[HACK] NcN

[merce at grn.es]

9:17 29/07/02


UN CENTENAR DE EXPERTOS EN SEGURIDAD SE REÚNEN EN MALLORCA


Mercè Molist
Cuatro  días de sol, portátiles y hacking fueron ideales para los casi
cien expertos, estudiosos y profesionales de la seguridad informática,
con  una edad media de 25 años, que confluyeron la semana pasada en la
segunda edición del congreso 'NoConName'. Entre los debates y charlas,
temas  de  actualidad como la conveniencia de informar públicamente de
errores  en  programas o la inseguridad más que insegura de la mayoría
de bases de datos.

No  hubo ni una corbata. Sí, una, con un demonio de Tasmania dibujado.
Y   un   abogado,  camisetas  de  hackers,  concursos,  chistes  sobre
consultores,   pingüinos.   Los   mayores  ayudando  a  los  pequeños,
escuchando  conferencias  y  tecleando  a  la  vez.  Famosillos  de la
'escena' venidos de Madrid, de Asturias, de Andalucía, concentrados en
el  parque  tecnológico  ParcBit  de  Mallorca,  entre  almendros    y
algarrobos,  el fin del mundo cual estación de inteligencia militar y,
a la vez, un entorno buscadamente serio, con visita relámpago incluida
del Conseller de Noves Tecnologies.

Las estrellas fueron los londinenses NGSsoftware, quienes presentaban,
al  mismo tiempo que en las listas de seguridad mundiales, un programa
para  aprovechar  un  agujero  de  seguridad  ('exploit')  del popular
servidor  de  bases  de  dados  Microsoft SQL. Los ingleses ofrecieron
también  una  aplaudida  demostración  de  otros  errores  de SQL, que
permiten  ejecutar  archivos,  cambiar  webs,  enviar  correo desde la
empresa  o  asaltar  otras  máquinas.  Todo  con la simple ayuda de un
navegador,    "inyectando"   instrucciones   en   el   formulario   de
autenticación "Nombre de Usuario" de una web. "Lo mismo ocurre con las
bases de datos de otras marcas", concluían.

El  debate  sobre  "full  disclosure"  (publicación  total  de  fallos
informáticos)  puso  la pasión al evento, con frases como: "Vivimos en
un  gruyere  creyendo  que  vivimos  en un sistema seguro". La mayoría
estuvo  a favor de publicar los errores y concentró la discusión en la
conveniencia  de  dar  también  el  programa "exploit", que permite al
administrador  comprobar  si  tiene el fallo, pero también al intruso.
Uno  de  los  asistentes  afirmaba:  "Yo  y  mis  amigos no publicamos
nuestros  'exploits',  pero esto da un nivel superior para hacer daño,
porque la gente no sabe que tiene el problema. Y, al final, como todos
los secretos, acaba sabiéndolo medio planeta".

La  conclusión unánime era que "los exploits deben publicarse, pero no
de  forma  irresponsable,  no  cuando  hagan  daño, dando tiempo a los
fabricantes  para  reaccionar".  Gemma  Gómez proponía la solución del
"'full disclosure' por etapas, avisando primero a los proveedores, los
fabricantes..    antes   de   hacerlo   totalmente   público".   Otros
reivindicaban que se pagase por los 'exploits'.

El   futuro  de  los  Sistemas  de  Detección  de  Intrusos  hacia  la
inteligencia  artificial  y la estadística avanzada o las limitaciones
en  la  aplicación  de  la  Ley  de Protección de Datos llenaron otras
charlas.  Sobre los datos, el auditor Ramón de la Iglesia imaginaba un
videoclub, con alquiler de películas en línea, para explicar la odisea
y  el gasto que le supondría al dueño adaptarse a la ley: "Las 'pelas'
que  se  va a gastar en su web este señor es impresionante, le valdría
más  poner  una papelería. No es económicamente viable para las pymes,
ni por la inversión ni por las multas".

Sorprendía   entre   tan   buena   información   la  juventud  de  los
participantes  y  del  núcleo  duro,  la  asociación  NoConName,  cuyo
presidente,  José Nicolás Castellano, tiene 20 años. La misma edad que
Oriol  Carreras,  ganador  del  concurso  de ingeniería inversa. "Aquí
están  los  mejores  hackers",  se  sonreía  uno  de  los veinte de la
organización,  con  gente  ya experimentada en la Balearikus Party. La
intención,  afirmaba Castellano, era "hacer un congreso de seguridad a
nivel  avanzado.  Hay muy pocos y son 'light', sólo para empresarios y
jefes de sistemas".

La  diferencia  con la reunión de amigos que fue la primera NoConName,
en  1999,  era  notable,  aunque la profesionalización no evitó que el
espíritu  se mantuviese. Àlex Clares denunciaba, ante el Conseller, la
"criminalización  de  los  hackers,  que  son buenos administradores y
programadores   que   se  dedican  a  la  investigación  para  ampliar
conocimientos";   recordaba   que  "la  información  debe  compartirse
libremente  y  no  cobrarse  abusivamente"  y  defendía  "los sistemas
libres, más accesibles y que no están por las nubes".

Ya en la despedida, se anunció que la NoConName tendrá una continuidad
anual o bianual, siempre en las Baleares, y se denunciaron con nombres
y  apellidos las instituciones que han negado su ayuda al congreso. El
presidente  las  perdonaba:  "A  la  edad  que  tenemos, no inspiramos
confianza  ni seriedad a los espónsors. ¿Un chaval de veinte años, con
pantalones  anchos  y  una camiseta, qué confianza inspira?". De todas
formas,   concluía  feliz  un  participante  mientras  empaquetaba  su
portátil, "la idea es buena".


NoConName
http://ncn.debaleares.net/