Una jornada productiva

Hoy que ya estoy en plenas facultades me dispongo a escribir el artículo.

Hace poco menos de un mes me apunté a otra de las conferencias que celebraba Microsoft, Informática64 y otras compañías del sector IT. A Chema se le ocurrió hacer una cena la noche antes con los ponentes, ya que muchos ponentes no son de Madrid, y el echo de hacer una cena y poder reunirlos a todos es algo que no se verá en mucho tiempo.

La cena fue en Casa Mingo, un restaurante asturiano cerca de Príncipe Pío. Eramos cosa de 20-22 personas. Allí tuve el placer de conocer a mi tocayo Ricardo Varela (a.k.a. Chico maravillas) y a José Parada (a.k.a. Padre Parada), así como Dani Kachakil, RomanSoft, Mandingo, Andrés Tarasco, Brero, Miguel, Aramosf, Knovas y alguien más que como siempre, se me olvida. Una vez cenamos fuimos a tomar algo a una cervecería Gambrinus cercana al restaurante, luego a una discoteca llamada 35 milimetros también relativamente cerca y finalmente fuimos a casa de uno de los asistentes donde entre más copas me enseñaban un código de intercepción SSL (Disponiendo de la clave privada, claro). Muy WhiteHat a la vez de instructivo.

Al final me vine a eso de las 5 para casa y me levanté a las 6 y media, con dos cojones. Hacía mucho que no me sentía así… creo que desde la última Euskal Encounter a la que asistí.

A las 8 de la mañana quedé con Churros para asistir a la charla, cogimos la línea C-4 y seguimos el itinerario de la otra vez. La gente fue llegando y al rato se abrieron las puertas. Una vez nos dieron los folletos de S21Sec entramos y cogimos un sitio curioso.

La jornada comenzó con Dani Kachakil y Pedro Laguna, con un tema algo masticado quizá, ya que en la anterior charla que hubo en Getafe el tema principal era la inyección SQL, inyección SQL a ciegas, basada en temporizadores, herramientas de automatización. Contenido interesante pero en mi caso ya visto, aunque no viene recordar.

Acto seguido salió Alberto Moro (a.k.a. Mandingo) junto con Román Medina (a.k.a. RomanSoft). El tema de la charla fue Como realizar un test de intrusión a una aplicación web, muy interesante, tocando muchos puntos clave. A Mandingo se le notaba más nervioso a la vez de necesitar más tiempo y estar menos apurado para dar con soltura la charla.

Había llegado el momento cumbre (¿La gente va solo por el cattering no?). Teníamos hambre y sed, y algunos en especial necesitábamos hidratarnos, por lo que se abrió el cattering con lo de siempre: Mini-napolitanas de crema con chocolate, palmeritas, pastas de té, café, zumo de naranja, etc. En este evento se notaba la mayor asistencia de gente, tanto en las charlas, que no quedaba un puñetero sitio libre, como en el cattering que estábamos a tope en la sala. Entre conversación y conversación un zumito, lo que hizo que el tiempo asignado para el tentempié se pasase volando.

Vuelta al sitio. Ahora aparecía en escena Andrés Tarasco de SIA. Personalmente fue la que más me gustó después de la charla del José Parada y de Chema. Me gusto mucho como llevó la charla, la explicación… muy buen locutor a la vez de técnico y conciso. A ver si le volvemos a ver pronto por aquí.

Y para cerrar la jornada José Parada nos dio unas nociones básicas de qué era LDAP, un directorio, un servicio de directorio, etc. Acto seguido Chema comenzó a explicarnos algo que yo desconocía por completo, Blind LDAP Injection a la vez que utilizaba el Reto hacking 4 y algunos servicios de directorio públicos a modo de ejemplo. Os recomiendo leer algo más a fondo acerca de ello, ya que está muy, muy interesante. Esta fue con diferencia la más interesante pues era algo totalmente nuevo para mi.

Bueno, ha sido una jornada productiva, además de estar invitados Churros y yo a visitar Microsoft Ibérica, algo que puede llegar a ser muy interesante.

Al margen de las charlas, Chema ha publicado en su blog unos artículos acerca de la interceptación de los usuarios y contraseñas de LDAP y como mitigarlo, así como otro artículo de LDAP SQL Injection y alguna foto del evento. Los vídeos y diapositivas de las charlas no se dónde lo colgarán. Se que los asistentes recibiremos un certificado de asistencia así como un link a las ppt y que ponentes como Mandingo y RomanSoft pondrán las diapositivas en su web.

Un saludo.

7 Responses to “Una jornada productiva”


  1. 1 Dani K. 5 octubre 2007 a las 17:58

    Hola Gura!

    Gracias por tus comentarios sobre el evento. A mí también me encantó la charla de Andrés Tarascó y la de LDAP. Por más que nos digan que todos lo hicimos bien, se nota mucho la experiencia que tienen estos profesionales a la hora de exponer.

    Solo añadir que yo no elegí el tema de mi charla, ni la descripción que apareció en la agenda del evento, ni la hora, ni el lugar, ni me asigné acompañante… Todo eso fue cosa de Chema (bueno, todo menos lo de emborrachar al pobre Pedro Laguna la noche anterior al evento. La próxima vez lo controlaré yo para que no se desmadre)😉

    La verdad es que suponía que gran parte de los asistentes ya conocerían el tema de inyección SQL, por eso intentamos no entrar en demasiado detalle para no aburrir al que ya lo conocía (aunque no sabía que era un tema que se tocó en el anterior evento que hubo en Getafe).

    De todas formas, como sigue siendo una de las vulnerabilidades más extendidas, creo que nunca
    está de más insistir en ello😉

    Pues eso, igualmente, un placer haberte conocido. Saludos!

  2. 2 Gura 5 octubre 2007 a las 18:29

    Si, coincido contigo en que al ser un fallo muy extendido nunca está de más machacarlo bien. Me gustó como terminó Chema la charla intentando concienciar a los hombres de corbata de la necesidad de formar a los trabajadores en seguridad y programación de código seguro.

    Espero verte pronto. Un saludo.

  3. 3 Rastreador 5 octubre 2007 a las 18:49

    Pero Gura, dínos donde has estado que no lo has dicho (o yo no lo encuentro)

  4. 4 Gura 5 octubre 2007 a las 18:58

    Lo siento Rastreador. Han sido unas jornadas de seguridad en getafe. Hablé de ella en aquí. Se han tratado temas de seguridad ya que de eso trataba la jornada y es a lo que alude el título Asegurate de que está seguro. Pero aunque la temática es buena, algo muy importante es el poder charlas con profesionales acerca de cualquier duda, forma de hacer tal o cualquier cosa.

    Espero que ahora todo encaje. Voy a modificar el post para evitar la confusión.

    Un saludo.

  5. 5 Maligno 6 octubre 2007 a las 06:32

    Los temas los elegí yo, es cierto, pero en el Blind SQL injection, la parte basada en tiempos y consultas pesadas era nueva, además de las contramediadas, que tampoco la habíamos contado. A mi me gustó mucho como quedó.😉 jejeje.

  6. 6 S4N 8 octubre 2007 a las 16:51

    Buenas!

    Estuve en la charla el otro día y me gustaría saber si hay algún sitio donde descargar las presentaciones, a mi me gustó todo en general, lástima que tuve que marcharme antes de que comenzara la de LDAP.😦

    Saludos

  7. 7 Gura 8 octubre 2007 a las 17:03

    En las webs de Mandingo y RomanSoft tendrás sus PPT. Las de Chema… supongo que las pondrá por su blog.


Comments are currently closed.



Las opiniones reflejadas en este blog son personales o ni siquiera son opiniones, y bajo ningún concepto representan las estrategias, opiniones o posturas de mi empresa actual, ni de ninguna en las que he trabajado, así como tampoco de ninguno de los clientes o proveedores de todas ellas.
La información se proporciona como está, sin garantías de ninguna clase, y no otorga ningún derecho. Los comentarios pertenecen a sus autores y bajo ningún concepto el autor del blog se hará responsable de los mismos.

Categorías

Archivos


A %d blogueros les gusta esto: