Bueno, estuve juntando ganas de escribir algo muy interesante, bien estructurado y no se dió...disculpen. Voy a poner lo que salió en vez de lo anterior.
Día Uno
Hacia la SSHN4...
Llegué al evento después del laburo, quería arrancar poniendo la cara desde el vamos pero salió trabajo y la debida responsabilidad - hablando del término legal - es un lindo incentivo para poner hs./hombre al servicio del empleador cuando tu voluntad se toma el día libre (no vos); así que ya había pasado la primer charla de Pedro, donde mostró un par de cosas sobre intrusiones y vulnerabilidades que no pude ver, así que arranqué al llegar más o menos, 15.00 hs. del viernes.
El ambiente del equipo de trabajo estuvo excelente durante las dos jornadas, estuvimos mano a mano compartiendo impresiones, charlando sobre tecnologías y técnicas de todo tipo, coca,mate,torta de por medio (ese día había un cumpleaños en ciernes por cierto). Asi que el hall del evento estuvo a full, las chicas de Instel trabajando codo a codo recibiendo gente, orientando invitados y visitas de diversos lugares.
La asistencia
Hablando de los asistentes, fue menos de lo esperado, una lástima; causa probable al 99%: el costo de la entrada. La mayoría de los asistentes estaba repartida en un grupo casi igualado de estudiantes de sistemas, profesionales de informática y profesionales de especialidades no informáticas con interés en el campo de la seguridad.
Hay mucho análisis socio-económico para hacer aquí (no hay aumentos de sueldos en Ctes. hace casi un año, casi todo dicho), lo concreto es que a pocos novatos y estudiantes - normalmente sin ingreso fijo - le sobran $50-35 y la seguridad informática evidentemente no es de fuerte interés en la comunidad de profesionales IT asalariados de Corrientes.
En una nota positiva debo recordar la presencia de muchos interesados que se movilizaron dentro de sus organizaciones mostrando la necesidad de participar de conferencias locales como la SSHN4, logrando no solo el permiso de asistencia sino también la cobertura de gastos y entradas.
La comunidad no técnica correntina y de otras pcias. acompañó fielmente el evento aportando una gran cantidad de asistentes que recibieron al debida atención de los ponentes cuando se simplificaban y se re-explicaban conceptos ya mencionados des-tecnificandolos para mejor comprensión de la audiencia no técnica.
Se mencionó algo también como posible razón de la baja asistencia, el prejuicio - algunos dicen masivo - de muchas personas de IT en Corrientes para con el evento, devenido de eventos negativos de la edición SSHN3-2008, que se hizo en Resistencia. Yo no estoy de acuerdo con esto y creo que el tema económico prevaleció por lejos como razón para no asistir.
Al final creo que se llegó a las 200 personas por jornada, pero no tengo a mano números oficiales, y lo calculo sobre sillas cubiertas a simple vista (el auditorio tiene capacidad para 400 personas aprox.), que eligieron diversas charlas para ir masivamente y algunas no tanto. La idea principal fue al parecer comprar la entrada y venir a la hora en que se esperaba se diera una charla de interés para el asistente (lo que nos dice mucho de cuanto hay que respetar horarios y charlas).
Charlas que no se dieron
Como siempre, puede fallar. Algunas charlas fueron reemplazadas y corridas de horario imprevistamente, justo a media mañana del viernes, por lo que muchos de los compraron las entradas no lo sabían. El motivo fue una afección de salud inesperada de uno de los ponentes y accidente de tránsito (sin consecuencias graves), en el otro caso.
Los imprevistos fueron múltiples - la mala suerte llega en patota decía un amigo - y la gente mostró comprensión en la medida de lo posible y hubo caras largas por varios motivos (permisos pedidos para salir en hs. de trabajo a la cabeza). Finalmente se dieron algunas de las charlas corridas (no sé bien cuales no se dieron porque estuve bastante tiempo fuera del auditorio durante el viernes).
El lugar
Quiero contar un poco el contexto, como estaba el lugar. No conocía de antemano el salón del Hogar Escuela así que me sorprendió lo grande y cómodo que era. Asientos y respaldos individuales con almohadon, tipo butaca...una gran mejora desde los típicos asientos duros de facultad que acostumbramos usar en otros eventos. El escenario tenía buen espacio, tuve que mirar dos veces para razonar que había dos pantallas gigantes. Una tenía proyectada la imagen de un cañon conectado a la notebook del ponente de turno y la otra tenía proyectada - otro cañon - la imagen tomada en vivo de una cámara de video manejada por un operador que estaba constantemente mostrando con el zoom apropiado, las partes más relevantes del monitor del ponente, segundo a segundo durante toda la charla. Groso, esto último no lo vi acá en un evento de informática o me perdí alguno muy bueno.
Desde otro punto de vista quedó habilitada la posibilidad de decir "sí, señor Juez, quedó todo grabado" (por las dudas legales).
El equipo de sonido del lugar estuvo bien dispuesto y no tuvimos problemas en escuchar a los ponentes y a los asistentes en ningun momento, un par de micrófonos inalámbricos le dieron libertad de movimiento a los ponentes, que utilizaban a cada minuto para conectarse mejor con su audiencia.
Los baños estaban bien para ir, no para quedarse; los baños de mujeres suelen tener el requerimiento de quedarse, habría que preguntar a las chicas por críticas de ese lado. Yo les doy un 8 del 1 al 10.
La movida estuvo bárbara, había en el aire las ganas de la gente de ver algo nuevo, de escuchar cosas interesantes, lo que la seguridad informática suele brindar casi siempre a los no especializados en ese ámbito. El arranque fue un bache largo para mí ya que llegué a media siesta pero me contaron que estuvo muy movido mostrandose algunas evidencias de que la inseguridad informática puede estar en cada rincón (muchos hablaban de la charla de Pedro y de repente bajaban la voz diciendo "banco" y miraban para los costados...en fin), incluso los que consideramos y esperamos que sean seguros.
Durante las charlas en breves escapadas y entre charlas se dió la conversación todos contra todos y cualquier asistente podía acercarse al grupo de Instel permanentemente disponible en el Hall y conversar de cualquier tema que se les ocurriera. Hubo poca timidez y la audiencia se lanzaba directamente a los ponentes de charlas anteriores que estaban/estabamos dando vueltas fuera del auditorio para preguntar cosas, aclarar dudas, etc. algunos nos trajeron ideas interesantes, y se armaban rondas de bastante a cada rato, hicimos conocidos que se mantendrán en el tiempo.
Crítica oída: faltó el café y las facturas a la mañana, una mesa con agua fría y jugos, y algun convite a la tarde y coincidí, la comida gratis en un evento pago es esperada y deseada.
El evento
Ví unas fotos comprometedoras para las múltiples dietas en proceso de extinción crónica constante típicas del invierno, donde se veía a los perpetradores atacar rápida y efectivamente cuantiosas porciones de $COMIDA-CHATARRA en el local de comida agraciado con la visita de más comensales que de costumbre, en pleno medio día de almuerzo. Risas y demás, el acompañamiento posta de un pecado bien implementado.
Arranqué en serio viendo las charlas de Bosco y Zapiola ya casi superada la siesta, de muy buen nivel ambas. Bosco debutando como ponente y de primera, muy buen nivel técnico; Zapiola mostrando que si se entiende bien un tema, se puede encontrar la manera de explicarlo de modo simple.
Algo que se discutió puertas adentro fue la posibilidad o no de subir el nivel de las exposiciones de ser meramente demostrativas a directamente ser workshops en vivo sin práctica, y se optó por lo segundo, con resultados a la vista.
La charla de inyección sql recorrió lo básico del tema, después avanzó a otro nivel al tiempo que J.F. Bosco enseñaba a la audiencia las técnicas siguientes en escala de dificultad (Timed Sql Injection y Blind Sql Injection se salen de escala para calificarlas "básicas" o no?), para finalizar esas explicaciones en un largo y detallado paso a paso, explicando punto por punto un caso real de inyección realizada a mano (artesanalmente vs. el empleo de herramientas automatizadas, muy usadas al momento). Se vió claro el tiempo dedicado a perfeccionar las explicaciones para que salga todo bien en vivo, y los asistentes estaban muy contentos al final me pareció.
Al rato arrancó la charla de Zapiola, primero lento, muy tranquilo al estilo de Alejandro, se apreciaba a simple vista la concentración necesaria para condensar un gran cúmulo de información disponible mentalmente en pocas y significativas palabras. Como en el caso de Bosco, toda explicación era tendiente a lograr la comprensión cabal del concepto de parte de la audiencia. Bueno, acá viene la parte en que el almuerzo, el sistema digestivo y varias horas de laburo me dieron sueño, así que salí a despejarme con unos mates en el Hall; vía puertas de vidrio veía como la charla de Zapiola seguía en pie a full (simple de ver: la charla se pone más dura a nivel técnico y nadie se levanta de sus asientos). Aplausos, un ratito de más, rompiendo la idea de que eran para cumplir, ja, Bosco pensó que iba a ser el único con aplausos de más de 5 seg. de duración.
Mucho video, stop, explicación, preguntas, ponente pensante por varios segundos (pensando en serio), respuesta, y devolución de pregunta "¿conforme con la respuesta?", "todo bien" en respuesta, se dieron durante esas charlas explicativas.
Una constante durante todas las charlas fue el que los ponentes interrumpían regularmente sus presentaciones para dar lugar a los asistentes a plantear preguntas, pedir re-explicaciones de temas, etc. Muy bueno eso y espero verlo de seguido en otras charlas porque ya nos mal-acostumbramos todos a no esperar hasta el final de las presentaciones para entrarle a los ponentes con preguntas.
Estuve en las dos charlas y me parece que cualquiera que hubiera tenido ganas de preguntar algo complejo o de buen nivel podía haberlo hecho, si no se dió tal vez fue por decisión interna de cada uno.
Estuvo presente también una audiencia de visitas de muy alto nivel y en ese caso y por ahí conversando calificaron el nivel de algunas charlas en general como un poco básico, lo hicieron sin mala onda, con todo respeto y sin dejar de rescatar la habilidad de los ponentes para enseñar y mostrar todo el conjunto de conceptos de técnicas complejas en poco más de hora y media; yo les hice el feedback de lo del nivel de la audiencia, distinto de la gente de Bs.As. y que hace falta bajar un poco a los conceptos, por eso Bosco, Zapiola y cía. estuvieron a full de conceptos básicos, casi repitiendo papers originales de las temáticas que tocaron, y hablamos de publicaciones de los 90` y principios de 200x. Más tarde durante la competencia de hacking se mostró realmente el nivel de varios locales, y Bosco y Zapiola pedían pista, pero Cacivio les dijo que no, hay que dejar espacio para la nueva generación muchachos...
La tarde continuó para mi en presentaciones de gente y conversaciones fuera del auditorio, aunque pude ver a mucha gente quedarse hasta bien pasada la tarde y ya llegada la noche. Alguno contará que tal les fue en las demás charlas.
Por mi parte conversé mucho con los asistentes al evento, compartiendo información y tips de todo tipo, mostramos fierros (notebooks) y como siempre las otras nos gustan más que la nuestra (había fierros increíbles y las Dell que todo el mundo quiere estaban como plaga por todo el evento). En este punto ví el profile neutro para sistemas operativos de la mayoría, con muchos win-vista a la vista, ja, varios xp ultratuneados (50 íconos a la vista en el escritorio), y claro, varios Ubuntu, un par de Backtracks que todos miraban para ver si estaban haciendo algo "interesante"...sin suerte, solo lectura de papers muchachos, full legal la gente, un chiche.
Conversamos mucho con Leonardo Pigner (kungfoosion.blogspot.com), la visita de lujo oficial y también con Ulises2k (www.ulises2k.com.ar), la visita de lujo no oficial (para la próxima ya va a ser oficial, es la promesa, y vamos a ver si lo convencemos de dar el salto al escenario), ambos especialistas en seguridad sumamente calificados y que vinieron aquí motivados por el contacto con la gente de seguridad IT local, para conocer a estos hackers del interior que estaban haciendo ruido por los foros de la red; se agradece la buena onda, la buena predisposición para hacer de todo, por compartir todo tipo de información técnica, tips sobre seguridad IT sin limitaciones y sobre todo por la empatía con la gente de acá; vinieron de visita, pero jugaron de locales como ya se dieron cuenta a los minutos de estar acá. En algun momento todos nos dimos cuenta que Leo y Ulises estaban entre pares, hablando mano a mano locales y visitas, casi con sorpresa largando jeringoza técnica alegremente y esquivando limpiamente ellos y nosotros el prejuicio típico de que lo de afuera es mejor.
Yo me retiré temprano del evento, cuando el sueño concretó su objetivo con el éxito habitual al que está acostumbrado...los muchachos y la audiencia siguieron un rato largo, y el equipo organizador+visitas se fueron a cenar para recargar pilas. 9.00 hs. era el horario de arranque del sábado y yo ya estaba sintiendo las primeras pulsaciones de adrenalina típicas de la presentaciones.
No hay comentarios:
Publicar un comentario