NoConName

http://ww2.grn.es/merce/1999/ncn.html

7/99

EL "UNDER" HISPANO SE HACE FUERTE EN MALLORCA

Merce Molist Las consecuencias legales de sus acciones y la poca calidad de la ensenyanza en las facultades de informatica centraron la atencion del medio centenar de hackers que se reunieron los pasados 23, 24 y 25 de julio en Palma de Mallorca, en la No Con Name (NcN), organizada por el grupo JJF Hackers Team y patrocinado por Com & Media.

?Si el que realiza el hack es un sistema inteligente y no una persona, de quien es la culpa? ?No va contra mi intimidad que la policia vea los registros de lo que he hecho en la red? ?Hackearme a mi mismo es legal? ?Cuando hay un error en un programa, es culpa de la empresa que lo comercializa, del programador o del usuario que lo ha comprado? Mientras aprendes, cometes errores, ?deben ser considerados delitos? Estas son algunas de las cuestiones que mas preocupan ahora mismo a los hackers espanyoles y que saltaron a la luz durante las ponencias y coloquios de la NcN, pocos dias despues que un joven de Murcia hubiese pasado seis dias en prision, acusado de haber hecho un sencillo ataque contra el servidor web del Ministerio del Interior.

Respondieron las preguntas Carlos Sanchez Almeida, abogado, y Jorge Garces, profesor de la Universidad de Deusto, quien anyadio a la preocupacion legal la constatacion del poco nivel existente en las universidades espanyolas en cuanto a seguridad informatica. "Hay mucho desconocimiento, si les hablas de UNIX se pierden. En las propias facultades de informatica, el 30% de los profesores ni tan solo usan el correo electronico; hay casos de personas que estan investigando lo mismo, por ejemplo en criptografia, pero no se comunican", constato Garces. El publico anyadio su queja particular: "Alguien que hoy termina la carrera de informatica no tiene el nivel para administrar una red".

Junto a este panorama, los hackers destacaron el desconocimiento que tienen tanto ellos como la sociedad de la responsabilidad legal de sus acciones. ?Cual es la diferencia entre hacking y delito informatico? "El animo de lucro, aunque en ambos casos se usen las mismas tecnicas", aclaro Garces. Con el, Sanchez Almeida defendio la no criminalizacion del hacking, asegurando que "si el sistema ya era inseguro, la vulnerabilidad no es culpa del hacker que ha entrado y, ademas, no se puede penar igual al que coge un fichero de contrasenyas que al que accede a secretos intimos. Si una empresa quiere guardar un secreto, que no lo ponga en un ordenador conectado a Internet".

La necesidad o no de leyes especificas para Internet fue una de las pocas cosas en las que los asistentes no estuvieron unanimamente de acuerdo, con una parte del publico partidaria de la creacion de leyes a nivel mundial para penar los delitos informaticos, "que no son todos cometidos por hackers", aclaro Miguel Fernandez, de Com & Media, y otra parte contraria a toda regla: "Internet ha nacido libre y el dia que se dicten normas se caera el concepto de la red", aseguro Alfonso Lazaro, analista de IP6 Seguridad.

El buen ambiente y la sana competencia imperaron en la convencion, a la que asistieron representantes de diversos grupos de la escena hispana como Undersec, HackUMA, Oioio's Band, !Hispahack o SET. En total, unas 50 personas y 20 ordenadores conectados a una intranet propia a la que intentaron acceder tambien hackers de la peninsula, con ataques de "ping flood" y otros, mientras en el interior se hackeaban los unos a los otros. Hubo tambien concursos, como La Toma de la Bastilla, que consistia en entrar en un servidor y cambiar la pagina web. En otro, Xploit-it, se mostraron diversos programas de seguridad de confeccion propia y se premio al mejor, LogIt.

La reunion fue tambien escenario de la presentacion de nuevos proyectos como Inseguridad.org, un servicio que se pondra en marcha en septiembre y ofrecera espacio web, dominios propios, direcciones de correo, listas y canales de IRC a todo contenido que cumpla la suma seguridad + castellano, quizas la nueva Isla Tortuga. Por otra parte, el grupo SET anuncio su Trivial Hacker Edition, una version del popular juego hecha especificamente para hackers, con mas de mil preguntas y de libre distribucion.

El domingo por la tarde se cerro la reunion, con la promesa de una 'NcN 2K' para el anyo que viene y la satisfaccion por parte de JJF Hackers Team de haber cumplido los objetivos, segun Conde Vampiro: "La montamos porque veiamos que en Espanya no se hacia nada y la gente lo pedia a gritos, para conocerse fisicamente, pasarlo bien y hacer vinculos. Habia habido otras convenciones, pero no era publicas". Esta si lo ha sido, incluso para un representante de Hacienda que se paseo una manyana por la reunion, explicando que venia a aprender, ya que este ministerio acaba de crear un grupo de delitos en Internet.

--

13:49 31/05/00

http://ww2.grn.es/merce/2000/hackempreses.html

S21SEC es un caso parecido. Empresa basada en Donosti, parece estar repleta de hackers según la publicidad, mayoritariamente de un conocido grupo que prefiere no ser nombrado. Su fundador, Miguel Fernández, experto informático de alma inquieta y empresario con buena vista, los reclutaba de la forma más rápida, en verano del año pasado: patrocinando una reunión de dos días en Mallorca, la NoConName, organizada por los ya desaparecidos JJF - Hackers Team -. Mikel, su apodo entre los chicos, cazó allí a un par de talentos y hoy son 13 técnicos. Xabier Mitxelena, director gerente, no duda en asegurar que ellos son la base de su negocio: "Tenemos los mejores hackers de España y esperamos seguir teniéndolos. Nos definimos como una empresa de hackers compuesta por los mejores ingenieros informáticos y de telecomunicaciones del país, expertos en Investigación, Desarrollo e Innovación, un gran equipo humano de nivel alto de ingeniería que puede decir con orgullo que, aparte de su titulación académica, tiene la virtud de utilizar sus habilidades de hacking de forma constructiva".

--

http://ww2.grn.es/merce/2002/ncn02.html

9:17 29/07/02

UN CENTENAR DE EXPERTOS EN SEGURIDAD SE REÚNEN EN MALLORCA

Mercè Molist Cuatro días de sol, portátiles y hacking fueron ideales para los casi cien expertos, estudiosos y profesionales de la seguridad informática, con una edad media de 25 años, que confluyeron la semana pasada en la segunda edición del congreso 'NoConName'. Entre los debates y charlas, temas de actualidad como la conveniencia de informar públicamente de errores en programas o la inseguridad más que insegura de la mayoría de bases de datos.

No hubo ni una corbata. Sí, una, con un demonio de Tasmania dibujado. Y un abogado, camisetas de hackers, concursos, chistes sobre consultores, pingüinos. Los mayores ayudando a los pequeños, escuchando conferencias y tecleando a la vez. Famosillos de la 'escena' venidos de Madrid, de Asturias, de Andalucía, concentrados en el parque tecnológico ParcBit de Mallorca, entre almendros y algarrobos, el fin del mundo cual estación de inteligencia militar y, a la vez, un entorno buscadamente serio, con visita relámpago incluida del Conseller de Noves Tecnologies.

Las estrellas fueron los londinenses NGSsoftware, quienes presentaban, al mismo tiempo que en las listas de seguridad mundiales, un programa para aprovechar un agujero de seguridad ('exploit') del popular servidor de bases de dados Microsoft SQL. Los ingleses ofrecieron también una aplaudida demostración de otros errores de SQL, que permiten ejecutar archivos, cambiar webs, enviar correo desde la empresa o asaltar otras máquinas. Todo con la simple ayuda de un navegador, "inyectando" instrucciones en el formulario de autenticación "Nombre de Usuario" de una web. "Lo mismo ocurre con las bases de datos de otras marcas", concluían.

El debate sobre "full disclosure" (publicación total de fallos informáticos) puso la pasión al evento, con frases como: "Vivimos en un gruyere creyendo que vivimos en un sistema seguro". La mayoría estuvo a favor de publicar los errores y concentró la discusión en la conveniencia de dar también el programa "exploit", que permite al administrador comprobar si tiene el fallo, pero también al intruso. Uno de los asistentes afirmaba: "Yo y mis amigos no publicamos nuestros 'exploits', pero esto da un nivel superior para hacer daño, porque la gente no sabe que tiene el problema. Y, al final, como todos los secretos, acaba sabiéndolo medio planeta".

La conclusión unánime era que "los exploits deben publicarse, pero no de forma irresponsable, no cuando hagan daño, dando tiempo a los fabricantes para reaccionar". Gemma Gómez proponía la solución del "'full disclosure' por etapas, avisando primero a los proveedores, los fabricantes.. antes de hacerlo totalmente público". Otros reivindicaban que se pagase por los 'exploits'.

El futuro de los Sistemas de Detección de Intrusos hacia la inteligencia artificial y la estadística avanzada o las limitaciones en la aplicación de la Ley de Protección de Datos llenaron otras charlas. Sobre los datos, el auditor Ramón de la Iglesia imaginaba un videoclub, con alquiler de películas en línea, para explicar la odisea y el gasto que le supondría al dueño adaptarse a la ley: "Las 'pelas' que se va a gastar en su web este señor es impresionante, le valdría más poner una papelería. No es económicamente viable para las pymes, ni por la inversión ni por las multas".

Sorprendía entre tan buena información la juventud de los participantes y del núcleo duro, la asociación NoConName, cuyo presidente, José Nicolás Castellano, tiene 20 años. La misma edad que Oriol Carreras, ganador del concurso de ingeniería inversa. "Aquí están los mejores hackers", se sonreía uno de los veinte de la organización, con gente ya experimentada en la Balearikus Party. La intención, afirmaba Castellano, era "hacer un congreso de seguridad a nivel avanzado. Hay muy pocos y son 'light', sólo para empresarios y jefes de sistemas".

La diferencia con la reunión de amigos que fue la primera NoConName, en 1999, era notable, aunque la profesionalización no evitó que el espíritu se mantuviese. Àlex Clares denunciaba, ante el Conseller, la "criminalización de los hackers, que son buenos administradores y programadores que se dedican a la investigación para ampliar conocimientos"; recordaba que "la información debe compartirse libremente y no cobrarse abusivamente" y defendía "los sistemas libres, más accesibles y que no están por las nubes".

Ya en la despedida, se anunció que la NoConName tendrá una continuidad anual o bianual, siempre en las Baleares, y se denunciaron con nombres y apellidos las instituciones que han negado su ayuda al congreso. El presidente las perdonaba: "A la edad que tenemos, no inspiramos confianza ni seriedad a los espónsors. ¿Un chaval de veinte años, con pantalones anchos y una camiseta, qué confianza inspira?". De todas formas, concluía feliz un participante mientras empaquetaba su portátil, "la idea es buena".

NoConName http://ncn.debaleares.net/

--

--

http://www.elladodelmal.com/2011/08/entrevista-nico-castellano-de-noconname.html

1) Hay algo que todos queremos saber… ¿cómo fue montar la primera NocONName? ¿A quién tuvisteis por allí?

Muy expectante por los inicios. El 99% de la gente no sabe que nuestra etapa se inició en un pub de Mallorca que frecuentábamos con DS y MKiller ( allí tomábamos algo antes de salir de fiesta). Recuerdo que con 20 años empezamos a mover una No cON de 15 personas donde conseguimos un pub que recientemente había cerrado dos dias de verano. Imagínate estar en frente de la catedral en el paseo marítimo y con camarero incluido (¡¡Muchas gracias Toni!!). También teníamos, como no, un Call For Papers como dios manda y camisetas negras h4x0r con un logo hecho por MeTalSluG. Vulns en BGP, Virus/Troyanos en Linux y distribuciones linux orientadas a seguridad from scratch fueron algunas de las charlas que recuerdo.

La siguiente en el 2002 fue abierta al público, fue la que más cariño le tengo (aqui descubrí que en seguridad no sólo existen los exploits, desarrollo e ideas creativas para romper un sistema). Llegamos a 112 inscritos, se partió con 0 euros y nos quedaron 400 euros para iniciar la siguiente. La gente que formaba la organización de aquel entonces se implicó al 150% y como también la gente que conocíamos de Balearikus Party (o como Ripe y Gema Gómez que también dieron ponencia) al igual que todos los ponentes que quisieron venir poniendo de su bolsillo el vuelo para venir a Mallorca. Así a voz de pronto recuerdo ponentes como Iñaki Lopez dando caña, o las anécdotas de Kaloyan (ICEFIRE), y como no a Chris Anley y Robert Horton de NGS Software que nos deslumbraron con sus demostraciones de SQL-Injections (cuando casi nadie sabia lo que era) y un 0day que más tarde fue aprovechado con intenciones malévolas para crear el worm conocido como SQLslammer. Cuatro dias de ponencias, ordenadores y fiesta, mucha fiesta que acabó por crear muy buen rollo y continuidad anual.

9) ¿Por qué el parón entre las NCN de Mallorca y Barcelona?

En el 2007 cambió el gobierno de las islas baleares, cuya política nos favorecia en forma de subvención, de hecho eran el sponsor más grande que ha habido nunca en la historia de la NcN. El nuevo gobierno quiso destinar su política a las tecnologías en el turismo.

Como yo ya vivia en Barcelona tuvimos que empezar de cero... Aún así hubo posibles sponsors que tenian todo el dinero del mundo y de un día para otro no tenian nada... esto retrasó el inicio de todo. A esto le sumamos que yo trabajaba a full pues quedaba poco tiempo para todo lo demás.

14) ¿Quién más está contigo trabajando en la organización de la NCN?

Somos ocho socios actualmente que aportamos trabajo para la organización del congreso. Si me preguntas quienes, prefiero que la gente les conozca por sus acciones y no porque que yo les presente.

15) ¿Tenéis apoyo institucional o estáis empujando solos?

Hace unos años, cuando estabamos en Mallorca sí. El año pasado tuvimos una colaboración con la Generalitat de Catalunya y este año estamos trabajando en ello, lo que pasa es que es muy dificil, casi todo el apoyo lo empujamos nosotros con la aportación de los patrocinadores, ponentes, colaboradores desinteresados, webs, y los asistentes.

--

LA COLUMNA DE OPINION: NOCONNAME 2005. CArlos Mesa. http://elistas.net/lista/informativos/archivo/indice/61/msg/74/

"Podemos robar una base de datos en 5 segundos". Mercè Molist http://www.vsantivirus.com/mm-noconname-2006.htm

NoConName – Attack Surface Analysis of Windows CE/Mobile 5 Updated: 29 Jun 2009 Ollie Whitehouse http://www.symantec.com/connect/blogs/noconname-attack-surface-analysis-windows-cemobile-5

NoConName debate la publicación de los fallos de seguridad

Los Sistemas de Detección de Intrusos y la estadística avanzada llenaron otras charlas del congreso NoConName 

MERCÈ MOLIST 01/08/2002

http://www.elpais.com/articulo/red/NoConName/debate/publicacion/fallos/seguridad/elpeputec/20020801elpcibenr_4/Tes

Resumen de NoConName 2011 #ncn2k11. Lorenzo Martínez lunes 19 de septiembre de 2011 http://www.securitybydefault.com/2011/09/resumen-de-noconname-2011-ncn2k11.html

"Las empresas no se toman la seguridad en serio" Expertos critican en una convención la falta de medidas

MERCÈ MOLIST - Barcelona - 07/10/2011