La invitación mencionaba una competencia de hackers, y distraídamente la confundí con un CTF. Pero no. Era la presentación de Radware, preparada como un concurso de hacking. Textualmente, se llamaba Hacker Challenge, y fue uno de varios que la empresa organizó en Latinoamérica. Cuando llegué al salón de céntrico hotel, me encontré un rack con varios equipos, dos pantallas y varias mesas con participantes del certamen, más un centro de datos ficticio que era el blanco. Y un público numeroso.
En el rack se demostraba el uso de dos productos de Raware: DefensePro, empleado para prevención y protección de DDoS y mitigación de ataques, y Alteon, un balanceador de carga y controlador de entrega de aplicaciones. También había un firewall Fortinet 200B y una UPS.
A eso se agregaron tres integrantes de Radware, que no pararon de hablar en las cuatro horas que duró la reunión, excepto en un descanso intermedio para café y charla distendida.
Quien más se extendió en explicaciones fue Arie Simchis, Director Regional para Latinoamérica. Presentó a la compañía (Radware de Estados Unidos), presentó el certamen, presentó a los dos técnicos que lo ayudaban en la tarea, Oscar Sierra Garcés y Tobías Satoyo. También presentó a los hackers (sin dar nombres) y comentó que a través de wifi había más, entre el público o vía Internet.
Yo me aguanté calladito que se usara la palabra hacker como sinónimo de malvado atacante, lo cual es incorrecto, pero qué le vamos a hacer, hay que ser educado.
Como yo ya había hecho los deberes, antes de detallar qué se hizo, quiénes lo hicieron y cómo terminó la reunión, te paso algunos links para entender un poco del contexto.
Empecemos por el inicio de la empresa madre en Israel, Rad Data Communications, que para este especialista de CNN Money es la más exitosa incubadora de startups del mundo. El redactor, Michael Myser, nos acerca una frase de los fundadores de la empresa que es un magnífico resumen: “identificamos un nicho, desarrollamos un plan de negocios, contratamos un CEO, y les decimos que inicien la R&D; en ese momento, no tenemos un producto determinado”.
Los hermanos Zisapel (los fundadores) aprovecharon la tradición del Technion israelí, esa especie de MIT eminentemente práctica, y atrajeron a varios de sus egresados. En veinte años el grupo desarrolló empresas como Radware, que llegó ahora a proveer (por ejemplo) el software de numerosos modelos de Firepower NGFW de Cisco, tal como prolijamente nos explicó esa tarde Daniel García, CIsco Security Consulting Systems Engineer. Lo de NGFW es next generation firewall, y no me pidan que lo traduzca.
Porque de eso se trata: software más hardware, para identificar, categorizar y detener intrusiones, de manera automática (más o menos).
Manos a la obra, o sea, a los ataques
La competencia estaba dividida en dos partes, con cinco ganadores posibles para la primera y una eliminatoria que dejase tres para la final. En una de las pantallas se proyectaba la interfaz de usuario del equipo en demostración, mientras Oscar o Tobías detallaban qué tipo de ataque había sido detectado y cómo se lo detenía.
Entre elogios a los hackers presentes y comentarios sobre cómo se los había detectado y frenado, pude saber de un interesante componente: el *fingerprinting* de la máquina atacante.
Según detalló Arie Simchis, todo se inicia cuando es descargado en la compu del visitante un javascript que reside en el website de su cliente. La ejecución del script devuelve muchos más datos físicos que los que informa un browser, incluyendo la IP de origen, resolución de pantalla, sistema operativo y varios etcéteras, a fin de identificar con bastante certeza a una máquina determinada cuando regrese. No llegué a preguntar el tamaño de la base de datos que están levantando, pero en estas épocas de big data, ya no es relevante.
Como yo sospechaba, los esforzados hackers presentes lograron intrusar medianamente la red-blanco pero fueron frenados antes de que arruinaran algo. La curiosidad me llevó a preservar sus nombres y hazañas para la posteridad. Los comentarios calificativos pertenecen al personal de Radware.
Los más esforzados en la primera etapa, fueron Alberto Pardo, que realizó ataques no estipulados (sic); Luis Ramos logró hacer un exitoso hijack de sesión; Mariano Torres inyectó código, Carlos Mariño intentó un cross site scripting y Gustavo Rodríguez logró un hack en fase preliminar. Esto último fue elogiado y destacado, lo cual indica que entró bastante pero no explicaron más.
De esos cinco pasaron a la final Gustavo, que quedó tercero y dos que habían llegado a un esforzado empate técnico, Mariano y Alberto, con igual puntaje. Lo que definió a Alberto Pardo como ganador fue que usó un script propio (sic) para llegar más lejos (o más adentro, según cómo se lo mire). Ah, para los curiosos, quédense con las ganas: nunca dijeron que contenían los casi idénticos paquetes de los premios.
En el momento de la entrega de premios Arie Simchis aprovechó para llamar al frente a quienes los representan en Argentina, Dacas S.A. que aun con algún ausente, fueron nombrados: el CEO Diego Cascata, Alejandro Meggiotto (director), Gonzalo Diaz, Product Manager para marcas de seguridad y la paciente Nadia Errico, responsable de marketing, proveedora de nombres, marcas y datos.
Resumiendo, fue una forma muy novedosa de presentar software y equipos. La cantidad de información a disposición del público fue muchísima, no hubo tiempo de aburrirse, los PPT fueron sólo dos y muy breves (uno de la casa y otro de Cisco) y oh, maravilla, tanto Simchis como Sierra Garcés y Satoyo contestaron todas las preguntas, que fueron muchas. En cuanto al público, encontré algunos viejos conocidos del palo, más varios ejecutivos de empresa grande (tipo Pampa Energía, por ejemplo) y unos cuantos jóvenes.