viernes, octubre 05, 2007

Post-Mortem

Acabó el evento y he de decir que ha pasado a ser uno de los eventos que personalmente, más me han gustado de los que he participado. Espero que los 190 tipos que allí nos juntamos lo pasaran igual de bien que yo. Los videos no se como se han grabado ni como será la calidad del video o del audio porque los grabamos en plan amateur, pero intentaré ponerlos. Tuvimos un incidente con el LP y cuando iba a empezar la sesión de Tarasco tuve que decidir si se grababa la sesión de Andrés o la mia y del abuelo, así que se grabó la sesión de Tarasco y la del abuelo y mia se corta casi al empezar. No dio para más el Cd, pero al abuleo y a mi nos habéis visto y nos veréis con más facilidad que al señor Tarasco.

Todo comenzó con la cena a la que vinieron Dani Kachakil, Pedro Laguna, Olgita y Brero desde sevilla, RoMaNSoFt e Isabel, Aramosf, Mabel, Javi, Rodol, Tarasco, Knovas, Gura, Alex, Paco Zulueta desde Valencia, el chico maravillas, el abuelo, Miguel desde Alicante, Mandingo y el menda (creo que no me dejo a nadie).

Foto de un lado de la mesa: Dani, Mandingo, Roman(de espaldas), Isabel, Mabel, aramosf, Javi, Andrés Tarasco...

La charla la comenzaron Pedro Laguna y Dani Kachakil hablando de SQL Injection y Blind SQL Injection y se curraron las demos sobre Blind SQL Injection en Base a tiempos con consultas pesadas [traducción] en que hemos estado trabajando y las contramedidas. Dani dijo que era la primera vez que lo hacía, pero joder, yo creo que nos engaña, porque lo hace de puta madre. Pedro ya sé que lo hace muy bien porque le he visto varias veces, aunque "alguien" por la note le hizo un DOS con absenta la noche antes y nos lo trajo un poco resacoso. ;)

Dani Kachakil (con el micro) & Pedro Laguna

Después vino Roman. La primera vez que hablaba en público. Entre Isabel y yo conseguimos que se subiera al escenario y nos diera un sesión sobre como se enfrenta él ante una auditoría de una aplicación web. En este caso eligió el Reto Hacking III para contarnos que pistas, razonamientos, tecnologías y herramientas uso para pasarlo. Nos publicó el solucionario del reto III hace tiempo explicándolo, pero verlo en directo y de su voz estuvo perfecto.

RoMaNSoFt, otra vez de espaldas...

Mandingo nos sorpendió con una charla en la que nos mostó otro lado de realizar una auditoría, como debe enfrentarse alguien ante el reto de encontrar los fallos en las aplicaciones web. Personas que hacen tecnología que van a ser atacada por personas. Como llegar a la persona detrás de la tecnología, el entorno es muy heterogéneo, hay que adaptarse... Una charla para reflexionar. Moló. También nos mostró algunos ejemplos de Pipper [a partir de ahora paiper gracias al bautismo de Roman], la herramienta que usa él para "plasmar sus ideás". ;) Yo que tuve la suerte de pasar bastanes horas con él he sido el que más he aprendido en estos dos días seguro.

Mandingo puro!

Las diapositivas de la sesión de estos dos piezas las ha colgado RoMaNSoFt en su web.

Luego vino es señor Andrés Tarasco, elegantemente enfundado en traje (erés un crá!) a contarnos "a que dedica el tiempo" y como utilizar la herramienta Fscan para detectar vulnerabilidades en servidores web, dispositivos de conexión, etc... Estuvo muy tranquilo y explicandolo todo muy, muy bien. Nos contó como personalizar los scaneos con FScan, auqnue aún no nos ha permitido descargar la última versión de la tool. De momento la herramienta está descargable en la web de 514. ¡Gracias por venir Andrés!

Andrés Tarasco singing

Luego nos tocó al abuelo y a mi, pero procuramos no hacernos muy pesados, así que intentamos ir ligeritos. Nuestra sesión habló sobre LDAP, y contamos cosas como los el tema de ayer de la captura de credenciales LDAP y sobre LDAP Injection. Para que podais acceder a lo que contamos os voy a publicar en tres post un gran extracto del artículo que he publicado sobre este tema en la Windows TI Magazine de este mes y que tendréis disponible en su web en breve. Aquí os dejo el primero:

- LDAP Injection & Blind LDAP Injection (Parte I de III)

Y poco más, gracias otra vez a los que me trajísteis un regalo, y espero seguir viendoos.

Saludos Malignos!

15 comentarios:

  1. @maligno: Varias puntualizaciones:
    - "de espaldas". Al menos en la primera foto no se si se ve pero me pillaste hablando por el móvil, ni me enteré de la foto, y aparte, no se oía nada!
    - "paiper". Entendí que era lo lógico (inglés) ya que la herramienta se escribe "pipper". Para ser "piper" debería haber sido escrito de la misma forma que suena, para no pegarle una patada a nuestro querido español! :-) Por cierto, que a mandingo se le acabó escapando lo de "paiper", no se si os fijásteis (aparte del comentario que hizo al principio, donde sí fue adrede) xDDD
    - me interesan comentarios constructivos sobre mi charla (sobre todo los fallos, que es al fin y al cabo de lo que se aprende), aunque para eso mejor me escribís en privado. Mi e-mail es fácil de encontrar en internet (tengo una colección de viagra que no veas...)
    - a ver cómo salen esos videos, esperamos ansiosos xDD
    - ah, y respecto al catering, que yo apenas lo olí, los colegas se guardaron bandejas enteras que ni siquiera llegaron a sacar!! :-)

    -r

    ResponderEliminar
  2. Roman, te quedaste sin comer pq estuviste tocando mi Vista.... hasta yo comí!!

    :P

    ResponderEliminar
  3. Eh, que yo también estuve en la cena. Como si no se me viese bien!

    Para mi ha sido "El evento". No me ha dejado indiferente....

    ResponderEliminar
  4. Muy buena la conferencia chicos. Todo me gustó mucho (incluído el semi-juankeo del gobierno de chile) XDD

    Intentamos luego acordarnos de la página pero se nos olvidó :)

    ResponderEliminar
  5. A ver si se les olvida en el pié de página de las ppt. La idea del directorio de direcciones de correo está muy bien... pero es que estaba TODO ahí, con permiso de lectura a todo el mundo... Mi compañero de curro cuando saliamos del recinto me decia: Cada vez da más miedo hacer una aplicación web y publicarla en internet.

    ResponderEliminar
  6. Cojonudo el evento. Mis únicas quejas son 2:
    1) Se me hizo corto (hubiera estado todo el dia)
    2) El catering pensó que el público serían muy frikis, porque no había azucar para el café xD (al menos en la mesa de la derecha)

    Me gustó mucho la idea de explicar parte de las charlas con los retos hacking, enseguida se capta la aplicación práctica de cada técnica (aunque no tengas ni idea).

    Muy muy encantado del evento, ojalá organiceis más en esta línea.

    ResponderEliminar
  7. Eh Maligno! que yo no engaño a nadie, de verdad que era la primera vez que exponía. Creo que me sabía la teoría y solo era cuestión de ponerla en práctica, como todo en esta vida... Pero no me irás a comparar a los novatos que expusimos por primera vez con los que realmente sois los auténticos expertos y profesionales en esto. Nada que ver ;-)

    @Romansoft: ¿De verdad que se guardaron bandejas del catering? Ahora entiendo por qué te quedaste ahí fuera durante un ratillo más, jeje.

    @Kartones: El azúcar estaba en la mesa de la izquierda (yo también tuve que buscarlo, pero al final lo encontré). Había una bandeja enorme con todo el repertorio de endulzantes del mercado.

    De nuevo, gracias a todos los asistentes y gracias por vuestros comentarios tan positivos en general. Para mí ha sido toda una experiencia (como también lo ha sido el tener un pinchazo en plena autopista R3 saliendo de Madrid, jeje. La próxima vez pillo el tren) ;-)

    Por cierto, espero que los vídeos tengan más calidad que esas fotos hechas con el móvil detrás de un cristal... (aunque casi que mejor, que así no se nos reconoce, jeje) ;-)

    Saludos!

    ResponderEliminar
  8. Buah.. que eventazo me perdi.

    PD: @MaloMaligno: me debes aun el video del evento del 27 de Julio!

    ResponderEliminar
  9. Otro espectador que salio contentísimo de la charla :)

    Estuvo genial, felicidades, y a ver para cuando cae el segundo reencuentro ;)

    ResponderEliminar
  10. Ha sido genial!, da gusto conocer a gente tan inteligente, y sobre todo tan noble. Mereció la pena, perderme en la ciudad donde vivo, andar casi hora y media pa! llegar a casa, dormir 3 horas (vestido), despertarme con una resaca bestial, y disfrutar de la charla de unas mentes tan jodidamente creativas. Pa la proxima cena también me apunto, pero por diox!, como poco que sea Jueves!.

    Espero se repita pronto.

    RET

    ResponderEliminar
  11. @Gura, dios, que error, luego lo corrijo.

    @Anónimo y Gura, limpiaremos las ppts...

    @Kartones, hacerlo de día entero es muy dificil, pq hay que gestionar la comida, etc... pero tal vez la próxima sí sea de día completo,... ya veremos. Me alegra oir tus comentarios.

    @Dani K., lo hicieste igual de bien o mejor que los que llevamos más tiempo. Siento lo de la rueda, y lo de los videos... no se yo como habrán salido.. ya veremos..

    @Sirw2p, ayer me los tenían que haber llevado, pero... Victor, aún no los trajo, así que insistiré...

    @Anónimo, me alegro que te gustara.

    @Rodol, te voy a compar un GPS para el reloj...

    XD

    ResponderEliminar
  12. ande ta' la ppt de Roman? no la encuentro.. :(

    ResponderEliminar
  13. Aquí están las PPTs de Román
    http://www.rs-labs.com/papers/
    y las de Mandingo
    http://www.yoire.com/

    Saludos!

    ResponderEliminar
  14. Gracias a todos por el eventazo.
    Por cierto ¿donde se pueden descargar las presentaciones de Dani y Pedro, y la de Tarrasco?

    Ya que te veo por aqui Dani, la duda que me contestaste no me funciona, lo de poner un like en la consulta para averiguar el nombre de la base de datos.

    Gracias de antemano. Y perdon si esto no va aqui.

    ResponderEliminar
  15. @Sr. M0k0: Mándame un mail con lo que buscas exactamente, a ver si te puedo ayudar: d_ni@k_ch_kil.com (adivina la vocal que falta) ;-)

    Un saludo!

    ResponderEliminar