quiere hacerlo, puede hacerlo. Todos buscamos un bien común. Proteger nuestras infraestructuras más críticas. Buscar el mecanismo, articularlo y trabajemos juntos en esa dirección.

El mensaje llegó, pero a algunas personas, no le gustó la forma, la buena noticia, es que me encanta saber que el mismo sábado 13 la web del cert.uy había añadido información sobre el malware WCRY 2.0. Puede que no tenga nada que ver mi charla, da igual, pero la web del CERT.UY cumplía con su función de informar y estar actualizada. Y eso está muy bueno.
Luego siguió la tan esperada charla del Cuervo, hackeando el sistema de transporte metropolitano. Dicen que compartió más información de la que muchos esperaban y toda su investigación de estos años. Una charla super interesante, que quien quiera profundizar más, le recomiendo su blog y ponerse en contacto con él. https://elcuervo.net
Tras el panel muy interesante que moderó Mateo, se le fue la pinza y mandó a todos a comer, dejando la charla de Noel sobre Phising para luego de la comida.
Tras ir corriendo al MAM, esperar 15 minutos una milanesa con fritas, volvimos sobre la hora con Noel ya lista para su charla. Una charla con mucha investigación por detrás donde nos explicaba, como el phising es el gran desconocido, y técnicas avanzadas de phising que hacen más de lo que la mayoría piensa. Una charla que si está grabada vale la pena volver a ver.
Luego subió al escenario Enrique y Carlos, para hablarnos de 5 años vivendo en peligro, o 7?
Sinceramente no tenía ni idea de que iba a ser la charla, así que tenía cierta curiosidad por saber de qué iba. Bueno, pronto lo descubrimos, en Uruguay hay una operadora única de telefonía fija que es Antel, y todo el gasto de infraestructura en fibra como sus routers son de Antel. Antel utiliza unos routers para fibra con ciertas vulnerabilidades que estos dos señores se dedicaron a estudiar, hacer un trabajo de campo y cuantificar en miles, los routers afectados. Esta es otra de esas charlas que vale la pena volver a ver. Conclusiones, si tienes un router de antel, cambia la clave por defecto de tu Wifi.
Ya con la agenda movida de tiempo subió al escenario Eduardo Carozo de ITC, hablando sobre blockchains. Eduardo es una enciclopedia con patas, pero por primera vez entendí cómo funciona la minería bitcoins gracias a un video super didáctico y una explicación magistral sobre el escenario. Lo malo que Eduardo tenía material para quedarse 2 horas en el escenario. Así que para cumplir agenda y que ya veníamos con una charla atrasada pedir que resumiera.
Por la noche conocí a Eduardo personalmente, y creo que es uno de los grandes que han hecho historia en este país en el campo de las tecnologías.
Luego siguió programación esotérica con Fernando, entre telones me explicó su charla brevemente, yo le presenté y tuve que salir hacer fotos y no pude seguirla de cerca. Así que si está grabado volveré a verla porque tuvo que estar muy interesante.
Ya con el tiempo vencido, con Mateo decidíamos en donde cortar y hasta donde nos iba a aguantar Antel y todo su personal al que también les doy las gracias.
Así que decidimos tirar adelante con la siguiente charla. Secure my random, en este caso Hector nos explicó cómo funciona el Radmon en los distintos sistemas operativos, y cómo lo utiliza los principales lenguajes de programación. Una charla original y desde mi punto de vista profunda en conceptos.
Apuramos y salió al escenario Leandro, muy nervioso con su charla de SQLi, una charla si bien básica para los que conocemos SQLi, muy didáctica y clara para los que no saben cómo funciona. Leandro se traía una demo muy trabajada, y muy didáctica con las consultas en SQLi explicadas y mostradas encima del formulario. Quién no conozca el SQLi, recomiendo ver esta charla. Yo le intentaré pedir los ejemplos para mis clases. Son muy muy buenos.
Y por último ya más que pasados de hora, Diego salió al escenario a contarnos algo que yo desconocía, Scrapy, Hoy en día está de moda crear bot, spider, o crawler para todo, así que para la automatización de tareas nunca viene mal herramientas que nos ayuden. Por ejemplo a recorrer todo un sitio web y recolectar información.
Lo que no sabía era que estaba mantenida por uruguayos. Dejo aquí nota de Wikipedia.
Scrapy was born at London-based web aggregation and e-commerce company Mydeco, where it was developed and maintained by employees of Mydeco and Insophia (a web consulting company based in Montevideo, Uruguay). The first public release was in August 2008 under the BSD license, with a milestone 1.0 release happening in June 2015.[10] In 2011, Scrapinghub became the new official maintainer
Gracias Diego por tu aporte, así que si tienen dudas sobre esta herramienta desarrollada en Pyhton, puede hablar con Diego Sarro de Kod Latam.
Diego Sarro

Al finalizar, dimos por cerrado la conferencia, dejando colgada la charla del juez argentino Manuel Campos. Cibercrimen para el siguiente día.