Entrevista a Sheila A. Berta, la speaker más joven en DefCON y BlackHat
Trabaja en el equipo de ElevenPaths en Buenos Aires (Argentina) dentro del equipo del laboratorio. Participa en los trabajos de investigación que la unidad realiza para alimentar de innovación los productos, para alimentar de nuevas tecnologías, herramientas o conocimiento a toda la compañía. Va a las oficinas de Telefónica Argentina todas las mañanas, abre su computadora y juega con la tecnología.
Pero también viaja por todo el mundo presentando estos trabajos. Algunos de ellos de Car Hacking, otros de hacking con drones como Crozono, y muchos de exploiting & offensive security. Se llama Sheila A. Berta (@unapibageek) y es la speaker más joven que ha dado una charla en EkoParty, DefCON y próximamente en BlackHat EU 2017, y yo tengo la suerte de tenerla en mi equipo para que colisionen sus neuronas y puntos de interés con los del resto los compañeros. Hoy quise hacerla una entrevista para que la conocierais un poco más. Espero que la disfrutéis.
Saludos Malignos!
¿Cómo te enganchaste a esto del hacking?
Siempre digo que tuve la suerte de encontrar lo que me gusta muy rápido. A mis 12 años arranqué con temas de hacking. ¿Cómo llegué a eso? porque al mismo tiempo había empezado a programar en diferentes lenguajes y lo que pasaba por mi mente era: "¿Habrá alguna forma de romper estas aplicaciones que estoy haciendo?". Como eran tecnologías web, me puse a leer sobre técnicas de SQL injection, XSS, XSRF, LFI/RFI, etcétera y me super divertía con ello.
Al ir aprendiendo otros lenguajes de más bajo nivel me empecé a interesar por el área de malware también. En aquel entonces, abrir un malware con ollydbg y hacerlo indetectable moviendo de lugar las firmas de los antivirus, era toda una aventura. Al día de hoy sigo manteniendo la misma pasión, todas las áreas de infosec me resultan interesantes y mi curiosidad me lleva de un lado a otro constantemente.
No puedo describir lo que disfruto de poner de revés las cosas, de encontrar dónde fallan y cómo alguien podría realizar un ataque con ello. A veces no sé porqué me divierte tanto. Es gracioso las conclusiones que intentan sacar mis amigos al respecto. Algunos me han llegado a decir: “Vos la pasaste mal de chiquita y por eso ahora querés romper todo ¿no?” :-) Sea cual sea el motivo, es algo que no quiero dejar de hacer nunca :-).
¿Cuántas conferencias has dado hasta tus 22 años?
Hasta el momento llevo dando 19 conferencias y tengo confirmadas unas 4 más para este año. Mi primera charla fue en el OWASP LATAM TOUR de Buenos Aires en 2015. Ese mismo año fui a dar mi primera charla internacional al DragonJarCon en Manizales - Colombia. A partir de ahí me animé a presentar en todo lugar donde tuviera ganas de hablar.
Tuve suerte de que me dieran la oportunidad casi siempre y así es como logré estar presente en DefCON 25 CHV, el Arsenal de Black Hat Europe (2016) y USA (2017), tres veces consecutivas en la Ekoparty Security Conference, dos veces en DragonJarCon y varias veces en distintos eventos de OWASP.
En estos días estoy viajando para Luxemburgo a presentar en el evento de hack.lu. Al regresar estaré por la 8.8 en Chile y luego me voy para RoadSec en Brasil. Terminando el año por Londres nuevamente, para la briefing en Black Hat EU 2017 con Sergio de los Santos. Veo que pasaré unas cuantas horas en mi cine personal 4D (el avión con turbulencias).
¿Qué sentiste en DefCON al ser la chica más joven (no kids) que dio una charla allá?
Ja,ja, válgase la aclaración "no kids" :'D. Bueno, por un lado el tema de la edad es algo un tanto gracioso para mí. La primera vez que viajé a Las Vegas para ir a DefCON casi no me dejan pasar en migraciones de Atlanta, preguntándome "¿pero dónde están tus padres?!". Recuerdo andar por las fiestas con la pulsera "Over 21" para que los de seguridad no me molestaran pidiéndome el ID a cada rato :-).
Veo que llama la atención, porque lo primero que me preguntan cuando me ven presentar es "¿qué edad tienes?". Y si me preguntas qué se siente... ¡se siente muy bien! Me hace pensar en que estoy haciendo las cosas bien por lograr tener oportunidades que pocos tienen a mi edad, y eso lo considero una gran recompensa al esfuerzo de todos los días.
Por otro lado, romper las afirmaciones de "ninguna chica de Argentina (o incluso Latam) participó en DefCon dando alguna charla", ser la chica más joven en hacerlo, son cosas que espero que no solo sean animadoras para mí sino también que ayude a otras chicas que ven eso a animarse a estar ellas en DefCON hablando delante de personas, porque es una experiencia genial.
¿Y ahora los Briefings de BlackHat EU? Yo tenía 33 años cuando di mi primera BH EU...
Ja,ja,ja. Te tenía que ganar en algo :-P. La verdad que todavía ¡no me lo creo!. Participar en Black Hat desde ya también es una experiencia genial. Hay una puerta más sencilla de abrir que es el Arsenal y fue por donde comencé. Ahora el gran desafío era llegar a obtener un espacio en los briefings, quizás haya varias formas de lograrlo, pero mi objetivo era obtener esa oportunidad con un research que llegue ahí tan solo por la calidad de la investigación, por los resultados obtenidos sin más... ¡y así fue!. Me siento muy contenta por este logro :-)
¿Qué le dirías a una niña a la que le guste la tecnología o el hacking?
Estoy segura que la mayoría de nosotros le diría que siga ¡adelante! Particularmente yo, le diría que muchas veces pensé en ella y que por ella yo seguí adelante, y te voy a contar brevemente porqué:
A lo largo de estos 10 años me enfrenté con muchas situaciones que no hubiera tenido que atravesar si fuera del sexo opuesto. Al principio un gran aislamiento. Conocía de conferencias de infosec por mi ciudad como la Ekoparty, pero no me animaba a ir porque pensaba que sería la única chica allí.
Finalmente, años después fui y comencé a exponer en diversos eventos. Ahí estaba yo *el bicho raro* por ser la única chica sentada en una larga mesa de speakers con 30 hombres. Las consecuencias no tardan en llegar, porque ser el bicho raro es, en algún punto, llamar la atención y eso atrae personas buenas pero también personas malas, lo que te implica soportar comentarios muy negativos sobre tu persona, acusaciones sexistas con tus compañeros de trabajo, consecuentemente tener que cambiar abruptamente de empleo, perder el apoyo de personas que estaban a tu lado, y un triste y largo etcétera. Cuando alcancé ese punto de no tener más ganas de soportar esas adversidades fue cuando pensé:
"Si cada chica que atraviesa estas situaciones tan hostiles se cansara y se dedicara a otra cosa siempre habrá una próxima que tendrá que atravesarlo otra vez por ser el nuevo *bicho raro* de la comunidad".
No quiero que ninguna niña que el día de mañana se dedique a seguridad pase por las cosas que yo pasé, y por eso sigo adelante. Pienso que la mejor forma de minimizar esas posibilidades es que cada vez seamos más chicas en infosec y así no existan más los *bichos raros* que tengan que sufrir consecuencias por ello :-)
¿Cuál es tu misión en el equipo de ElevenPaths ahora?
Molestar a Claudio Caracciolo ;-). Ja,ja,ja, bueno eso ya me sale por default. Ahora hablando en serio, pienso que en el laboratorio tenemos muchas investigaciones súper interesantes. Me gusta involucrarme en ellas y como en el caso de HSTS/HPKP, profundizar en el research hasta llegar a un resultado con el que me sienta conforme.
Darle la vuelta de tuerca necesaria para que se transforme en algo o pueda darse a conocer mediante papers, charlas y demás (y Sergio de los Santos se ponga contento, que es el mayor desafío :'D ).
¿Cuáles son los retos que te pones en tu vida ahora mismo?
¡Pregunta compleja! para mi es importante demostrarme a mí misma que puedo lograr cualquier cosa que me proponga. Constantemente me estoy planteando desafíos nuevos: temas sobre los que quiero aprender, proyectos que quiero desarrollar, conferencias en las que me gustaría dar charla, etcétera. Pero suelo ser bastante misteriosa al respecto. Rara vez cuento cuales son mis planes para el mes que viene o el año próximo. Me gusta dar algunas sorpresas a los que me rodean ;-) así que te voy a mantener en la intriga aunque.. recuerdo que a ti personalmente el otro día te conté una de mis principales metas para el año que viene, ya lo sabes, pero ¡sshh! ;-)
¿Eko, DefCON o BlackHat?
¡La Eko! ¿No me crees? Exponer en DefCON y BlackHat, sin dudas, tiene una magia enorme, pero la Eko tiene algo que no he encontrado en ningún otro escenario de todos los que pasé y es que, tu charla no dura tan solo el momento en el que estás en el escenario. ÇToda la magia comienza días antes y continua por días después.
Es así por la gente, por las personas que días antes comienzan a generar la expectativa, a hacerte sentir la presión de que están esperando que des lo mejor y no los puedes decepcionar, porque durante tu charla están ahí sentados y si no caben están parados en el fondo o sentados en los pasillos del Konex. Te gritan cuando ingresas al escenario, te aplauden y continúan por días después felicitándote por tu trabajo.
Por el otro lado, también están presentes aquellos que te hacen saber que están ahí esperando que tu charla no vaya bien, eso convierte al escenario de la Eko en algo muy desafiante y agresivo para manejarlo, lo cual te obliga a llevar todas tus habilidades al máximo, el conjunto de todas las cosas termina en una adrenalina increíble y por eso me encanta estar allí ;-).
¿De qué trabajos te sientes más orgullosa?
En todos estos años... (¡Ups! ¡me sentí vieja!) hay montones de cosas que me han generado sensación de satisfacción. Lo que aprendí, la gente con la que tuve oportunidad de trabajar, los pequeños proyectos propios que salieron a la luz… entre tantas cosas es difícil hablar de algo especifico.
Pero puedo afirmar que de uno de los trabajos que me siento más orgullosa es del que presentamos Clau y yo en DefCON25 CHV: "The Bicho". Es un hardware en el que puse mucho esfuerzo diseñándolo desde cero, programando el firmware en assembler (que ya tiene 2150 líneas), desarrollando un software de escritorio para interactuar con él cómodamente. Tiene muchos componentes que llevaron tiempo de desarrollo y en todo ese tiempo indudablemente me encariñé con el proyecto.
Lo que más orgullo me da es verlo funcionar, programar tu payload desde la compu, conectar el hardware al automóvil y controlar el comportamiento de diversos módulos simplemente mandando un SMS, es una locura :-).
Y dime, ¿has usado alguna vez la FOCA en tus inicios?
Ja,ja,ja, esa es ¡la pregunta que no podía faltar! :-P. Sí, la he usado, pero te cuento algo, mi preferida es EvilFOCA };)
Figura 1: Sheila A. Berta "on stage" |
Pero también viaja por todo el mundo presentando estos trabajos. Algunos de ellos de Car Hacking, otros de hacking con drones como Crozono, y muchos de exploiting & offensive security. Se llama Sheila A. Berta (@unapibageek) y es la speaker más joven que ha dado una charla en EkoParty, DefCON y próximamente en BlackHat EU 2017, y yo tengo la suerte de tenerla en mi equipo para que colisionen sus neuronas y puntos de interés con los del resto los compañeros. Hoy quise hacerla una entrevista para que la conocierais un poco más. Espero que la disfrutéis.
Saludos Malignos!
¿Cómo te enganchaste a esto del hacking?
Siempre digo que tuve la suerte de encontrar lo que me gusta muy rápido. A mis 12 años arranqué con temas de hacking. ¿Cómo llegué a eso? porque al mismo tiempo había empezado a programar en diferentes lenguajes y lo que pasaba por mi mente era: "¿Habrá alguna forma de romper estas aplicaciones que estoy haciendo?". Como eran tecnologías web, me puse a leer sobre técnicas de SQL injection, XSS, XSRF, LFI/RFI, etcétera y me super divertía con ello.
Al ir aprendiendo otros lenguajes de más bajo nivel me empecé a interesar por el área de malware también. En aquel entonces, abrir un malware con ollydbg y hacerlo indetectable moviendo de lugar las firmas de los antivirus, era toda una aventura. Al día de hoy sigo manteniendo la misma pasión, todas las áreas de infosec me resultan interesantes y mi curiosidad me lleva de un lado a otro constantemente.
No puedo describir lo que disfruto de poner de revés las cosas, de encontrar dónde fallan y cómo alguien podría realizar un ataque con ello. A veces no sé porqué me divierte tanto. Es gracioso las conclusiones que intentan sacar mis amigos al respecto. Algunos me han llegado a decir: “Vos la pasaste mal de chiquita y por eso ahora querés romper todo ¿no?” :-) Sea cual sea el motivo, es algo que no quiero dejar de hacer nunca :-).
¿Cuántas conferencias has dado hasta tus 22 años?
Hasta el momento llevo dando 19 conferencias y tengo confirmadas unas 4 más para este año. Mi primera charla fue en el OWASP LATAM TOUR de Buenos Aires en 2015. Ese mismo año fui a dar mi primera charla internacional al DragonJarCon en Manizales - Colombia. A partir de ahí me animé a presentar en todo lugar donde tuviera ganas de hablar.
Figura 2: Halando en AppSec en Ría de la Plata |
Tuve suerte de que me dieran la oportunidad casi siempre y así es como logré estar presente en DefCON 25 CHV, el Arsenal de Black Hat Europe (2016) y USA (2017), tres veces consecutivas en la Ekoparty Security Conference, dos veces en DragonJarCon y varias veces en distintos eventos de OWASP.
En estos días estoy viajando para Luxemburgo a presentar en el evento de hack.lu. Al regresar estaré por la 8.8 en Chile y luego me voy para RoadSec en Brasil. Terminando el año por Londres nuevamente, para la briefing en Black Hat EU 2017 con Sergio de los Santos. Veo que pasaré unas cuantas horas en mi cine personal 4D (el avión con turbulencias).
¿Qué sentiste en DefCON al ser la chica más joven (no kids) que dio una charla allá?
Ja,ja, válgase la aclaración "no kids" :'D. Bueno, por un lado el tema de la edad es algo un tanto gracioso para mí. La primera vez que viajé a Las Vegas para ir a DefCON casi no me dejan pasar en migraciones de Atlanta, preguntándome "¿pero dónde están tus padres?!". Recuerdo andar por las fiestas con la pulsera "Over 21" para que los de seguridad no me molestaran pidiéndome el ID a cada rato :-).
Veo que llama la atención, porque lo primero que me preguntan cuando me ven presentar es "¿qué edad tienes?". Y si me preguntas qué se siente... ¡se siente muy bien! Me hace pensar en que estoy haciendo las cosas bien por lograr tener oportunidades que pocos tienen a mi edad, y eso lo considero una gran recompensa al esfuerzo de todos los días.
Por otro lado, romper las afirmaciones de "ninguna chica de Argentina (o incluso Latam) participó en DefCon dando alguna charla", ser la chica más joven en hacerlo, son cosas que espero que no solo sean animadoras para mí sino también que ayude a otras chicas que ven eso a animarse a estar ellas en DefCON hablando delante de personas, porque es una experiencia genial.
¿Y ahora los Briefings de BlackHat EU? Yo tenía 33 años cuando di mi primera BH EU...
Ja,ja,ja. Te tenía que ganar en algo :-P. La verdad que todavía ¡no me lo creo!. Participar en Black Hat desde ya también es una experiencia genial. Hay una puerta más sencilla de abrir que es el Arsenal y fue por donde comencé. Ahora el gran desafío era llegar a obtener un espacio en los briefings, quizás haya varias formas de lograrlo, pero mi objetivo era obtener esa oportunidad con un research que llegue ahí tan solo por la calidad de la investigación, por los resultados obtenidos sin más... ¡y así fue!. Me siento muy contenta por este logro :-)
¿Qué le dirías a una niña a la que le guste la tecnología o el hacking?
Estoy segura que la mayoría de nosotros le diría que siga ¡adelante! Particularmente yo, le diría que muchas veces pensé en ella y que por ella yo seguí adelante, y te voy a contar brevemente porqué:
A lo largo de estos 10 años me enfrenté con muchas situaciones que no hubiera tenido que atravesar si fuera del sexo opuesto. Al principio un gran aislamiento. Conocía de conferencias de infosec por mi ciudad como la Ekoparty, pero no me animaba a ir porque pensaba que sería la única chica allí.
Finalmente, años después fui y comencé a exponer en diversos eventos. Ahí estaba yo *el bicho raro* por ser la única chica sentada en una larga mesa de speakers con 30 hombres. Las consecuencias no tardan en llegar, porque ser el bicho raro es, en algún punto, llamar la atención y eso atrae personas buenas pero también personas malas, lo que te implica soportar comentarios muy negativos sobre tu persona, acusaciones sexistas con tus compañeros de trabajo, consecuentemente tener que cambiar abruptamente de empleo, perder el apoyo de personas que estaban a tu lado, y un triste y largo etcétera. Cuando alcancé ese punto de no tener más ganas de soportar esas adversidades fue cuando pensé:
"Si cada chica que atraviesa estas situaciones tan hostiles se cansara y se dedicara a otra cosa siempre habrá una próxima que tendrá que atravesarlo otra vez por ser el nuevo *bicho raro* de la comunidad".
No quiero que ninguna niña que el día de mañana se dedique a seguridad pase por las cosas que yo pasé, y por eso sigo adelante. Pienso que la mejor forma de minimizar esas posibilidades es que cada vez seamos más chicas en infosec y así no existan más los *bichos raros* que tengan que sufrir consecuencias por ello :-)
¿Cuál es tu misión en el equipo de ElevenPaths ahora?
Molestar a Claudio Caracciolo ;-). Ja,ja,ja, bueno eso ya me sale por default. Ahora hablando en serio, pienso que en el laboratorio tenemos muchas investigaciones súper interesantes. Me gusta involucrarme en ellas y como en el caso de HSTS/HPKP, profundizar en el research hasta llegar a un resultado con el que me sienta conforme.
Darle la vuelta de tuerca necesaria para que se transforme en algo o pueda darse a conocer mediante papers, charlas y demás (y Sergio de los Santos se ponga contento, que es el mayor desafío :'D ).
¿Cuáles son los retos que te pones en tu vida ahora mismo?
¡Pregunta compleja! para mi es importante demostrarme a mí misma que puedo lograr cualquier cosa que me proponga. Constantemente me estoy planteando desafíos nuevos: temas sobre los que quiero aprender, proyectos que quiero desarrollar, conferencias en las que me gustaría dar charla, etcétera. Pero suelo ser bastante misteriosa al respecto. Rara vez cuento cuales son mis planes para el mes que viene o el año próximo. Me gusta dar algunas sorpresas a los que me rodean ;-) así que te voy a mantener en la intriga aunque.. recuerdo que a ti personalmente el otro día te conté una de mis principales metas para el año que viene, ya lo sabes, pero ¡sshh! ;-)
¿Eko, DefCON o BlackHat?
¡La Eko! ¿No me crees? Exponer en DefCON y BlackHat, sin dudas, tiene una magia enorme, pero la Eko tiene algo que no he encontrado en ningún otro escenario de todos los que pasé y es que, tu charla no dura tan solo el momento en el que estás en el escenario. ÇToda la magia comienza días antes y continua por días después.
Es así por la gente, por las personas que días antes comienzan a generar la expectativa, a hacerte sentir la presión de que están esperando que des lo mejor y no los puedes decepcionar, porque durante tu charla están ahí sentados y si no caben están parados en el fondo o sentados en los pasillos del Konex. Te gritan cuando ingresas al escenario, te aplauden y continúan por días después felicitándote por tu trabajo.
Por el otro lado, también están presentes aquellos que te hacen saber que están ahí esperando que tu charla no vaya bien, eso convierte al escenario de la Eko en algo muy desafiante y agresivo para manejarlo, lo cual te obliga a llevar todas tus habilidades al máximo, el conjunto de todas las cosas termina en una adrenalina increíble y por eso me encanta estar allí ;-).
¿De qué trabajos te sientes más orgullosa?
En todos estos años... (¡Ups! ¡me sentí vieja!) hay montones de cosas que me han generado sensación de satisfacción. Lo que aprendí, la gente con la que tuve oportunidad de trabajar, los pequeños proyectos propios que salieron a la luz… entre tantas cosas es difícil hablar de algo especifico.
Figura 4: Sheila A. Berta y Claudio Caracciolo |
Pero puedo afirmar que de uno de los trabajos que me siento más orgullosa es del que presentamos Clau y yo en DefCON25 CHV: "The Bicho". Es un hardware en el que puse mucho esfuerzo diseñándolo desde cero, programando el firmware en assembler (que ya tiene 2150 líneas), desarrollando un software de escritorio para interactuar con él cómodamente. Tiene muchos componentes que llevaron tiempo de desarrollo y en todo ese tiempo indudablemente me encariñé con el proyecto.
Lo que más orgullo me da es verlo funcionar, programar tu payload desde la compu, conectar el hardware al automóvil y controlar el comportamiento de diversos módulos simplemente mandando un SMS, es una locura :-).
Y dime, ¿has usado alguna vez la FOCA en tus inicios?
Ja,ja,ja, esa es ¡la pregunta que no podía faltar! :-P. Sí, la he usado, pero te cuento algo, mi preferida es EvilFOCA };)
Via: www.elladodelmal.com
Entrevista a Sheila A. Berta, la speaker más joven en DefCON y BlackHat
Reviewed by Zion3R
on
5:00
Rating: