martes, 20 de abril de 2010

Combat Training



Este nombre puede sonar algo raro y para las personas que no estén familiarizadas con la terminología ninja les puede sonar algo absurdo, pero no se asusten, solamente es como los amigos de Base4Sec le denominan a uno de sus tantos entrenamientos.

En Colombia por primera vez se realizó un entrenamiento de este tipo y no es que la temática fuera desconocida o se fueran a desarrollar técnicas exclusivas, el punto es que en Colombia no estamos acostumbrados a realizar entrenamientos intensivos [ (7:00AM - 7:00PM)x5 ] con un contenido técnico alto y con una metodología orientada al desarrollo de actividades practicas.

¿Como se trajo este entrenamiento a Colombia?

La tarea la hizo dragon, lider de la comunidad dragonjar, él se encargó de hacer el contacto en Argentina y se volvió partner colombiano para el primer entrenamiento en la ciudad de Bogotá, que por motivos de alta demanda se convirtió en dos entrenamientos, este segundo cambiando su sede a la ciudad de Medellín y ahí es donde entra el HackLab, un lugar que se esta dando a conocer en la ciudad de Medellín, un espacio acondicionado lo mejor posible para desarrollar todo tipo de actividades en torno al tema de seguridad informática, con personal calificado y dispuesto a interactuar con todos los participantes, pensamos que ese era el lugar propicio para que los asistentes se pudieran concentrar en adquirir todo el conocimiento posible durante toda una semana y creo que los organizadores también lo consideraron así.



¿Que cosas se aprenden en un Combat Training (CT)?


En el PDF que contiene la descripción del entrenamiento están los detalles de los módulos que se orientan durante la semana del CT, pero en términos generales se aprenden las técnicas básicas y avanzadas que usa un intruso con conocimientos en hacking para perfilar un objetivo (conocer todo lo que pueda de este), detectar vulnerabilidades en ese objetivo (puertos abiertos, servicios mal configurados, errores humanos, malas políticas de seguridad, software no actualizado, etc), y usar herramientas de ataque reales que le van a permitir ingresar remotamente a este y obtener control del mismo. Todas estas técnicas se aprenden para diferentes ambientes, por ejemplo redes cableadas, inalámbricas, servicios por web, conexiones remotas (VPN, IPSEC, SSH), etc.

Lo interesante de todo esto es que los temas se plantean de una forma práctica donde el participante puede verificar en tiempo real sus propias (de su casa, su negocio, su empresa, etc) vulnerabilidades y con la ayuda de los instructores y de sus compañeros aprender las posibles contramedidas para remediarlas.

Para finalizar el entrenamiento los amigos de Base4Sec realizaron un Capture The Flag (CTF), lo que se considera como un reto final para todos los participantes, este reto permite que los asistentes pongan a prueba el conocimiento adquirido y la destreza en el manejo de las herramientas que se aprendieron durante el entrenamiento. Piensen en este reto como un "todos contra todos " mezclado con un "vale todo!", la única limitante fue el tiempo que no pasó de 3 horas y media.

Una vez superado ese tiempo solo se veian caras de agotamiento, de estres y de felicidad para los que hicieron mejor "el trabajo".


Para mantener el contexto ninja, los premios para los 3 ganadores fueron en su orden: Una espada ninja (katana), un estrella ninja (shuriken) y unos cuchillos ninja (Kunais), que me disculpen los expertos ;)

Para mi sorpresa todos eran de verdad, con filo y contramarcados :P



¿Qué puedo decir de este Combat Training que pasó por la ciudad de Medellín?

Me parece que es un evento que vale la pena, que para mi asombro fue un evento al que asistieron personas que llevaban mucho tiempo en el mundo de la seguridad informática, pero también personas que apenas comenzaban sus carreras como ethical hackers, pen testers o auditores. Me dió mucho gusto ver que personas que apenas manejaban conceptos básicos de seguridad se sintieran tan cómodos leyendo el material y siguiendo los ejercicios, obviamente la magia no esta en los libros, la magia la hacen los entrenadores y la metodología de entrenamiento que usan para saber llevar de forma personalizada a cada uno de los participantes del curso hasta la meta.


Me gustó también ver a la gente integrada, compartiendo de una forma abierta y socializando dentro y fuera del entrenamiento, esto definitivamente es algo necesario para asimilar todo lo que se vive en una semana.


¿Qué espero?

Que en la ciudad se abran mas espacios de estos , que en el país se generen proyectos e iniciativas de este nivel que permitan que la "escena" relacionada con el mundo de la seguridad de la información se mueva mas y no excluya a todos esos profesionales y no profesionales que tienen algo que compartir. Espero también que no sea la última vez que nuestros amigos argentinos estén en el país y que pronto nos podamos volver a encontrar en espacios similares a estos.

Gracias a todos los que hicieron posible realizar este evento en El HackLab, a Dragonjar por la logistica y hacer los contactos pertinentes, a todo el personal del HL por estar tan dispuestos y atentos para que todo saliera bien, a CHK por invertir en los detalle$$ técnicos y logísticos para organizar el espacio y obviamente a los entrenadores Don Leonardo y Don Jeronimo, por aguantar 2 semanas seguidas de entrenamiento y seguir teniendo la actitud correcta para atender a cada uno de los asistentes.

Los entrenadores!

OT: no puedo dejar de decir estas cosas:

1. Capté el momento exacto cuando 20 minutos despues de iniciado el CTF el concursante oskar tenía el 90% de las maquinas controladas, si el CTF hubiese terminado en ese momento, oskar tendría la katana colgada en su cuarto, pero un CTF se juega hasta el final :)

2. Concluyo que las mujeres hackers existen!

3. Y que los ninjas también XD



Hasta la próxima.

2 comentarios:

ccamilozt dijo...

que bueno saber que los ninjas existen!!!!!!

mrasse dijo...

Hola, k tal, sabes en k consistio el CTF?


Saludos gracias, feliz año.

Entradas populares