martes, 20 de abril de 2010

Combat Training



Este nombre puede sonar algo raro y para las personas que no estén familiarizadas con la terminología ninja les puede sonar algo absurdo, pero no se asusten, solamente es como los amigos de Base4Sec le denominan a uno de sus tantos entrenamientos.

En Colombia por primera vez se realizó un entrenamiento de este tipo y no es que la temática fuera desconocida o se fueran a desarrollar técnicas exclusivas, el punto es que en Colombia no estamos acostumbrados a realizar entrenamientos intensivos [ (7:00AM - 7:00PM)x5 ] con un contenido técnico alto y con una metodología orientada al desarrollo de actividades practicas.

¿Como se trajo este entrenamiento a Colombia?

La tarea la hizo dragon, lider de la comunidad dragonjar, él se encargó de hacer el contacto en Argentina y se volvió partner colombiano para el primer entrenamiento en la ciudad de Bogotá, que por motivos de alta demanda se convirtió en dos entrenamientos, este segundo cambiando su sede a la ciudad de Medellín y ahí es donde entra el HackLab, un lugar que se esta dando a conocer en la ciudad de Medellín, un espacio acondicionado lo mejor posible para desarrollar todo tipo de actividades en torno al tema de seguridad informática, con personal calificado y dispuesto a interactuar con todos los participantes, pensamos que ese era el lugar propicio para que los asistentes se pudieran concentrar en adquirir todo el conocimiento posible durante toda una semana y creo que los organizadores también lo consideraron así.



¿Que cosas se aprenden en un Combat Training (CT)?


En el PDF que contiene la descripción del entrenamiento están los detalles de los módulos que se orientan durante la semana del CT, pero en términos generales se aprenden las técnicas básicas y avanzadas que usa un intruso con conocimientos en hacking para perfilar un objetivo (conocer todo lo que pueda de este), detectar vulnerabilidades en ese objetivo (puertos abiertos, servicios mal configurados, errores humanos, malas políticas de seguridad, software no actualizado, etc), y usar herramientas de ataque reales que le van a permitir ingresar remotamente a este y obtener control del mismo. Todas estas técnicas se aprenden para diferentes ambientes, por ejemplo redes cableadas, inalámbricas, servicios por web, conexiones remotas (VPN, IPSEC, SSH), etc.

Lo interesante de todo esto es que los temas se plantean de una forma práctica donde el participante puede verificar en tiempo real sus propias (de su casa, su negocio, su empresa, etc) vulnerabilidades y con la ayuda de los instructores y de sus compañeros aprender las posibles contramedidas para remediarlas.

Para finalizar el entrenamiento los amigos de Base4Sec realizaron un Capture The Flag (CTF), lo que se considera como un reto final para todos los participantes, este reto permite que los asistentes pongan a prueba el conocimiento adquirido y la destreza en el manejo de las herramientas que se aprendieron durante el entrenamiento. Piensen en este reto como un "todos contra todos " mezclado con un "vale todo!", la única limitante fue el tiempo que no pasó de 3 horas y media.

Una vez superado ese tiempo solo se veian caras de agotamiento, de estres y de felicidad para los que hicieron mejor "el trabajo".


Para mantener el contexto ninja, los premios para los 3 ganadores fueron en su orden: Una espada ninja (katana), un estrella ninja (shuriken) y unos cuchillos ninja (Kunais), que me disculpen los expertos ;)

Para mi sorpresa todos eran de verdad, con filo y contramarcados :P



¿Qué puedo decir de este Combat Training que pasó por la ciudad de Medellín?

Me parece que es un evento que vale la pena, que para mi asombro fue un evento al que asistieron personas que llevaban mucho tiempo en el mundo de la seguridad informática, pero también personas que apenas comenzaban sus carreras como ethical hackers, pen testers o auditores. Me dió mucho gusto ver que personas que apenas manejaban conceptos básicos de seguridad se sintieran tan cómodos leyendo el material y siguiendo los ejercicios, obviamente la magia no esta en los libros, la magia la hacen los entrenadores y la metodología de entrenamiento que usan para saber llevar de forma personalizada a cada uno de los participantes del curso hasta la meta.


Me gustó también ver a la gente integrada, compartiendo de una forma abierta y socializando dentro y fuera del entrenamiento, esto definitivamente es algo necesario para asimilar todo lo que se vive en una semana.


¿Qué espero?

Que en la ciudad se abran mas espacios de estos , que en el país se generen proyectos e iniciativas de este nivel que permitan que la "escena" relacionada con el mundo de la seguridad de la información se mueva mas y no excluya a todos esos profesionales y no profesionales que tienen algo que compartir. Espero también que no sea la última vez que nuestros amigos argentinos estén en el país y que pronto nos podamos volver a encontrar en espacios similares a estos.

Gracias a todos los que hicieron posible realizar este evento en El HackLab, a Dragonjar por la logistica y hacer los contactos pertinentes, a todo el personal del HL por estar tan dispuestos y atentos para que todo saliera bien, a CHK por invertir en los detalle$$ técnicos y logísticos para organizar el espacio y obviamente a los entrenadores Don Leonardo y Don Jeronimo, por aguantar 2 semanas seguidas de entrenamiento y seguir teniendo la actitud correcta para atender a cada uno de los asistentes.

Los entrenadores!

OT: no puedo dejar de decir estas cosas:

1. Capté el momento exacto cuando 20 minutos despues de iniciado el CTF el concursante oskar tenía el 90% de las maquinas controladas, si el CTF hubiese terminado en ese momento, oskar tendría la katana colgada en su cuarto, pero un CTF se juega hasta el final :)

2. Concluyo que las mujeres hackers existen!

3. Y que los ninjas también XD



Hasta la próxima.

El HackLab



Sí, claro que sigo vivo.

A veces me preguntan que porque no he vuelto a escribir nada, que pareciera que ya no leo, no investigo, no experimento nada. A veces se tiende a creer que un periodo de calma se debe a una falta de hacer, yo lo entiendo mejor como un periodo de planeación ...

Hace tiempos que sueño con que exista un lugar en la ciudad donde las personas puedan ir a compartir abiertamente lo que saben acerca de los temas de seguridad de la información, un espacio donde las personas no tengan que esconderse y sentirse incomodas porque van a ser señaladas como h4x0rs o "juackers" (a veces pareciera que es difícil cargar con la responsabilidad de estar trabajando en el mundo de la seguridad y es necesario usar este tipo de expresiones para que no pese tanto ... ).

Creo que es un sueño compartido, creo haber escuchado a muchos amigos decirlo en ocasiones, creo que hay personas que también anhelan espacios así, donde puedan mejorar su nivel técnico, donde puedan conocer personas afines que se relacionen con estos temas, espacios neutrales no sólo de marcas y de tecnología, donde la comunicación se extienda del mundo virtual al mundo real, donde se puedan conocer esos hackers cara a cara sin necesidad de esconderse tras de mascaras de delincuentes. Donde se promueva la libertad del conocimiento, la indagación y la innovación como primer paso para construir grandes cosas, donde el hacking ético haga parte del espíritu de los visitantes, un espacio con cultura desde donde se apoye la formación académica, la creación de proyectos, la investigación aplicada y el trabajo colaborativo en todos estos ámbitos.

Creo que estamos construyendo este espacio, creo que hasta ahora vamos muy bien, somos conscientes que no lo sabemos todo, entendemos que no somos los mejores en todas las áreas, pero tenemos la certeza que si estamos abiertos a conocer mas personas, a compartir lo que tenemos, algún día habrá suficiente talento reunido para hacer todo lo que soñamos!

Bienvenidos!


nota:
Post dedicado a todas las personas que estamos creyendo en este shared dream ;)

Entradas populares