Finalizo la tercera reunión de fanáticos de la seguridad Informática en la Universidad de Manizales y podemos dar un buen concepto del evento. Primero quiero indicar que es su tercera edición; he asistido a la primera y tercera reunión y me parece un espacio con unas virtudes enormes para integrarse a la comunidad de fanáticos, adictos, hackers, crackers, Lammers, lo que sea pues la cantidad de información que manejan y los conocimientos que adquieren y comparten son de una calidad impresionante y que a mi parecer tienen una evolución muy rápida y aplican en una gran variedad de contextos.

Fueron 3 días de hacking, cracking, LFI, RFI, XSS, GSM, war game, strings, sql, lock picking, back track, phreaking, debian, windows, apache, php, html, scripts, exploits, shell, ssh, ssl, etc, etc..... hasta focas aparecieron en el evento.

Una comunidad que además de romper los sistemas de información, ahora tiene el ojo puesto en toda clase de cerraduras XD.

Hablemos un poco de los expositores, los invitados internacionales haciendo gala de sus investigaciones, Chema Alonso, demostrando que una foca es capaz de Mapear toda una red, a partir de las etiquetas contenidas en los documentos publicados, además de demostrar como "envenenar" las conexiones lógicas existentes entre los sistemas de información, para que respondan a las necesidades de un atacante y no a las solicitudes de un cliente registrado.

Desde Argentina Luciano Bello hablando sobre Kryptos (charla a la que no pude asistir por estar viajando entre Armenia y Manizales) y sobre los inconvenientes de las soluciones "triviales" a problemas de los sistemas de seguridad de tal forma que el "ramdon" se convierte en "const".

David Batanero enseñando que hasta en los espacios más pequeños de una sim card podemos almacenar aplicaciones simples que comprometan la confidencialidad de las comunicaciones, además de indicarnos herramientas utilizadas para la obtención de información en procesos de Investigación.

Gunnar Eyal Wolf con una exposición bastante controversial sobre un método sencillo para el respaldo de información, digo controversial porque a medida que indicaba los pasos utilizados para el respaldo lo asediaban los expertos en sistemas Linux con indicaciones sobre posibles inconvenientes de usar esos métodos... una charla donde aprendimos del expositor y de los asistentes. Vimos con Gunnar además la aplicabilidad del Munin, un sistema para monitoreo de trafico y habilitado como sistema de seguridad de nuestra red.

Desde Uruguay Marcelo Rivero quien expuso una actualización del comportamiento del malware a nivel mundial, su control por "Mafias" encargadas de la obtención de Información de usuarios y el comprometimiento de sus máquinas, además de una charla muy bien elaborada sobre el nuevo problema causado por el Malware, los falsos Antivirus, su comportamiento, su objetivo y algunos casos prácticos.

A nivel nacional la comunidad DragonJar se apropio del evento, quienes conocemos esta comunidad sabemos que se caracteriza por la publicación de excelentes contenidos y la apertura de espacios para la capacitación e intercambio de conocimientos, a mi parecer una comunidad líder en su genero a nivel nacional. Contamos con expositores .gov.co quienes nos informaron sobre el curso actual de los CSIRT en Colombia, el staff de DragonJar por medio de 4v4t4r quien además de promover los DragonLabs virtuales y Las reuniones en diferentes ciudades, ahora se ha tomado el trabajo de crear la web sec-track.com donde se publicaran retos de seguridad existentes y los nuevos por venir; sin respuestas, pero con material que mediante el auto aprendizaje pueda capacitar a todo los usuarios de la comunidad.

DrAgOn con una exposición muy básica sobre la seguridad en sistemas web, haciendo demostraciones de los inconvenientes de producir contenidos y confiar en el buen comportamiento del usuario:

"el usuario es malo" DrAgOn.

Martín Rubio (falc0n) no contento con investigar la seguridad de los sistemas lógicos y físicos ahora se ha dado a la tarea de comprender el genoma humano, esperemos que para el EISI 4 nos traiga las palabras correctas para decirlas al oído de alguna persona y hacer una especie de "Inyección SQL" que haga a la persona hablar sin darse cuenta XD XD XD.

Expositores de todo y para todo, no tengo queja de nadie, excepto de NKT, no es la primera vez que asisto a una de sus exposiciones (ya lo había hecho en el congreso de la UniMinuto el año pasado) y me parece que hace que sus espectadores se distraigan y se dispersen, es un buen miembro de la comunidad de hacking Colombiana, pero a sus exposiciones les falta algo más de preparación.

En términos generales un excelente evento, con algunos inconvenientes especialmente en el War game el cual desafortunadamente no se pudo ejecutar como se esperaba, pero se realizo una versión lite que permitió ver la capacidad de algunos de los asistentes, además se abrió un pequeño espacio para el lock picking donde vi por algún rato a Luciano dando clases sobre la apertura de candados de diferentes tipos.

Finalmente felicitar a la universidad de Manizales, exhortarlo a seguir aumentando el nivel, me parece que van muy bien y la calidad de los expositores hace que valga la pena el viaje y la Inversión (evento + hotel + comida).

Como conclusiones y enfocándolas a los miembros de la comunidad UDTecnoVirtual, hay que unirse a esta comunidad de entusiastas de la seguridad Informática, especialmente aquellos que desarrollamos contenido web o que aplicamos sistemas open source en el desarrollo de nuestars herramientas TIC, como le comenté a 4v4t4r es bueno invitar a aquellos expertos a hacer las pruebas de rigor a nuestros sistemas antes de ponerlos en marcha definitiva en alguna empresa, centro médico o al interior de una organziación, recordemos que el objetivo de los desarrollos y aplicaciones TIC de UDTecnoVirtual es brindar herramientas gratuitas o de bajo costo, pero no por ello vamos a dejar de lado la revisión total de los posibles inconvenientes de seguridad.

Quienes quieran conocer más sobre las memorias y exposiciones les recomiendo visitar la pagina Dragonjar.org allí encontrarán todos los pormenores del evento.

Tomé algunas fotografías las pueden ver en el espacio live de UDTecnoVirtual