Asi fué el BSides Puerto Rico 2013

Continuando con los "Así fue" de este año, hoy voy a contar mi experiencia en el BSides Puerto Rico 2013, los BSides son eventos descentralizados que normalmente son generados por las comunidades en diferentes regiones, teniendo como primicia aportar contenido técnico, sin vendedores ni comerciales que eran los tipos de eventos que se veía normalmente en diferentes países.

BsidesPR

En pocos eventos se puede conseguir la combinación perfecta, entre un destino paradisiaco y un contenido técnico de primer nivel, pero el BSides Puerto Rico 2013 y su equipo de organizadores (Carlos “Dark Operator” Perez @carlos_perez, José A. Arroyo @talktonit , Johana Martínez @JohanaMRPhD y José L. Quiñones @josequinones), lo han conseguido con toda seguridad.

Primero tenemos la ciudad San Juan de Puerto Rico que es realmente un espectáculo, un sitio del cual realmente no te quieres ir, como podemos apreciar:

BSidesPR-0

En segundo lugar tenemos el contenido, con ponentes de primer nivel que se dieron cita en el Puerto Rico's Convention Center para compartir sus conocimientos a los asistentes del primer BSides en la hermosa isla del encanto.

BSidesPR-2

Antes de empezar con los contenidos que teníamos preparados los ponentes en esta edición, los organizadores expresan sus palabras de agradecimientos a patrocinadores y en general a la comunidad puertorriqueña por apoyar la primera edición de un evento netamente técnico sobre seguridad informática en la isla.

BSidesPR-4

El BSides puerto rico se realizaba en 2 tracks al mismo tiempo, lo que era para los asistentes un cuestionamiento constante por que el nivel de las charlas y conferencistas era tan bueno, que a veces tocaba literalmente tirar la moneda al aire para saber por cual de los tracks disponibles decidirse.

Inicia la jornada de charlas por un lado Royce Davis quien habló de cómo conseguir acceso a un sistema informático sin tener Shell y Moisés Delgado quien exponía su charla "APN functions for e-commerce security" con muy buena acogida en el público de habla hispana.

Owning Computers Without Shell Access

APN functions for e-commerce security

Las siguientes charlas serian la de Vaagn Toukharian, reconocido profesional de la seguridad informática, quien desarrolla parte del Qualys's Web Application Scanner, expone su charla "WebSockets unPlugged" mientras que en el otro track este servidor exponía su charla "Análisis Forense de Dispositivos iOS".

WebSockets unPlugged

Forensic Analysis on iOS Devices

El siguiente bloque de charlas estarían a cargo de Emilio Escobar, quien cuenta su historia de cómo empezó a meterle mano a Ettercap, una herramienta ampliamente usada en el ambiente de la seguridad informática, pero que duró varios años sin actualización alguna y Emilio junto a otros amigos se hicieron a cargo del proyecto y lograron revivirlo, por otro lado estaría Michael Landeck con su charla "Overcoming Objections to Security in the SDLC with a Special Section on Weaponizing QA Test Scripts" .

Resurrecting Ettercap: Past, Present and Future of Malicious Routing

Overcoming Objections to Security in the SDLC with a Special Section on Weaponizing QA Test Scripts

Después del almuerzo, tendríamos a Carlos Perez (más conocido como Darkoperator) quien se desahogaría en con su "security rant" sobre el estado actual de la industria de la seguridad informática.

BSidesPR-6

Security Rant - Back to Basics

José Hernández nos compartía sus opiniones y aclaraba por qué un escáner de aplicaciones web no es un pentesting, mientras en el otro track se encontraba Jason Street con su charla "Love letters to Frank Abagnale (How do I pwn thee let me count the ways)".

Don't be Fooled, Scanning Web Applications is not Pen-Testing

Luego tendría lugar el siguiente bloque de charlas con la charla de Chris Campbell titulada "Addition by Subtraction: How Networked Appliances Affect your Security Posture" mientras al lado me encontraba con mi segunda charla en la que hablaba de las herramientas por hardware que pueden ser útiles a la hora de hacer un test de penetración en una institución.

Addition by Subtraction: How Networked Appliances Affect your Security Posture

Pen-testing in the POST-PC era

Matt Graeber en el siguiente bloque de charlas nos mostraba el potencial de PowerShell con su charla "Practical Persistence With PowerShell" mientas en el otro track Alber Campa no comentaba porque en algunos casos es mejor un test de vulnerabilidades que un pentesting.

The Anomaly of when a vulnerability assessment is better than a pentest.

Con la charla de Eric Milam y Martin Bos "Advanced Phishing Tactics – Beyond user awareness" sobre técnicas avanzadas de phishing, quienes nos mostraban como una técnica "antigua" como el phishing si está bien estructurada puede engañar incluso a profesionales del gremio de la seguridad informática.

BSidesPR-7

Advanced Phishing Tactics – Beyond user awareness

Con esta charla terminaría el ciclo de charlas en el primer día del BSides Puerto Rico, pero organizadores y ponentes del evento en el post-bspr se tomarían "El Viejo San Juan" donde literalmente detenían el trafico, después de degustar las delicias que ofrecía la isla y compartíamos una agradable charla al rededor de una deliciosa cerveza boricua.

BSidesPR-3

Al día siguiente en el ciclo de talleres los asistentes al BSides PR tendríamos acceso a talleres de primer nivel con profesionales como Rapahael Mudge, líder del proyecto Armitage/Cobalt Strike, Carlos Pérez director del departamento de Ingeniería Inversa en Tenable Network Security y colaborador del proyecto Metasploit y Valerie Thomas ingeniera e investigadora en seguridad para Securicon LL y especialista en ingeniería social.

BSidesPR-9

  • Carlos Perez: Powershell for Security Professionals
  • Raphael Mudge: Armitage and Cobalt Strike Penetration Testing Lab
  • Valerie Thomas: Social Engineering Basics and Beyond

Con esto terminaba el BSides Puerto Rico no sin antes recibir un regalo bien particular que hasta donde entendía era ilegal en la isla pero que "podías pasar libremente por el aeropuerto" y este regalo era la tradicional parcha de puerto rica.

BSidesPR-8

Pero no me crean a mi, aquí pueden ver los comentarios de otros ponentes que cuentan su experiencia en el BSides Puerto Rico.

O pueden ver el vídeo creado por la organización para recordar la edición 2013 del BSides Puerto Rico.

Agradezco enormemente a los organizadores y colaboradores del BSides Puerto Rico (Carlos “Dark Operator” Perez @carlos_perez, José A. Arroyo @talktonit , Johana Martínez @JohanaMRPhD y José L. Quiñones @josequinones) por todas las atenciones recibidas y de paso felicitarlos por tan impecable evento, también quiero agradecer a los asistentes de mis dos charlas en el evento quienes tuvieron la difícil decisión de elegir entre los dos tracks que constantemente estaban disponibles.

BSidesPR-5

Subir