miércoles, 27 de diciembre de 2017

Año 2017: Backup. @pablogonzalezpe

Compartir este artículo:
Orgullo. Orgullo de vivir, de sentirme vivo, de no parar, de reír, de llorar, de emocionarme, de crear, de luchar, de salir adelante, de crear mi propia resiliencia. Orgulloso de sentirme un privilegiado en el mundo que nos ha tocado vivir. Orgulloso de levantarme cada día con la ilusión de un chaval que quiere seguir aprendiendo. Me insisten al decir que sigo siendo un chaval, lo cual agradezco, aunque  estos 9 años de carrera profesional en el mundo de la seguridad informática me parezcan 18 años. Quizá porque hace 18 años leía sobre el hacking, sobre los troyanos, sobre lo que era un puerto, un servicio, un escáner, el PQWak2, el Nuke It o el Netbus, llamarme nostálgico, sí lo soy. Pero como he dejado escrito otras muchas veces, simplemente vivo con pasión y convicción. No pierdo la ilusión por lo que hago diariamente.

Simplemente quería reflexionar un poco más allá sobre el año 2017 y no contar solo lo que he hecho o dejado de hacer. Un año da para mucho aprendizaje. Un año y el tiempo acumulado año tras año es el que nos dará las lecciones de vida que nos hacen crecer como personas. Experiencias, pasión, ganas, actitud, ser un ser... vivo. Como he dicho anteriormente, me siento un privilegiado. A veces canso a la gente que me rodea recordándoles, somos privilegiados, tenemos la suerte de hacer cosas que nos gustan y que nos llegan, cuando otros no han tenido la oportunidad. Que nadie regala nada, eso es algo que deberían enseñar en las Universidades (o en cualquier sitio dónde se esté formando mentes), lucharás como el que más, y no te quedes solo con tu aptitud. Ejercita tu actitud. Realmente es ella la que hará puedas llegar dónde tu quieras. La aptitud se consigue, pero la actitud se la trae uno de casa.

Este año no tengo chuleta para contar lo que he hecho o dejado de hacer. Este año dónde comencé con 30, sirve para hacerme ver que la vida tiene otras muchas cosas y que uno se hace mayor, aunque siga llevando capucha y una sudadera a los congresos, aunque lleve mis zapatillas anchas, como diría un buen amigo de "skater", aunque me presente en las reuniones de Telefónica con mi camiseta de manga corta o mi cordón del TIP colgando en el bolsillo trasero derecho. Pero, no quería dejar pasar la oportunidad de ver algunas cosas que he hecho, ya que siempre he defendido que reflexionar una vez al final del año o hacer balance es algo que con el paso de los años, uno mismo valorará, ya que podrás tener un sitio donde recordar y sentirse de nuevo, ¿Por qué no? Orgulloso.

Como dije, no tengo chuleta, así que tiraré de memoria, aquella que recuerda fechas inverosímiles, como dirían algunos compañeros, pero que va flojeando de vez en cuando. Allá por Enero, continúe con mis clases de docente en el Máster de Seguridad Informática de UNIR, y en el Curso Especialista de la UCLM y me sumé al ESIC a través del ICEMD y su Marketing Digital. Aquello fue un reto bonito, ya que acercar la ciberseguridad a gente que estudia Marketing Digital es, al menos para mí, un reto especial. Volví a pasar por el URJC Tech Fest, en su sexta edición. He de dar las gracias a la Asociación de Alumnos y a la URJC porque cada vez que voy me hacen sentir como en casa. Este año repetí por tercera vez como profesor en la asignatura de Seguridad del Máster de Ingeniería Informática. Quizá en el futuro sigamos unidos, ¿Quién sabe? Por tercer año fui a Santander, mi segunda casa, al congreso de Sh3llcon para poder dar un taller sobre Metasploit y Powershell. Grande Sergio y el equipo de la Sh3llcon, hacéis que cada año sea mejor. Sin duda, estaré siempre que queráis. No quería olvidarme de mi querido hackersClub. Lancé la marca con la que se pretendía dar formación especializada a la gente y así ha sido, hablaré de ello más adelante.

En Febrero seguí, por tercera vez, participando en el Máster de Seguridad de las TIC de la Universidad Europea. Es cierto que me gustaría poder dar cosas más técnicas y prácticas, seguro que en la nueva edición, la cuarta en la que participaré, así lo hacemos. Llegó la Morteruelo CON de mi gran amigo Rafa Otal. Otro sitio dónde repetiré siempre que Rafa y la gente de Morteruelo quiera. Recomendado. En febrero seguí con UCLM y UNIR en la impartición de clases. El 28 de Febrero impartí la V Edición del Rooted Lab de Metasploit en Madrid. Como siempre un honor para mi estar en Rooted CON. Además, días después la gente de ElevenPaths, capitaneados por Chema Alonso, presentamos dirtytooth. Además, comenzamos el DTIF de la UNEX, dónde por segunda participé.

Llegó marzo. Rápido y sin dejar parar el tiempo. Llegó Maria Pita Defcon en Coruña. Primera edición, CON de estreno y un gran resultado. Me pareció que llegaron a mucha gente y, al final, aparte de la calidad, se trata de llegar a interesar al máximo número de personas y de jóvenes. Al ser en una Universidad, esto lo lograron.


Tuve la oportunidad de ir a Murcia a dar una charla para hablar del sector de la Ciberseguridad. Una experiencia tratar con jóvenes que estaban apunto de dar el salto al mercado laboral y que veían cómo les hablaban del sector del BigData y de la Ciberseguridad.

En abril, seguramente no tuvimos mucha agua, porque este ha sido más bien seco, pero tuve movimiento. Entre los meses de febrero, marzo y abril acumulé participación en diferentes canales de televisión, Telecinco, Telemadrid o La Sexta, me sufrieron. Además, seguía colaborando en la radio. Seguía con la UCLM dónde di una charla de orientación, así me eligieron para darla, y en el ESIC participé en un programa de ICS e IOT, para dar una clase sobre Ciberseguridad. Además, creo recordar que seguía con las clases de la UNIR por este mes. Una nueva promoción, y una gran experiencia en la UNIR.

En mayo, el mes vino cargado. En las universidades seguía dando clases UEM de forma presencial y en UNIR de forma online. Además, este año he seguido de colaborador docente en la UOC, en la que guardo a amigos y buenos profesionales. Recordaré un taller impartido en hackersClub, ya que fue online-presencial (o síncrono), que "mola más" que uno grabado, sobre mi querido Metasploit. También decir que seguíamos acabando y poniendo los últimos párrafos a un libro especial que saqué con mis amigos Valentín Martin y Carlos Garcia. El libro es el de Hacking Windows, en el que se cuenta como realizar pentesting a este tipo de sistemas.

Llegamos a junio, casi mitad del año. Estoy escribiendo y viendo cómo el año ha sido intenso. Seguro que me dejo cosas, pero estoy estrujando la cabeza. En este mes fuimos acabando clases en las Universidades y hacia mediados de Junio, mi compañero y amigo Álvaro Nuñez-Romero, fuimos a FutureJobs en Coruña. Un evento dónde representábamos diferentes trabajos del futuro, y dónde la Ciberseguridad se encuentra, trabajo de presente, pero también de futuro. De nuevo un evento con gente joven que quiere encontrar su camino. Para acabar junio, hice un minitaller con TSS.


Julio. El mes previo a las vacaciones de la mayoría de españoles. Pero esto no para en Julio tampoco. Cuando uno piensa que en julio no hay nada, todavía teníamos alguna sesión en UNIR. También participé en algún ElevenPaths Talks, en esta ocasión en calidad de invitado sobre el tema.


Agosto. En este mes se fraguó la alianza hackersClub-TSS. Un paso importante para la marca, ya que se integraba con una empresa como The Security Sentinel. Esta alianza hace que los cursos de hackersClub estén en el catálogo de The Security Sentinel y la sinergía nos ayude a crecer. Llegaron las vacaciones y me paré 3 semanas. Sí, necesitaba parar. Cogí aire, me subí a avión, que han sido unos cuantos este año, y volé a centro Europa. 3 países en 6 días. Comí, pasee, disfruté de los tours, de los paisajes, liberé la mente. Siempre bien acompañado. Mi compañera de vida. Mi equipo.


Llegamos a septiembre. Tiempo de Rooted Lab Valencia. En esta cuarta edición tuve un Lab sobre Hacking Ético y una charla que di con mi compañero Fran Ramirez, Anatomy of a modern malware: How easy the bad guys can f*** the world. La Rooted es una CON siempre especial y así lo volvió a ser. Comenzamos las clases de la URJC en el Master de Ingeniería Informática. El reto de nuevo de enseñar seguridad a gente que no tiene porqué interesarle. Challenge Accepted.

En octubre tocó la Navaja Negra. Es volver a casa, te hacen sentir así. La 'comuna' dónde todos estamos juntos y se respira pasión por los cuatro 'costaos'. Tocó ir a Albacete para dar dos talleres: el primero con mi compañero Álvaro Nuñez-Romero sobre Arducky y DirtyPi, mientras que el segundo fue sobre bypasses de UAC y de AppLocker en sistemas Windows con mi compañero Santiago Hernández. También di una charla con Fran Ramirez, el título era el mismo que el de Rooted de Valencia, pero tuvo avances y modificaciones en el trabajo. Participé en alguna charla en Coruña dónde mostraba la visión de la ciberseguridad desde el hacking para empresas de Galicia. Por último, fuimos elegidos por la 8dot8 para ir a presentar uac-a-mola y las investigaciones sobre bypasses de UAC en Chile, pero por motivos ajenos a nosotros no pudimos ir. Una lástima, espero que haya alguna oportunidad más, porque allí tenemos grandes amigos de otras ocasiones.

En noviembre volví a Galicia, esta vez a Vigo, previo paso por Santiago, para volver a estar en un evento con empresas gallegas y mostrar la importancia de la ciberseguridad a nivel de PYME. También tuve el honor de estar en la Honey CON de Guadalajara. Grandes amigos allí. Por último, asistí a Secadmin de nuevo, un placer estar por tercer año en Sevilla con buenos amigos y con ganas de volver el próximo año y poder estar más tiempo con vosotros. Os dejo el video de la charla de SecAdmin.


Por último decir que en la UCLM volví a empezar el Curso de Especialista en Seguridad de la Información e Informática en su tercera edición, dónde he tenido el honor de estar los tres años. Un curso bastante técnico dónde uno, al menos yo, se lo pasa muy bien.

Hago un inciso. Cuando yo tenía 14 años leía cosas sobre un hacker que había ido a prisión. Kevin Mitnick. Nada más y nada menos. En el año 2014, gracias a Chema y Telefónica, pude conocer a Kevin Mitnick y estar sentado con él en una mesa de reuniones. En el año 2017, Kevin pasó un par de días con nosotros. Yo solo pude estar el primer día, el segundo me iba a SecAdmin, pero me tocó hacer la agenda y las cosas que le íbamos a comentar. Fue un día dónde me acordé del chaval de 14 años sentado delante de su Pentium IV que veía fascinado cosas de aquel tipo. El destino hizo el resto.



Llegó diciembre. Un mes especial para mí, siempre lo ha sido por diversas razones, y un mes que desde hace un tiempo traerá cosas buenas y también recuerdos. Siempre. Siempre llevaré diciembre en el recuerdo. Siempre estará conmigo. En diciembre también me hago un año más viejo, pero, espero, que también un año más sabio (jajaja). En diciembre tuve el honor de estar en la cuarta edición del Cybercamp. Disfruté del auditorio con una buena entrada, disfruté de mi segunda casa, Santander, disfruté de la gente, de la comida, del tiempo, del mar, pero me quedé con ganas de tener tiempo para hablar con los del CiberAlisal. Espero veros en Sh3llcon. En el Cybercamp mostré la ponencia sobre uac-a-mola y las investigaciones para el bypass de UAC en Windows.


Y llegó el viaje a Londres. Viaje para ir a BlackHat. Viaje para mostrar a uac-a-mola en la Arsenal. Este año, ElevenPaths tenía dos herramientas allí: DirtyPi y uac-a-mola. Sin duda, una gran experiencia. Aproveché para quedarme en Londres unos días de vacaciones y conocer la vida anglosajona un poco más a fondo. Tenía la mejor guía que podía tener.



A la vuelta de Londres esperaba el CCN-Cert en Madrid. La charla elegida, una muestra de ejemplos de uso de uac-a-mola para llevar a cabo detecciones y explotaciones de bypasses de UAC. Además, se mostró como llevar a cabo la mitigación de un bypass de UAC. Esto es lo bueno de uac-a-mola, que permite: investigar nuevos bypasses, detectar, explotar y mitigar bypasses de UAC. Añadir, que sigo haciendo tareas en 0xword y que el año 2018 traerá un nuevo libro que, espero, algunos están esperando. Pronto en 2018 podréis ver. Además, grabaciones para UNEX y eventos de motivación y concienciación por videoconferencia para ir cerrando el mes.

Cierro el año en casa. Hace unos días me ofrecieron en Telefónica dar una charla en Móstoles, en el teatro El Bosque, sobre transformación digital y la ciberseguridad. Así que, no hay nada mejor que cerrar el año en casa. Eso sí, el día 28 de diciembre, y no es broma, habrá un talk de Pentesting con la "Nueva" FOCA, con el que sí cerraré el año de la mano de Fran Ramírez. Es un punto y seguido ya que enero de 2018 ya tiene muchas cosas que me esperan. Así que toca parar en navidad para comer turrón, coger fuerza y salir hacia un nuevo año repleto de nuevos retos, nuevas ilusiones, nuevos proyectos y ganas de seguir sintiéndome vivo.


Lo que realmente importa es ver a la gente alrededor, ya sea familia, amigos o, incluso, desconocidos que disfrutan de lo que viven, de lo que tienen, de lo que son. Este año he tenido el gran orgullo de poder ver a chavales de 12, 13, 14 años pedir que les firmara un libro, decirme que querían ser como yo, hacer lo que hago, gente adulta y mayores que te piden la firma del libro y diciendo que te siguen. Por supuesto, todo son opiniones y opinable. Me siento privilegiado porque alguien que compra un libro escrito por mí me pide que lo firme, gente que te pide una foto contigo, que te sonríe y deposita un gramo de ilusión en ti. Y tu te sientes tan pequeño... pero tan grande por haber sido capaz de generar un sentimiento tan especial. Es algo difícil de expresar. O te dicen es un honor, y a ti solo te sale decir el honor es mío, porque así es, un verdadero privilegio.

Y para finalizar, solo puedo decir que la gente que está a mi alrededor, que son tu pilar, la que empujan, te sostienen, te ayudan a levantar, los que comparten tu día a día. La gente que te ilusiona con una mirada. Que comparte tu hueco del sofá. Que es tu equipo. Gracias a todos y cada uno. Gracias a ti hacker. Ellos son, como dije anteriormente, lo que realmente importa. 

No hay comentarios:

Publicar un comentario