viernes, marzo 21, 2008

Historia de una charla (II de IV)

************************************************************************************************
- Historia de una charla [I de IV]
- Historia de una charla [II de IV]
- Historia de una charla [III de IV]
- Historia de una charla [IV de IV]
*************************************************************************************************El cliente Web

Para poder realizar todas las pruebas necesarias y afinar las inyecciones y los resultados obtenidos utilizamos en primer lugar un programa cliente llamado LDAP Browser, pero rápidamente se vio necesario crear una aplicación web sintética que pudiera simular consultas LDAP sin filtrar creadas en el lado del servidor web.

Cliente Web LDAP

El Paso al inglés

Pasar la charla al inglés era un reto, porque había que repetir mucho trabajo pero en una lengua no nativa. Sí, leer inglés técnico era fácil y el inglés de supervivencia en el extrangero hacía tiempo que está superado, pero había que escribir un documento técnico en Inglés. Marta Beltrán, de la Universidad Rey Juan Carlos, tras venir a ver la charla del Asegur@IT I se animó a participar con nosotros en este trabajo, con lo que, a partir del artículo incial en castellano creo dos artículos en inglés, uno sobre "LDAP Injection" y otro sobre "Blind LDAP Injection". Además, a partir de la ppt usada en la charla del Asegur@IT I hizo una versión en inglés.

A Blackhat

Con esa primera versión de la ppt en inglés realicé el CFP en Noviembre de 2007 rellenando todos los formularios necesarios. Tras tener problemas subiendo los archivos e intercambiar unos 10 mails nos informaron de lo que ya sabéis, que nos admitían la charla.

Para admitirnos la charla confirmaron si nosotros podíamos hacerla en inglés, así que como mi nivel no es demasiado bueno tocaba estudiar con lo que empezaba el plan Londres, llevandome a mudarme en Enero a esa ciudad para premarar muchas cosas.

Documentos a entregar

Para participar en Blackhat había que acabar de cerrar un montón de cosas, la primera de ellas había que entregar la PPT definitiva, que al final no será la re-finitiva que usaremos en la charla, pero sí una modificada de la primera versión. Además tuvimos que rellenar papelajos de impuestos y movidadas así, pero lo más dificil era que había que entergar un WhitePaper y una tool para hacer las pruebas así que quedaba mucho por currar todavía. Además, era necesario tener un entorno de pruebas completo para mostrar los ejemplos, así que la cosa pintaba larga si a eso sumamos que yo tenía que seguir aprendiendo inglés. Poco tiempo, mucho trabajo por delante.

El Whitepaper beta

A partir de los dos artículos que teníamos en inglés Palako y yo empezamos a reescribir la primera parte cambiando cosas y dándole un enfoque más directo y más práctico que los primeros que tienen un enfoque más académico. Tras currarnoslo durante varios días conseguimos tener una versión casi acabada, pero a falta de una pequeña parte. Esa primera parte fue revisada por Ricardo "Chico Maravillas" Varela, que después de llevar años viviendo en el extranjero tiene mejor nivel de inglés. Con sus modifcaciones Raúl Benito y yo terminamos la segunda parte para poder tener un Whitepaper beta en inglés.

El Whitepaper RC1

Tras tener este documento más o menos completo, era necesario una revisión completa por alguien nativo totalmente. Las opciones pasaban por pedirselo a Marty, mi profe de inglés (ya os hablaré más de él que sale en esta peli) o buscar a alguien más. De Marty ya os contaré algo más, pero le desestimé porque, a pesar de ser un inglés de Londres (no creais, no hay muchos) un día me preguntón "¿Qué es eso de la memoría RAM?" y yo le contesté "Marty, ¿Tú de ordenadores no pilotas mucho, no?" así que pensé que necesitaba un inglés nativo, que fuera técnico y si hablara un poco de español mejor para poder explicarle los detalles del "what i mean...". Y mira tu por dónde allí, trabajando en Google, a menos de 10 minutos andando de dónde yo estaba viviendo se encontraba Al Cutter.

Con dos pintas de por medio, en un Pub, y durante dos horas él y otro técnico que estaba realizando las pruebas de acceso a Google, S@m Pikesley, estuvieron peleandose con el paper para pulir todos los detalles y dejarlo en un buen inglés.

El Whitepaper final

Podría parecer que ya estaba el documento, pero aun así, quise hacer una nueva revisión completa del documento, así que le cambié capturas, cosas y pedí una revisión a todos los que hasta el momento habían estado implicados, incluyendo a Inma, la administradora del servicio LDAP de la Universidad de Salamanca, con la que guardo buena relación y que me ayudó a matizar algunos detalles técnicos sobre las propiedades. También añadí algunas recomendaciones que me había dado David Cervigón tiempo antes y al final.. habemus Whitepaper en fecha para enviar a Blackhat.

[Continuará...]

Colaboradores hasta el momento: Antonio Guzmán, Rodolfo Bordón, Carles del Collado, Mandingo, RoMaNSoFt, José Parada, David Cervigón, Pedro Laguna y Ricardo "chico maravillas" Varela, Marta Beltrán, Inmaculada Bravo, Al Cutter, S@m Pikesley.



*************************************************************************************************
- Historia de una charla [I de IV]
- Historia de una charla [II de IV]
- Historia de una charla [III de IV]
- Historia de una charla [IV de IV]
*************************************************************************************************

3 comentarios:

  1. Bastante curro detrás de una charla de este calibre...verás como eres la persona que lleva el artículo con el inglés más nativo que los propios americanos :P, nada sigue así que merece la pena jeje ;)

    ResponderEliminar
  2. Con tanta preparación casi no necesitas que te desee suerte, pero lo hago igual.

    Que te salgo todo como te mereces figura.

    Un abrazo de Sauron.

    ResponderEliminar
  3. jajajaj bueno, verás, es que el inglés no es lo mío... más bien el francés en todas sus formas!!! jjejjeje chiste fácil de perra promicua lo sé.

    Chico, estas faenas me vienen grandes, muy grandes, y creeme, que tengo la cabeza hecha un lío con la página de madrid.org que uso en el curro...pero bueno, de todo se aprende no???

    besukosss

    ResponderEliminar