Mi experiencia durante el DragonJar Security Conference

Posted on Sep 23, 2015 · 907 words · 5 minute read

Como muchos saben la semana pasada estuve en Colombia, en la hermosa ciudad cafetalera de Manizales, tuve el honor de ser invitado para impartir un taller de desarrollo seguro de aplicaciones para Android, también tuve la oportunidad de tomar los talleres de otros ponentes y asistir a sus conferencias, fue un Ganar-Ganar XD.

El objetivo de esta publicación es compartir con ustedes un poco de cómo fue mi experiencia durante el congreso, todo lo que me traje y lo que aprendí, la gente que conocí, con la que conviví y con la que nos hicimos amigos :).

DragonJar Security Conference fue un gran evento, uno de los mejores de Latinoamérica si me preguntan, reuniendo a ponentes y asistentes de mas de 7 países y en donde los temas de hacktivismo, seguridad informática, programación y tecnología en general era algo del día a día, literalmente hablábamos de ello en la mañana, en la tarde y en la noche, un paraíso hacker / geek.

Sobre el evento

El evento estuvo dividido en 2 partes: 14, 15 y 16 de septiembre se impartieron los talleres, que fue cuando me toco dar mi taller de programación segura en Android, todos los talleres fueron excelentes y de gran nivel, pero el que mas me gusto fue el de Hacking con Raspberry Pi de mi colega argentino @camicelli, un especialista de la seguridad informática y experto en electrónica y micro computadoras.

El taller de 8 horas consistió en una introducción a Raspberry PI y poco a poco fuimos explorando sus componentes para al final del día construir un sistema de seguridad basado en un lector NFC que se comunicaba con bases de datos SQLite, la Raspberry PI activaban una alarma o abría una cerradura dependiendo de si la tarjeta leída era valida o no (nos toco hacer el cableado con los protoboards y todo eso XD).

Por otra parte, los días 17 y 18 se destinaron a impartir las conferencias, fueron platicas con un gran nivel técnico por expertos de la seguridad informática, representando a grandes empresas como Elevenpaths, Securizame, DragonJar, Websec, etc. y en donde hablaron sobre sus investigaciones realizadas. Hubo tres charlas en especial que me gustaron mucho.

La primera fue de @MateoMartinez1 donde nos hablaba sobre distintos servicios gratuitos que existen en internet para realizar pruebas de denegación de servicios a sistemas y como en conjunto, y con una buena sincronización, podrían ser utilizados para realizar ataques devastadores de gran potencia.

CPIO-WLWwAAILOO

La segunda fue impartida por @UnaPibaGeek en donde indagamos en temas mas esotéricos, me refiero al funcionamiento de los antivirus, direcciones de memoria, ensamblador, y demás temas que a los que analizamos malware nos apasionan >:)

Sheila_A_Berta_djc1

La tercera charla fue sobre explotación practica de desbordamiento de buffer en dispositivos embebidos por @luisco100, donde demostró como con una simple vulnerabilidad era capas de saltar la autenticación de ciertos modelos de routers y con ello ganar control total del mismo, realizar ataques de denegación de servicios, etc.

Experiencia Personal

Por otra parte, creo que lo mas importante que me llevo del evento fue conocer a grandes personalidades de la seguridad informática de Latinoamérica y España, convivir de cerca con ellos, ir a cenar juntos, recibir sus consejos, aprender de su experiencia, gente que lleva mas de 10 años en la industria y que muestran una gran humildad hacia los que apenas vamos empezando, es un sentimiento muy padre.

Haber tenido estas experiencias me hacen creer que las decisiones que he tomado hasta el momento en mi vida profesional y que me han llevado hasta donde estoy ahora han sido las correctas o por lo menos no la he %#$% tanto :p.

De regreso a México, en el aeropuerto de Manizales, platicando con un amigo español Hesaúl Sánchez, del equipo de ciberseguridad de Telefónica, me dio uno de los mejores consejos que he recibido jamás y que quiero compartir con ustedes, lo que entendí fue mas o menos esto:

Hay que aprender a venderse, demostrar de lo que somos capaces y lo que podemos aportar a la comunidad, las oportunidades están ahí, solo tenemos que ir y tomarlas. Hay gente con muchísimo potencial ahí afuera pero no sabe como venderse y al final terminan siendo administradores de sistemas o desarrolladores en alguna empresa pequeña que nadie conoce.

Por eso mi apuesta es a la investigación, platicaba con un amigo @ctoxtli, si bien la investigación no es algo que tenga mucha prioridad para la gran mayoría de las empresas en México, si te puede hacer ganar viajes todo pagado a países remotos, por eso yo los animo a participar en todos los call for papers, sea cual sea su área de especialización, puede que de 100 eventos los acepten en 1 y entonces comenzaran a forjarse una reputación en su comunidad :). Al final del dia lo que pienso es:

Cualquiera puede viajar como turista a un país extranjero, pero no cualquiera puede viajar como invitado a compartir sus conocimientos y experiencias para la comunidad.

Los dejo con algunas fotos y videos sobre el evento!

CPOo941WcAAm_YN

Mas fotos del Security Room

12019912_501735546663027_2704244810881193144_n photo_2015-09-22_15-02-09 photo_2015-09-22_15-02-32 photo_2015-09-22_15-03-40

Saludos especiales para:

@hkm @calderpwn @MateoMartinez1 @luisco100 @Hesaulsr @javierantunez @jjtibaquira @camicelli @NoxOner @UnaPibaGeek @lawwait @SamuraiBlanco @DragonJAR @jofpin @Mazt0r @acorazada @Dylan_irzi11 @ElZ00Rro @BatmanEsFriki

Una disculpa si falta alguno, pero es que son tantos nicks que no los recuerdo todos XD

Si quieren revisar la lista completa de talleres y conferencias impartidas durante el evento lo pueden hacer en el sitio oficial DragonJar Security Conference