Tengo que confesar que hacía bastante tiempo que no me dejaba caer por una de estas conferencias, y no por falta de interés por mi parte, más bien por motivos personales que no vienen al caso. Pero esta vez sí, por fin pude escaparme unos días a ver a viejos conocidos de la "scene" y echarnos unas risas recordando anécdotas de trabajo y también algunas "maldades" de épocas anteriores. Eché en falta a alguna gente del staff de la NcN, que pensé estaría por alli, también a uno o dos de securitybydefault a los que también me hubiese gustado saludar (Yago, campeón, sé que te debo una visita). La conferencia estuvo a la altura de lo que se podía esperar teniendo en cuenta quienes eran los organizadores. Bien organizada y en un ambiente distendido, lo cual siempre se agradece.

Antes de nada aclarar que las conferencias SOURCE no son como las Black Hat. No, no estaba Dan Kaminsky perseguido por ningún "groupie". Lo que sí que me sorprendió en cierto modo fue la poca asistencia teniendo en cuenta el alto nivel de los ponentes. Y sobre todo el hecho de que el 80% de los asistentes eran extranjeros. Entre ellos mucha gente del otro lado del mundo a la que llevo años leyendo. Está claro que la crisis está pasando factura. Si bien es cierto que las entradas no eran muy asequibles para ser en España ... ¿que es eso para una empresa? pecata minuta para muchas, y más habiendo descuentillos si sabes dónde encontrarlos. ¿No interesa la seguridad en este País? Ay, si la gente supiera lo que hay por ahí ... Quiero pensar que la coincidencia con el SIMO y el hecho de que todas las charlas eran en Inglés hizo que más de uno se echase atrás. Es curioso sin embargo la existencia de hasta 5 españoles (si no he contado de menos) entre los que formaban parte de los ponentes y los que pertenecían a la organización de la conferencia.

Las charlas en general me resultaron bastante interesantes, incluso hubo alguna a la que antes de asistir no hubiera apostado un euro por ellas y sin embargo no me defraudaron del todo. Como por ejemplo la keynote de Adam Laurie. "He breaks things". Trató varios temas interesantes, incluso mostró un video donde aparecía abriendo la típica caja de seguridad que hay en las habitaciones de hotel con un par de herramientas sencillas y que cualquiera puede hasta tener a mano. Una demo rápida de lockpicking por ahi. Lo interesante de su charla se centró en los chips RFID haciendo una demostración práctica con el pasaporte de uno de los asistentes. Mostró lo sencillo que resulta tanto leer los datos como escribir lo que quieras en el pasaporte. La anécdota graciosa: le hizo un cambio rápido a la foto del voluntario y le puso la de Osama. Como punto negativo ... comentar que el tema del RFID ya esta bastante "trillao" desde hace algunos años, por lo que en ese sentido y desde un interés técnico yo personalmente no le vi que aportase nada nuevo. Pero en general para alguien que desconozca totalmente el tema de los pasaportes la charla mostraba lo ¿inseguros? que son.

Otra de las charlas que parecía por su título que iba a decepcionar bastante era la de Brian Honan, Knowing Me, Knowing You. Nada técnico, lo que lo hace para mi gusto aparentemente poco interesante. Sin embargo no fue así. La charla comenzó de una forma graciosa, el ponente con sus transparencias en las que se podia leer: My name is Marie Boran, I am a Journalist. My Mother's name is xxx, my date of birth is xx/xx/xx ...etc. Y el tío todo serio, "Yes, I am Marie Boran, Seriously" xD. Hasta la tercera o cuarta transparencia no apareció su nombre.

Bien, ¿de que iba esta historia? la tal Marie Boran es una periodista Irlandesa que quiso comprobar de que era capaz Brian utilizando la información que pudiera encontrar sobre ella en Internet. Las reglas las dejó claras: Brian no podría hacer nada ilegal, tampoco podía contactar ni colaborar con los amigos de Marie ni con sus compañeros de trabajo. El resultado, sorprendente. Brian fue capaz de ir haciendo un perfil bastante completo sobre Marie, cruzando datos de las distintas redes sociales y otras fuentes de información en Internet. Toda esa información recolectada le permitió obtener el certificado de nacimiento de Marie Boran, para lo cual necesitaba entre otros datos el nombre de pila de su madre, así como la fecha de nacimiento de Marie. ¿Como obtuvo Brian este último dato? Fácil, entre las etiquetas de un conocido servicio de fotos online Marie había dejado comentarios indicando que eran fotografías hechas el día de su cumpleaños. El timestamp de las fotos confirmó lo que Brian ya sospechaba por otras fuentes. Brian puso de manifiesto también la posibilidad de obtener un pasaporte físico fingiendo haberlo perdido.

La que sí que me defraudó un poco fue la charla de Jim Reavis, The Cloud Computing Threat Vector. Aunque bueno, para ser sincero mis intereses en ese campo van totalmente desde el punto de vista técnico, y ya al entrar sospeché que no me pintaba bien la cosa xD. Casi me duermo. Lo único que me hizo prestar un poco de atención fue cuando hizo referencia al ataque DoS sobre la nube de Amazón EC2 que presentó la gente de SensePost en la Black Hat 09. Pero sin entrar en detalles técnicos ni comentar quíen lo había hecho. Vamos, que si no conocías de antemano el tema me consta que a alguno le costó entender el concepto y reconocer a que narices se refería. Una charla algo espesa en mi opinión y supongo que "aprovechando el tirón mediatico". A mi personalmente no me aportó nada. Y en cuanto a temas no técnicos la única duda que tenía y que pensé tener resuelta al salir de alli sigo teniéndola. ¿Que están haciendo las empresas que ofrecen servicios de Cloud Computing para asegurar a sus clientes el cumplimiento de las normativas Legales en sus diferentes paises? Jim Reavis básicamente esquivó la respuesta ... cual político de turno "estamos ... trabajando en ello ..."

En cuanto a las charlas de contenido más técnico, me gustó especialmente la de Julio Auto, Triaging Bugs with Dynamic Dataflow Analysis. También destacar la charla de Ero Carrera y Peter Silberman, State of Malware: Explosion of the Axis of Evil. Le dieron un repaso muy interesante a las diferentes tendencias existentes en el desarrollo de malware. Muy buena.

Obviamente me perdí alguna de las charlas, ya que estaban en 2 salas simultáneamente y a veces era difícil decidirse a cual de las dos asistir. Algunas de las que había el martes no me interesaban en absoluto, como la de Pete Herzog. En este caso estoy seguro de que no me perdí nada o casi nada xD. Además la resaca a esas horas de la mañana no es que te anime mucho a aguantar semejante tostón y menos si te picas la noche anterior con un Irlandés a beber Irish Car Bombs. Gran error, lástima que no coló lo de cambiar las malditas Guiness por unas copas de ron, hubiera sido más fácil.

Otra sobre malware que dejó entrever datos curiosos fue la charla de Vicente Díaz y David Barroso de S21sec, donde pusieron de manifiesto la existencia de diferentes "escuelas" dentro de la scene de malware, sus conexiones entre sus integrantes, así como la entrevista vía chat al creador de esos engendros. Es impresionante los negocios de bandas organizadas que hay en Internet entorno al robo de tarjetas de crédito, credenciales bancarias ... etc y la manera que tienen de monetizar toda esa información.

En definitiva, si la pregunta es ¿merece la pena una conferencia como SOURCE?. Sin duda alguna.

Si no has podido asistir a esta, aún te queda la opción de la próxima Black Hat Europe 2010 que se celebrará también en Barcelona, los días 12-15 de Abril.