Reto Ninja - Qurtuba CTF

Hola a todos! Soy Álvaro (@alvarodh5), aunque mi nick es Blackdrake. Ante todo quería dar las gracias a fwhibbit por permitirme escribir en este fantástico blog.

En esta entrada, explicaré como realizar el reto ninja del CTF de Qurtuba, aprovecho para felicitar una vez a toda la organización, pues hicieron un trabajo excelente.

Llegamos al reto ninja, teóricamente el más difícil pues era el que más puntuación otorgaba, comenzamos con un comprimido con contraseña, la descripción es clara: "Visita Is it a game or is it real? para continuar con el reto".

Obviamente no me la iba a perder por nada en el mundo, pero la pista, hizo que estuviera más atento a los pequeños detalles.

Comienza la ponencia y nos encontramos con un vídeo de 10 unido a un temazo hardcore con el que sorprendió a toda la sala a mí incluido, justo después, apareció en una de las diapositivas un personaje bastante conocido:

¿Qué hace charizard en una diapositiva? ¿Será nuestra contraseña?

BINGO! Archivo descomprimido y nos  encontramos con los siguientes ficheros:

Nos dirigimos a visualizar el contenido del fichero PassWords.odt:

Aparentemente un documento vacío en el que lo único que hay es la siguiente cadena:

WARGAMES ENDING

Sin perder tiempo, comencé a traducirlo:

W w    A a   R r   G g   A a   M m  E e  S s      (espacio)

E e  N n   D d  I i  N n   G g

wargames ending

En ese momento y entre carcajadas apareció Fran (el creador del reto) que les enseñó su pc a otros miembros de la organización que compartieron con él las risas. En ese instante supe que el documento escondía más de lo que parecía, aprovecho para darle gracias a Justo que me dijo que mirase bien todo el documento entre risas.

BA-GOSHI TSAH-AS-ZIH TOISH-JEH AH-NAH DAH-NES-TSA BA-GOSHI BE-LA-SANA NA-AS-TSO-SI

CLA-GI-AIH A-CHI A-CHIN TLA-GIN YEH-HES NA-HASH-CHID DZEH

Cuya traducción al castellano es: cybercampincibe

Llegados a este punto, contamos con 3 contraseñas (o eso parece), en este momento nos dirigimos a comprobar que contiene el audio llamado Mr.Robot 1x09.ape.

Al ejecutarlo, nos encontramos con otra canción hardcore… pero el nombre no cuadraba, algo debe esconder. Después de googlear y porque no, de ver el capítulo, llegamos a la conclusión de que se utiliza DeepSound, una herramienta de steganografía exclusiva para Windows, aunque, se puede utilizar con wine. (http://jpinsoft.net/DeepSound/)

Abrimos DeepSound y le pasamos nuestro audio, y como era de esperar, nos solicita una de nuestras contraseñas:

En este caso, h0n3yst4t10n

Y encontramos estos ficheros ocultos:

Ambos comprimidos con contraseña, en un primer momento, pensé que no habría problema, pues aún contamos con dos contraseñas sin usar, por desgracia, ninguna era válida. Qurtuba había finalizado, así que, me puse en contacto con Fran para preguntarle al respecto, le pasé las contraseñas y su respuesta fue la siguiente:

“Ha habido un error, es en mayúsculas, la otra, no es una contraseña, OSINT”

Perfecto, ahora todo tenía lógica, y aunque Qurtuba ya había finalizado y me había proclamado vencedor junto con Diego y Juan, quise acabar este reto.

Por tanto, probamos CYBERCAMPINCIBE y listo! Tenemos el fichero xab descomprimido:

Aparentemente un apk que descomprimiría más tarde, ahora el objetivo era conseguir la otra contraseña, en cuanto comencé a buscar sobre “wargames ending” supe cuál era la contraseña (además, Fran también mencionó unos mapas), recordaba que cuando grabé parte de su ponencia para poder volver a verla de nuevo, me fijé en un código que apareció en el medio de unas pantallas. Por tanto, busqué dicha imagen. Unos minutos más tarde, la tenía y con ella, el contenido del fichero xaa:

Era momento de decompilar el apk para comprobar si escondía algún secreto:

¿Un apk que no se puede decompilar ni descomprimir? Algo falla, para asegurarme, intenté instalarla en un emulador y obviamente, dió error. Por tanto, no era un apk.

Utilicé binwalk para comprobar si de verdad había algo oculto y lo encontré:

¿Un fichero que se llamaba igual que el comprimido? Sospechoso. No pude obtener nada útil de este fichero (ni strings, ni cabeceras etc…).

Era turno del fichero xaa, si antes parecía un apk y no lo era, esta vez, ¿qué tipo de archivo será?

El editor hexadecimal nos confirma que es un RIFF (o al menos, que contiene esa cabecera), me propuse escucharlo y en efecto, solo se escuchaban sonidos y ruidos. 

Analicé el audio por si había de nuevo steganografía, pero sin éxito. Así que, se lo comenté a Fran, que me pasó un vídeo en youtube (Cargando un juego de Amstrad): https://www.youtube.com/watch?v=4S9qTfdUWbc. 

También me preguntó sobre los nombres de los ficheros xaa y xab, le dije que tenían pinta de ser el resultado de un Split, respuesta a la que dió su visto bueno.

En este momento lo tenía claro, había que unir ambos ficheros y ejecutar el juego:

Me volví loco, intenté ejecutar el juego con todo tipo de emuladores sin éxito, así que, investigué sobre las caratulas, intentando generar una, después de haber probado varias herramientas desistí.

En un acto desesperado de Fran que quería ver su reto ninja resuelto, envío este enlace: http://www.rtl-sdr.com/the-international-space-station-is-transmitting-sstv-images/ enseguida encontré un fragmento de texto que llamó mucho mi atención:

“To decode the images it is recommended to use SDR# and pipe the audio into MMSSTV, a freeware SSTV decoding software program”

Instalé el programa y le pasé el archivo generado de la unión de xaa y xab:

Ahí estaba la flag, reto ninja resuelto por fin!

Comencé a entender, que el vídeo de youtube era una pista sobre convertir el audio en imagen y no tenía nada que ver con Amstrad. 

Sin más darle las gracias a Fran, que consiguió tenerme enganchado durante unos días para poder resolverlo.

Espero que os haya gustado!

Un saludo, Blackdrake.

Sobreviviendo a Qurtuba 2016. Ponencias y Talleres.

La QurtubaCON comenzaba temprano así que nos tocó madrugar. Pero esto no nos importó ya que después de la presentación oficial del evento con las autoridades arrancaban las charlas con un peso pesado: la abogada Susana González.

Fotos en la entrada que inmortalizará nuestra presencia en el congreso junto con antiguos y nuevos compañeros.

Durante el desayuno me reencontré con los alumnos del IES Gran Capitán Javier Frías (@javifs94), Jorge Gutiérrez (@jorge_tsw), Moisés Pedrajas (@moxete) y con sus profesores Jaime Rabasco (@jaimerr) y José Ramón Albendín (@jralbendin).

Comenzo Susana y su “Hackers al borde de un ataque de datos”. Evidentemente allí estuvimos para compartir con ella este momento. Un lujazo contar con esta gran profesional para el evento.

La segunda charla fue impartida por David Marugan (@radiohacking) y su “Homemade TSCM” que nos vino con todas sus herramientas de radio para dejarnos con la boca abierta. Una vez más, David nos dejó alucinados contando como realizar escuchas encubiertas. Todo un referente.

La tercera correspondió a Josep Bardallo (@jbardallo) y su “Seguridad en entornos hospitalarios & IOT” donde tratamos el Internet de las Cosas y la exposición de los dispositivos médicos en Internet. Gran exposición.

La cuarta fue para Daniel Medianero y su “Hackeando las emociones: una nueva visión de la ingeniería social”. No olvidaré ese momentazo en el que Medianero tomo el control de todos los asistentes de la sala. Bravo Daniel, como nos hiciste disfrutar. Brillante.

La quinta era para Josep Albors y su “Yo soy cola, tu pegamento. Hacking de videojuegos”, dejando patente que las ciberamenazas también aparecen en nuestros sistemas de juego. Excelente.

La sexta correspondió a Pablo Teijeira (@jpablotg) con el “Retorno del Rey”. Gran profesional y gran comunicador.

Los descansos fueron aprovechados para hacer networking entre los asistentes y establecer nuevos contactos personales y profesionales.

Jorge Websec (@jorgewebsec) intento entrevistarme pero mi pavor cuando me ponen delante de una cámara quedo patente y mi verborrea y capacidad de improvisación se esfuman.

Mi turno llego en el octavo pase. Tome todo el descanso para preparar el video y sobre todo el audio porque si alguien venía con sueño, el hardcore de la intro los iba a despertar. Tanto tiempo de preparación se tenía que ver reflejado en 45 minutos. Y así lo hice. Risas, caras de sorpresa y muchas preguntas lanzadas al público para que fueran conscientes de los riesgos a los que nos enfrentamos a diario con el uso de las nuevas tecnologías.

No me olvide de aquellos amigos ausentes que no pudieron asistir: Julio (@yulietor), Silvia Barrera (@sbarrera0), José Aurelio, Angelucho (@_angelucho_), José Fernandez (@JFS_1969), Marcos Minion, Yolanda Corral, Vicente Aguilera (@vaguileradiaz), Raul Renales (@raulrenales), Jacob Peregrina (@tecnoiuris_es), Alfon (@seguridadyredes), Petrux (@petruxit), Oscar Navarrete (@navaguay), @Pedaguitu … Así no me sentí tan solo allí arriba.

La demo estuvo a punto de fallar, pero alguien hay arriba debió pensar que no merecía eso y finalmente pude acceder en directo al visor de ciberataques. Cerré la charla con un Game Over y un reconocimiento a los que me han dado todo en esta vida. Menos mal que Edu estuvo allí para ayudarme en ese momento.

Ultima charla a manos del murciano, el gran Joaquin Kinomakino con su “Córdoba nos están vigilando” con su arte y forma particular de hacer sus exposiciones. Imposible no divertirse.

La jornada termino con una mesa redonda sobre reporte de vulnerabilidades entre abogados, hackers éticos, Policía y Guardia civil que no dejo indiferente a nadie. Estuvieron Oscar de la Cruz del GDT, Manuel Guerra de UIT, Edu, Miguel Ángel, Susana y Rafael Perales (@d_mas_i).

Destacar también la iniciativa @hacksolidario para el banco de alimentos de Córdoba (@balimentos). Gracias por esa solidaridad.

En la sala contigua se celebró el CTF coordinado por Aran y Carlos García que contenía algunos retos aportados por los ponentes del evento. Nosotros aportamos 5 de los cuales se resolvieron 2. El reto Ninja y su Charizard con 1000 puntos quedo sin resolver. Alta fue la pasión que le pusieron aquellos que compitieron por subirse en el podio. Finálmente algunos no compitieron sino que colaboraron. Destacar la presencia de Álvaro Diaz (@alvarodh5), administrador de Underc0de, que unió sus fuerzas con Juan Velasco y Diego Jurado. La unión hace la fuerza. Entre los participantes Daniel Púa (@arrowcode_),Alex Castón (@alexcaston97) y @rasr98 estuvieron resolviendo retos.

También se celebro el Reto RF, con premios cortesía del grupo NHS (@grupo_nhs) que lo ganaron Carlos García (@cg_sanchez) y Jesús Angosto (@jdangosto) que estuvieron durante toda la jornada intentando resolver el reto propuesto. Y todo el esfuerzo finalmente se vio recompensado. Enhorabuena a los dos. Por fin conocía en persona a estos dos grandes. A ti Carlos te deseo lo mejor en esta nueva etapa de regreso a España.

Fue un día de grandes desvirtualizaciones, por fin conocí a Fran Moraga (@btshell) después de muchos intentos de conocernos que no se produjeron. Guardaré para mí esa frase que me dijiste. Hubiera merecido la pena ir a la CON solo por conocerte. A mi amigo Jesús Angosto, que también llevaba tiempo queriendo desvirtualizarlo y con el que no tuve mucho tiempo para conversar porque estuvo a tope con el reto RF. Y como no al compañero Norberto González (@nicky69es) que también compartió la jornada con nosotros. Sorpresa al conocer a Naivenom de fwhibbit que se presentó sin avisar. También fue un placer poder charlar con Andrés (@cafemigao), Antonio J. Caba (@antoniojcaba), Ismael Morales (@ismasec), Andrés Caro (@_andrescaro_) y José Carlos Sancho (@tatemoheda). Emotivo reencuentro con Alfredo Aguilera, compañero de Policía de Córdoba y amigo.

El almuerzo y la cena, espectacular, con comida típica cordobesa en Sociedad de Plateros y Moriles Pata Negra donde tuve el placer de compartir la cena rodeado de personas a las que admiro como Manu Guerra de UIT y Oscar de la Cruz de GDT. Y es con Manu Guerra precisamente con quien anuncie nuestra intención de presentar un taller en Cybercamp 2016 si finalmente somos seleccionados. El tiempo dirá. Fue un placer estar allí rodeado de tantos amigos. Queda en mi retina la imagen de Rafa Otal, Kino y Josep Albors disfrutando entre risas de la velada. Impagable.

El día fue intenso y personalmente termine agotado. Tocaba recargar las pilas para el último día.

El sábado fue día de talleres y todos estábamos emocionados por poder compartir esas horas con grandes profesionales del sector: Paco Barcos (@pacobarcos1) y Manu Guerra de Policía, María José Montes, Manolo Camacho, Rafa Otal, Carlos García y Pablo González (@pablogonzalezpe), Rafael Perales y Alberto Ruiz (@alberto_sophos).

Edu y Miguel Ángel Arroyo fueron los encargados de inaugurar los talleres tras una breve charla sobre la CON.

Tuve la ocasión de estar en el taller de Rafa Otal, gran persona, gran profesional donde disfrutamos del taller de Pentesting Web.

Aunque todos queríamos participar en todos los talleres eso no era posible y tuvimos que descartar talleres en función a nuestras preferencias. Los comentarios eran bastante positivos con respecto a los distintos talleres y es que no todos los días puedes contar con profesionales de esta categoría y mucho menos gratis. Muchas gracias por compartir vuestro tiempo y conocimiento con todos nosotros.

El almuerzo fue a base de pizza y momento ideal para networking. Yo aproveche estos momentos como si no hubiera un mañana. Desvirtualicé a los abogados Miriam García (miriamg_), David Álvarez (@abogadodavid_) y Victor M. Sanchez (@vicsantor1) con quien tuve la oportunidad de tener una breve pero interesante charla.

Después de estos 3 días ya el cansancio era evidente. Muchas emociones en muy poco tiempo pasan factura.

En el CTF finalmente ganaron Juan Velasco, Diego Jurado y Álvaro Díaz. Unieron sus habilidades para alcanzar el pódium. Imparables. Cuando leo que no hay talento en ciberseguridad, creo que no saben donde tienen que buscarlo. Finalmente será Juan Velasco el enviado a la final de Cybercamp 2016 y competir individualmente para conseguir podio. Mucha suerte para ese difícil reto.

Después de una emotiva clausura de las jornadas llevada a cabo por Edu, se daban por finalizadas las excelentes jornadas de QurtubaCON 2016. Unas jornadas que quedarán en el recuerdo de todos nosotros.

Lo mejor: Organización y Staff. Restaurantes cordobeses para disfrutar de las comidas. Nivel de los ponentes tanto en charlas como talleres. Contar con 19 ponentes de distintas áreas. El lugar para la CON: Universidad y CECO.

Lo peor: Tener la impresión de que el tiempo pasa más rápido de lo normal debido al alto nivel de disfrute de esta CON. 3 días han sido insuficientes, el año que viene una semana XD.

Lo mejor de lo mejor: Paco Sanchez, por todo el trabajo realizado y esa gran entrega a este proyecto. Edu, escriba lo que escriba no explicaría todo el esfuerzo y sacrificio para sacar esto adelante. Solo GRACIAS. Y a ti, Miguel Ángel Arroyo, lo has conseguido. Colocar a Córdoba en el mapa de la ciberseguridad nacional. Dicen que lograr el éxito es fácil, que lo difícil es mantenerlo. Creo que no me equivoco si digo que no solo se ha mantenido sino que además lo has incrementado. 6 millones de impresiones con el hashtag #Q2k16 lo avalan. Impresionante.

Cierro recitando una frase que hace tiempo escribió mi amigo Manuel Guerra de UIT:

¿ Qué es el hacking ? Es la excusa que tenemos para quedar todos juntos.

Y eso es precisamente lo que hemos hecho. Salir de nuestro mundo virtual para compartir en el mundo real todo aquello con lo que disfrutamos con la gente con la que queremos estar. Gracias a todos por formar parte de esta experiencia.

Si alguien me he dejado atrás le pido disculpas. Hasta la próxima CON.

NOTA:

Se busca al propietario de esta cola de pulpo encontrada en las proximidades de la Mezquita de Córdoba. En caso de información, contactar con la organización.

Sobreviviendo a Qurtuba 2016. Previa y H&B Córdoba

Este texto está dedicado a todos los que hicieron posible este extraordinario congreso, especialmente al señor Paco Sánchez (@fscervera), Eduardo Sánchez (@edusatoe) y Miguel Ángel Arroyo (@Miguel_arroyo76).

                        


Esta fue mi experiencia personal antes y durante la QurtubaCON. Para ver todo lo ocurrido en el evento así como fotos podéis buscar el Hashtag #Q2k16 en Twitter.
Gracias a fwhibbit por cederme este espacio.

Dicen que los grandes logros no se obtienen de la noche a la mañana, sino que son el resultado del trabajo y la dedicación. Un logro espectacular está siempre precedido por una preparación espectacular. Y en el caso de QurtubaCON no podía ser menos.

Crear un “QurtubaCON v.2016” y que compilara a la perfección (y libre de bugs) sería una tarea que llevaría meses de desarrollo, trabajo en equipo, reuniones, etc. Nadie mejor que el equipo de desarrollo sabe el esfuerzo que conlleva sacar adelante un proyecto de esta magnitud. Cumplir todos los requisitos funcionales y obtener el objetivo de situar a Córdoba dentro del mapa de la ciberseguridad iba a ser una tarea que requería un gran esfuerzo y mucho músculo. Aunque ya lo consiguieron en la Release 2015, ahora tocaba depurarla y obtener la flamante Release 2016 con nuevas y mejores funcionalidades que mejoraran un producto que ya fue bueno. Siempre parece imposible hasta que se hace, y vaya si lo hicieron, trabajando en equipo, juntos.

No viví esta experiencia desde el punto organizativo, sino desde el punto de vista del conferenciante. Que si bien es una posición más cómoda, también conlleva un buen tiempo de preparación, sobre todo si preparas un video introductorio con música hardcore sincronizada con las imágenes porque quieres captar la atención de toda la sala desde el primer momento. También el exponer en mi tierra era un punto importante y tenía que poner todo de mi parte. Porque el único sitio donde éxito está antes que trabajo es en el diccionario. Y por los aplausos y las risas recibidas creo que lo conseguí. Reto desbloqueado.

Comentar que el trato con los ponentes fue exquisito. Desplazamiento, alojamiento, comidas y todo lo referente a nuestras ponencias. La organización se ha encargado de todo. Resaltar la labor del staff, atentos en todo momento. Así da gusto. Y si a esto le sumamos el lote de productos cordobeses proporcionados por el patrocinador Supermercados Deza pues es para quitarse el sombrero.

Fue durante la Cybercamp 2015 cuando Miguel Ángel Arroyo (@Miguel_arroyo76) me propuso participar en la nueva edición de Qurtuba que se celebraría en la segunda mitad del 2016. En la edición del 2015 no pude asistir por temas profesionales y esta sería una buena ocasión para poder volver a mi Córdoba y exponer allí por primera vez frente a amigos, familiares, profesores y demás. Era una decisión muy importante que tenía que meditar concienzudamente y sin precipitarme, analizando pros y contras, viabilidad de la propuesta y riesgos asociados a la ejecución de la misma. Tras un análisis exhaustivo durante los siguientes 2 segundos, acepté la propuesta de Miguel Ángel.

Fue durante el verano de 2016 en el que mentalmente fue creando el esquema de lo que quería exponer, sabía que los visores de ciberataques los mostraría, pero no quería repetir todo lo contado en Cybercamp 2015. Decidí introducir temas de brechas de seguridad en la ponencia debido a los crecientes leaks que se estaban produciendo en empresas importantes y así hacer conscientes a los asistentes de lo que estaba ocurriendo con su información. El imparable crecimiento del Internet de las Cosas y la exposición de los dispositivos IOT en la red de redes era un tema que me fascinaba y que finalmente incluí. Quería mostrar la amenaza a la que estamos expuestos constantemente pero que no vemos y que mediante sensores iba a poder enseñarlo tanto desde consola como con mis visores y hacer conscientes a los asistentes del riesgo que asumimos si no se hacen las cosas bien. Y por supuesto comparar el antes y el ahora con respecto a los dispositivos que forman parte de nuestra vida. Ya tenía ponencia. Todo esto aderezado de momento retro para poder al público en contexto. Y haciendo referencia a la película Juegos de Guerra: ¿Es un juego o es real?. Ya sabemos que la realidad supera la ficción. Y eso es lo que estaba dispuesto a enseñar.

Una vez montada toda la charla, necesite pasar un exhaustivo control de calidad para depurar todas aquellas imperfecciones que yo, como creador de todo aquello, no podía ver. Necesitaba otro punto de vista diferente al mío. Afortunadamente, las redes sociales te permiten conocer personas que esta dispuestas a dedicarte su valioso tiempo. Fueron Yolanda Corral de Palabra de Hacker (@yocomu), José Aurelio, cofundador de ANCITE (@jagmtwit) y el minión Marcos de Guardia Civil (@_n4rr34n6_) los encargados de visionar todo aquello de primera mano y recibí de ellos todas las críticas constructivas necesarias para mejorar mi exposición y superar así el test de calidad. Ellos no estarían en QurtubaCON por causas diversas y esta era una oportunidad de que también disfrutaran de lo que días después yo iba a exponer. Gracias a los 3 por vuestro tiempo. Eternamente agradecido

Y llego ese día 15 de Septiembre tan ansiado. Dejaba la fría León para volver a la calurosa Córdoba para disfrutar del esperado evento. Todo el verano espameando con mi charla en Twitter y con info del evento. Creo que la emoción se apoderó de mí. Siento haber sido un Spammer. -1 para mí. :(

Era el momento de desvirtualizar a personas con las que ya llevaba tiempo en contacto por redes sociales, reencontrarme con otras que hacía tiempo no veía y conocer a nuevos apasionados de la ciberseguridad de diferentes ámbitos profesionales. Esta parte, para mí, es la mejor.

La H&B Córdoba fue el primer lugar de encuentro. Allí estaban mis compañeros Juan (@juanvelasc0) y Diego (@djurado9), flamantes ganadores del Reto Isaca 2016 que venían dispuestos a disfrutar al máximo del evento y participar en el CTF, donde INCIBE colaboraba y que ofrecería un pase a la final del CTF del Cybercamp 2016. Allí se nos presentó Antonio Jesús (@antoniojlacurva) al cual conocíamos por Twitter, el cual se vino solo desde Almería a vivir esta aventura. Es el ejemplo de persona apasionada en la ciberseguridad que se planta en Córdoba solo con su mochila para disfrutar del evento. Todo un descubrimiento este chico y una futura promesa.

Al entrar en la sala conocí a los alumnos de Edu y parte del Staff Sojo (@rasr98) y Juanmi (@juanmicastellon), el cual se ha criado en el mismo barrio y que ahora sigue unos pasos similares a los mios. Aluvión de abrazos a la entrada al local de Califa. Por fin, conocía a Susana Gonzalez (@sudigitallawyer) a la hace tiempo deseaba conocer, volvía a reencontrarme con Miguel Arroyo, Fernando Lianes (@lianestekpyme), Manuel Camacho (@manologaritmo), Maria José Montes (@mmontesdiaz), Edu, y Carlos Garcia (@ciyinet) que había venido desde Praga para participar del evento. Un gran ejemplo de talento cordobés fuera de nuestras fronteras. Saludé a Enrique Palacios (@enripalacios) y le felicité por su escuela de ciberseguridad que va a formar a profesionales en Córdoba. Mucha suerte Enrique con este proyecto tan ilusionante. Reencuentro con mi amigo Paco Barcos, Inspector de Policía Nacional y con el gran Justo Martín (@klego), gran persona este chico. Desvirtualización de grandes como Josep Albors (@josepalbors), Pedro Caamaño (@cloud_099), Rafa Otal (@goldrak), Mery Pickford (@merypickford), Toni Escamilla (@toespar), mi amigo desde la infancia Manuel Jimenez (@manolitotic), el gaditano Mario Parra(@mpalonso_) y desarrollador de HoneyTrack, Manuel Hidalgo (@manu_orfeo), al gallego Jose Luis (@ciudadano72), todo un apasionado de la informática, mi antigua compañera de estudios Teresa (@teresa_cms), Daniel Medianero (@dmedianero), @soydelbierzo, @ojurado1010, @ingformatico, el extraordinario @kinomaquino, mi gran compañero y amigo de UIT Manuel Guerra (@ciberpolies) …

Como en toda H&B la cerveza es la estrella y aún más siendo celebrado este evento en la fábrica de Califa. Estábamos preparados para la previa a la Qurtuba 2016 con las ponencias de Miguel Ángel Arroyo, Eduardo, Carlos García y los propietarios de Califa (@carvezascalifa).

Miguel Ángel optó por una ponencia de IOS sobre ASLR y el uso de Radare2 que nos dejó sorprendidos enseñándonos ejemplos prácticos de su uso. Tremendo.

Edu nos habló sobre Pentesting Web en Hidden Services dentro de TOR. Y aunque nos hubiera hablado de usar ensamblador en lenguaje élfico nos hubiera gustado igual, porque Edu tiene la habilidad de convertir cualquier charla en un momento épico. Y así fue. Una vez más.

Los chicos de Califa nos dieron a conocer sus cervezas y el proceso de fabricación de las mismas, dejando claro su gran conocimiento al respecto y su pasión por lo que hacen.

Carlos García, nuestro compañero más internacional, nos habló sobre un caso práctico de Phishing, dejando más que claro sus habilidades técnicas. Pero de su ponencia no solo destacó por su nivel técnico sino también esa intro motivadora que nos tocó la fibra sensible. Personas como Carlos, con ese talento, son las que necesitamos en este país.

Enhorabuena a todos ellos por su tiempo y por compartir sus conocimientos.

Una vez finalizado, hora de cenar, de compartir vivencias y conocimiento con los antiguos y nuevos amigos. La cena, espectacular, ese salmorejo, esos pinchitos caramelizados y esas hamburguesas hicieron las delicias de todos los asistentes. Un acierto por parte de la organización tanto del menú como del sitio.

Tocaba descansar para lo que nos esperaba durante los dos días. Primer día superado. Reto desbloqueado.