Alguien te está mirando

Ekoparty: La conferencia de hackers más grande de Latinoamérica contada desde la perspectiva de un usuario. Todo lo que tenés que saber para que no te roben información.

“Aparentemente no puedes hackear una supercomputadora del gobierno, y luego intentar comprar uranio sin que el Departamento de Seguridad se lo chismee a tu madre.»
[text_right]Sheldon Cooper – «The Big Bang Theory»[/text_right]

Día 1. El comienzo

El auto se detuvo a mitad de cuadra. Era una calle más de la imponente Capital Federal o CABA, como está de moda denominarla ahora. Las 12 de un mediodía inestable marcaba el inicio de la 9na. edición de Ekoparty -el mayor evento de Seguridad Informática de Latinoamérica.

Así llegué yo, entre entusiasmada y dubitativa por mi parcial desconocimiento en lockpicking, seguridad física y de software, vulnerabilidades de equipos y dispositivos y tantos etcéteras más como bytes entran en una RAM.

«Son $44,40», dijo con gesto adusto y mirada siempre al frente el conductor de un achacado Chevrolet Corsa.

Inocentemente pregunté si las escasas 30 cuadras que separaban el hotel de Ciudad Konex, lugar elegido por los organizadores para realizar los 3 días de intensivas jornadas de conferencias, ponencias, talleres y charlas ameritaban tal suma de dinero.

Después de todo, Rosario también es una gran city y como tal los ciudadanos experimentamos el constante incremento de la tarifa del transporte público. Pero casi $50 por apenas unas cuadras era demasiado.

«Ustedes los periodistas siempre se quejan de todo», agregó con contundencia mientras sacaba de una vieja billetera negra con el escudo de Independiente los $15 de vuelto.

Era una verdad a medias. Una generalidad banal que tenía cierto grado de veracidad. A los periodistas nos enseñan desde la cuna de nuestros estudios a discrepar por todo. Y esta no era la excepción. Descubrí que enmascarado en prejuicio tenía miedo. Miedo de cubrir un evento tan lejano a mi zona de confort.

El área de acreditación se encontraba sobre el costado izquierdo de una antigua fábrica de aceites. La fachada de los años 20 se mantenía en pie intacta generando un clima distendido y con un aire new age muy sentador.

Me paré justo debajo de un cartel de “Desencajados”, un espectáculo que prometía comulgar la filosofía y la música.

Me reí de la casualidad. Así me encontraba, totalmente desencajada.

Los hackers, geeks y otros apasionados iban pasando en grupos de a tres o cuatro comentando entre ellos, señalando o agendando información en sus smartphones o tablets mientras iban informando sus datos a alguna de las personas que se encontraban en la recepción y que tenían a cargo la tarea de entregar las credenciales de los ingresantes al predio, las cuales contenían el cronograma completo en código QR.

Una vez adentro, la energía de los asistentes contagiaba el ambiente. Era una reunión de encuentro. Un lugar ameno y participativo conformado por cientos de aficionados y profesionales IT de seguridad informática que, despojados de formalismos absurdos y trajes con apretadas corbatas, se encontraban a pasar un buen momento y disfrutar compartiendo lo que mejor saben hacer.

Bajo el lema “Somebady is watching” abrió formalmente la Eko 2013. Y aquel proyecto de unos pocos, que surgió del underground con pasión allá en la década pasada, este miércoles 25 se materializó nuevamente con más de 1500 concurrentes pero con la misma ideología que en sus comienzos.

Riesgos de intrusión en los smartphones

El reloj apuraba el paso de quienes deseaban asistir al primer taller dedicado enteramente a las aplicaciones para móviles y cómo corroborar que estas sean seguras y confiables.

A cargo de Gustavo Sorondo, quien fue el instructor de la actividad, se tocaron tópicos interesantes y actuales dentro del ecosistema de las aplicaciones para smartphones y dispositivos móviles.
También se mostraron, con ejemplos reales, las vulnerabilidades de las aplicaciones basadas en el “OWASP Mobile Top 10”.

La pregunta no tardó demasiado en ocupar mi mente, ¿qué organismo será el OWASP? La respuesta vino de la mano de un joven asistente que estaba ubicado a mi derecha y que amablemente se ofreció a mitigar mis dudas.

«El OWASP es una organización independiente que se dedica especialmente a buscar y luchar contra el software inseguro», aclaró efusivamente, como quien da la primera lección en su materia preferida. Entonces, prosiguió: «una vez que encuentran algo interesante empiezan a desarrollar documentación y estándares de fuentes abiertas (GPL, GFDL, LGPL), para compartir con todo el mundo y así reducir el riesgo de penetraciones indeseadas en las plataformas por medio de vulnerabilidades de las aplicaciones».

Javier era la primera vez que asistía a la conferencia, y todo su conocimiento lo había forjado en forma autodidacta junto a su novia, mientras cursaban los primeros años de facultad.

«Estoy acá porque me recomendó un amigo que viniera. En parte para aprender y otro poco para ver si pego algún laburito copado», dijo sonriendo. Luego se abocó nuevamente a participar de la charla.

Ya había pasado el momento de tensión inicial, ese cuando uno piensa que es sapo de otro pozo. ¿Será que los inicios siempre traen consigo la incertidumbre lógica que implica una adaptación?
En poco más de 1 hora 45″ ya me había familiarizado con los temas y los contenidos.

En resumidas cuentas la mano viene más o menos así:

Una persona se compra un celular con todos los chiches, sistema operativo Android, Windows Phone o Apple iOS. Después empieza, casi compulsivamente, a bajarse de la red cuanta aplicación interesante encuentre, de chat, de juegos, de información y las utiliza constantemente para hacer más fáciles las tareas cotidianas.

Pero a nivel usuario nadie se pregunta quién o cómo se testea la seguridad de estas aplicaciones, especialmente teniendo en cuenta que uno permite que accedan a recursos del sistema. Existe una presunción ingenua de que nadie maliciosamente intentará acceder por intermedio de estas aplicaciones a todo el control del dispositivo móvil. Después de todo, en el inconsciente colectivo se cree que si alguien se tomara el trabajo de hackear no lo harían con una persona común, sino que las víctimas de estos ataques informáticos serían las celebridades, los políticos o los empresarios de elite.

Según Paula Sibillia, autora de “El hombre postorgánico” estamos inmersos en una sociedad controlada digitalmente. Es por ello que la seguridad de los aparatos tecnológicos que manipulamos diariamente, y en los cuales depositamos todos nuestros datos e información de importancia, es una puerta fácil para el acceso a nuestros movimientos.

Lejos de crear paranoia es correcto replantearse a nivel de usuarios cómo funciona y cómo salvaguardar nuestros datos en relación a la utilización de las diversas aplicaciones, ya sean adquiribles, gratuitas, oficiales del market en cuestión o programadas por terceros. Relacionado con esta temática, entre los asistentes se espera con ansiedad para el día siguiente la conferencia de Ayelén Chávez y Joaquín Rinaudo, estudiantes de la UBA, que desarrollaron una aplicación para Android que permite manipular de modo específico cada permiso que pide un programa.

Un intenso primer día de jornada con breaks entre taller y taller para socializar, jugar al metegol o al ping pong, y conversar acerca de Snowden y su denuncia sobre el abuso de poder y la violación de los derechos individuales de las personas, como el derecho a la privacidad que se lleva a cabo por parte de programas de la NSA, dejó a todos extenuados pero con ganas de más.
Es que el segundo día prometía, entre otras cosas, el comienzo de las conferencias y ponencias a cargo de los más talentosos speakers del mundo y el Wardriving en Buenos Aires era una de las atracciones que más ansias generaban.

Las callecitas de Buenos Aires tienen ese qué sé yo, ¿viste? Salís de tu casa, por Arenales y te encontrás con un vehículo lleno de personas que están descubriendo enlaces WIFI para luego crear un mapa de todos los accesos que existen.

Y hay que quererlos así, piantaos piantaos porque en cada una de las actividades que se suscitaron a lo largo del día, ellos se plantaron con la misma pasión y amor por lo que hacen.

Día 2

El barrio del Abasto miraba pasar la muchedumbre congregada en ciudad Konex desde las 9 apenas pasadas. El centro cultural concentra la mayoría de sus actividades de noche, pero desde el día anterior centenares de asistentes hacen cola para entrar al predio o salen de él con la tarjeta de identificación colgadas en su pecho y en la muñeca.

Una señora con aspecto de ejecutiva que pasaba caminando por la puerta preguntó «¿de qué se trataba el evento?». Al escuchar que era una «convención de hackers» miró rápidamente para abajo y siguió su curso intentando pasar desapercibida.

Existe una categorización un poco negativa sobre los hackers, explicó Ezequiel Rapoport, Vicepresidente of Sales de InfoByte Security Research, empresa organizadora junto a Base 4 Security. La gente muchas veces piensa que un hacker es el que penetra los sistemas para robar bancos o información confidencial que después vende a millones de dólares. Es muy Hollywoodense la noción del hacker y se incurre en el error ya que, justamente, es lo contrario: su labor es encontrar las vulnerabilidades dentro de un sistema para prevenir posibles ataques dañinos.

Las conferencias iban pasando una a una y en los tiempos de relax se podían visitar los diferentes stands predispuestos en la planta baja. donde cada uno a gusto podía informarse de las actividades de las empresas o instituciones expositoras, jugar con consolas antiguas en una representación de la evolución de los video juegos más icónicos como el Mario Bros, Tetris y el Wonder Boy, entre otros games que estimulaban la nostalgia de los jóvenes que en los 90 tenían sus primeros acercamientos al mundo gamer.

“Oh, Mario… si pudiera controlar a todo el mundo tal y cómo te controlo a ti… ¡SALTA, RIDÍCULO FONTANERO! ¡HOP, HOP, HOP, HOP»
[text_right]Sheldon Cooper, «The Big Bang Theory»[/text_right]

Los riesgos del voto electrónico

Ya no estaba desencajada sino que disfrutaba jugando y escuchando conferencias. Luego del break de media mañana con medialunas y café de por medio comenzó la ponencia dictada por Harri Hursti, de Safelylocked LLC.

Harri es un programador finlandés especialista en la posibilidad de vulnerar el voto electrónico. Lo interesante de la disertación fue cuando se mostró el hackeo de un sistema de voto por internet.

Además, explicó, que los sistemas podrían sufrir ataques de tipo DoS (denegación de servicio), que sucede cuando se envían excesivos pedidos a un servidor, saturando sus puertos y provocando que un sistema de computadoras y redes resulte inaccesible a los usuarios legítimos, alterando el normal desenvolvimiento del sufragio.

Sistemas ERP, Sex tapes, Android, el origen de Bitcoin, compilador ROP fueron la trama central de todas las actividades programadas para el jueves 26. Luego, los organizadores mostraron su buena onda invitando a todos a una ronda de cerveza en un pub bien porteño para llegar reloaded al último día de la Ekoparty.

Día 3

Todo estaba saliendo tal cual lo planeado. La producción del evento previó hasta el mínimo detalle en cuanto a catering, diversión, entretenimiento y contenido. Se podía palpar que todo el esfuerzo que demanda un hecho de la magnitud que adquirió la EKOPARTY estuvo hecho con dedicación y empeño.

“¿Cómo mejorarlo? Le pondremos Bluetooth. Todo es mejor con Bluetooth.”
[text_right]Sheldon Cooper – «The Big Bang Theory»[/text_right]

¿Protección o Vigilancia?

Una de las últimas conferencias a cargo de Francisco Falcón y Nahuel Riva de la empresa Core Security retrató los inconvenientes de comprar e instalar cámaras SoHo IP en casas, escuelas, negocios u oficinas con el fin de estar seguros y tranquilos, pero descuidando las vulnerabilidades que las cámaras IP pueden traer aparejadas.

A lo largo de toda la ponencia, los hackers demostraron cómo se puede tomar el control de una cámara y ver el contenido grabado en ella, modificar lo que la misma muestra e incluso se pudo observar cómo se puede secuestrar el stream de video que la cámara está grabando en tiempo real.

Todo concluye al fin, como reza la canción de Vox Dei.

Se acercaba el final y la Aftercon Party se iba a convertir en el broche de oro de las tres jornadas. El barrio de Palermo, esta vez, iba a ser el centro de atención. “El Oculto” fue el destino de la celebración de cierre que, como no podía ser de otra manera, se realizó con mucha energía, música y la onda hacker de BA.

El taxi ahora se detuvo en la intersección de calle Niceto Vega y Humboldt. Esta vez no me importó la tarifa y el resto es otra historia.