NoConName
From Hack Story
black.jpg)
|
http://ww2.grn.es/merce/1999/ncn.html
7/99
EL "UNDER" HISPANO SE HACE FUERTE EN MALLORCA
Merce Molist Las consecuencias legales de sus acciones y la poca calidad de la ensenyanza en las facultades de informatica centraron la atencion del medio centenar de hackers que se reunieron los pasados 23, 24 y 25 de julio en Palma de Mallorca, en la No Con Name (NcN), organizada por el grupo JJF Hackers Team y patrocinado por Com & Media.
?Si el que realiza el hack es un sistema inteligente y no una persona, de
quien es la culpa? ?No va contra mi intimidad que la policia vea los
registros de lo que he hecho en la red? ?Hackearme a mi mismo es legal?
?Cuando hay un error en un programa, es culpa de la empresa que lo
comercializa, del programador o del usuario que lo ha comprado?
Mientras aprendes, cometes errores, ?deben ser considerados
delitos? Estas son algunas de las cuestiones que mas preocupan ahora mismo
a los hackers espanyoles y que saltaron a la luz durante las
ponencias y coloquios de la NcN, pocos dias despues que un joven
de Murcia hubiese pasado seis dias en prision, acusado de haber hecho un
sencillo ataque contra el servidor web del Ministerio del Interior.
Respondieron las preguntas Carlos Sanchez Almeida, abogado, y Jorge Garces, profesor de la Universidad de Deusto, quien anyadio a la preocupacion legal la constatacion del poco nivel existente en las universidades espanyolas en cuanto a seguridad informatica. "Hay mucho desconocimiento, si les hablas de UNIX se pierden. En las propias facultades de informatica, el 30% de los profesores ni tan solo usan el correo electronico; hay casos de personas que estan investigando lo mismo, por ejemplo en criptografia, pero no se comunican", constato Garces. El publico anyadio su queja particular: "Alguien que hoy termina la carrera de informatica no tiene el nivel para administrar una red".
Junto a este panorama, los hackers destacaron el desconocimiento que tienen tanto ellos como la sociedad de la responsabilidad legal de sus acciones. ?Cual es la diferencia entre hacking y delito informatico? "El animo de lucro, aunque en ambos casos se usen las mismas tecnicas", aclaro Garces. Con el, Sanchez Almeida defendio la no criminalizacion del hacking, asegurando que "si el sistema ya era inseguro, la vulnerabilidad no es culpa del hacker que ha entrado y, ademas, no se puede penar igual al que coge un fichero de contrasenyas que al que accede a secretos intimos. Si una empresa quiere guardar un secreto, que no lo ponga en un ordenador conectado a Internet".
La necesidad o no de leyes especificas para Internet fue una de las pocas cosas en las que los asistentes no estuvieron unanimamente de acuerdo, con una parte del publico partidaria de la creacion de leyes a nivel mundial para penar los delitos informaticos, "que no son todos cometidos por hackers", aclaro Miguel Fernandez, de Com & Media, y otra parte contraria a toda regla: "Internet ha nacido libre y el dia que se dicten normas se caera el concepto de la red", aseguro Alfonso Lazaro, analista de IP6 Seguridad.
El buen ambiente y la sana competencia imperaron en la convencion, a la que asistieron representantes de diversos grupos de la escena hispana como Undersec, HackUMA, Oioio's Band, !Hispahack o SET. En total, unas 50 personas y 20 ordenadores conectados a una intranet propia a la que intentaron acceder tambien hackers de la peninsula, con ataques de "ping flood" y otros, mientras en el interior se hackeaban los unos a los otros. Hubo tambien concursos, como La Toma de la Bastilla, que consistia en entrar en un servidor y cambiar la pagina web. En otro, Xploit-it, se mostraron diversos programas de seguridad de confeccion propia y se premio al mejor, LogIt.
La reunion fue tambien escenario de la presentacion de nuevos proyectos como Inseguridad.org, un servicio que se pondra en marcha en septiembre y ofrecera espacio web, dominios propios, direcciones de correo, listas y canales de IRC a todo contenido que cumpla la suma seguridad + castellano, quizas la nueva Isla Tortuga. Por otra parte, el grupo SET anuncio su Trivial Hacker Edition, una version del popular juego hecha especificamente para hackers, con mas de mil preguntas y de libre distribucion.
El domingo por la tarde se cerro la reunion, con la promesa de una 'NcN 2K' para el anyo que viene y la satisfaccion por parte de JJF Hackers Team de haber cumplido los objetivos, segun Conde Vampiro: "La montamos porque veiamos que en Espanya no se hacia nada y la gente lo pedia a gritos, para conocerse fisicamente, pasarlo bien y hacer vinculos. Habia habido otras convenciones, pero no era publicas". Esta si lo ha sido, incluso para un representante de Hacienda que se paseo una manyana por la reunion, explicando que venia a aprender, ya que este ministerio acaba de crear un grupo de delitos en Internet.
--
13:49 31/05/00
http://ww2.grn.es/merce/2000/hackempreses.html
S21SEC es un caso parecido. Empresa basada en Donosti, parece estar repleta de hackers según la publicidad, mayoritariamente de un conocido grupo que prefiere no ser nombrado. Su fundador, Miguel Fernández, experto informático de alma inquieta y empresario con buena vista, los reclutaba de la forma más rápida, en verano del año pasado: patrocinando una reunión de dos días en Mallorca, la NoConName, organizada por los ya desaparecidos JJF - Hackers Team -. Mikel, su apodo entre los chicos, cazó allí a un par de talentos y hoy son 13 técnicos. Xabier Mitxelena, director gerente, no duda en asegurar que ellos son la base de su negocio: "Tenemos los mejores hackers de España y esperamos seguir teniéndolos. Nos definimos como una empresa de hackers compuesta por los mejores ingenieros informáticos y de telecomunicaciones del país, expertos en Investigación, Desarrollo e Innovación, un gran equipo humano de nivel alto de ingeniería que puede decir con orgullo que, aparte de su titulación académica, tiene la virtud de utilizar sus habilidades de hacking de forma constructiva".
--
http://ww2.grn.es/merce/2002/ncn02.html
9:17 29/07/02
UN CENTENAR DE EXPERTOS EN SEGURIDAD SE REÚNEN EN MALLORCA
Mercè Molist
Cuatro días de sol, portátiles y hacking fueron ideales para los casi cien expertos, estudiosos y profesionales de la seguridad informática, con una edad media de 25 años, que confluyeron la semana pasada en la segunda edición del congreso 'NoConName'. Entre los debates y charlas, temas de actualidad como la conveniencia de informar públicamente de errores en programas o la inseguridad más que insegura de la mayoría de bases de datos.
No hubo ni una corbata. Sí, una, con un demonio de Tasmania dibujado. Y un abogado, camisetas de hackers, concursos, chistes sobre consultores, pingüinos. Los mayores ayudando a los pequeños, escuchando conferencias y tecleando a la vez. Famosillos de la 'escena' venidos de Madrid, de Asturias, de Andalucía, concentrados en el parque tecnológico ParcBit de Mallorca, entre almendros y algarrobos, el fin del mundo cual estación de inteligencia militar y, a la vez, un entorno buscadamente serio, con visita relámpago incluida del Conseller de Noves Tecnologies.
Las estrellas fueron los londinenses NGSsoftware, quienes presentaban, al mismo tiempo que en las listas de seguridad mundiales, un programa para aprovechar un agujero de seguridad ('exploit') del popular servidor de bases de dados Microsoft SQL. Los ingleses ofrecieron también una aplaudida demostración de otros errores de SQL, que permiten ejecutar archivos, cambiar webs, enviar correo desde la empresa o asaltar otras máquinas. Todo con la simple ayuda de un navegador, "inyectando" instrucciones en el formulario de autenticación "Nombre de Usuario" de una web. "Lo mismo ocurre con las bases de datos de otras marcas", concluían.
El debate sobre "full disclosure" (publicación total de fallos informáticos) puso la pasión al evento, con frases como: "Vivimos en un gruyere creyendo que vivimos en un sistema seguro". La mayoría estuvo a favor de publicar los errores y concentró la discusión en la conveniencia de dar también el programa "exploit", que permite al administrador comprobar si tiene el fallo, pero también al intruso. Uno de los asistentes afirmaba: "Yo y mis amigos no publicamos nuestros 'exploits', pero esto da un nivel superior para hacer daño, porque la gente no sabe que tiene el problema. Y, al final, como todos los secretos, acaba sabiéndolo medio planeta".
La conclusión unánime era que "los exploits deben publicarse, pero no de forma irresponsable, no cuando hagan daño, dando tiempo a los fabricantes para reaccionar". Gemma Gómez proponía la solución del "'full disclosure' por etapas, avisando primero a los proveedores, los fabricantes.. antes de hacerlo totalmente público". Otros reivindicaban que se pagase por los 'exploits'.
El futuro de los Sistemas de Detección de Intrusos hacia la inteligencia artificial y la estadística avanzada o las limitaciones en la aplicación de la Ley de Protección de Datos llenaron otras charlas. Sobre los datos, el auditor Ramón de la Iglesia imaginaba un videoclub, con alquiler de películas en línea, para explicar la odisea y el gasto que le supondría al dueño adaptarse a la ley: "Las 'pelas' que se va a gastar en su web este señor es impresionante, le valdría más poner una papelería. No es económicamente viable para las pymes, ni por la inversión ni por las multas".
Sorprendía entre tan buena información la juventud de los participantes y del núcleo duro, la asociación NoConName, cuyo presidente, José Nicolás Castellano, tiene 20 años. La misma edad que Oriol Carreras, ganador del concurso de ingeniería inversa. "Aquí están los mejores hackers", se sonreía uno de los veinte de la organización, con gente ya experimentada en la Balearikus Party. La intención, afirmaba Castellano, era "hacer un congreso de seguridad a nivel avanzado. Hay muy pocos y son 'light', sólo para empresarios y jefes de sistemas".
La diferencia con la reunión de amigos que fue la primera NoConName, en 1999, era notable, aunque la profesionalización no evitó que el espíritu se mantuviese. Àlex Clares denunciaba, ante el Conseller, la "criminalización de los hackers, que son buenos administradores y programadores que se dedican a la investigación para ampliar conocimientos"; recordaba que "la información debe compartirse libremente y no cobrarse abusivamente" y defendía "los sistemas libres, más accesibles y que no están por las nubes".
Ya en la despedida, se anunció que la NoConName tendrá una continuidad anual o bianual, siempre en las Baleares, y se denunciaron con nombres y apellidos las instituciones que han negado su ayuda al congreso. El presidente las perdonaba: "A la edad que tenemos, no inspiramos confianza ni seriedad a los espónsors. ¿Un chaval de veinte años, con pantalones anchos y una camiseta, qué confianza inspira?". De todas formas, concluía feliz un participante mientras empaquetaba su portátil, "la idea es buena".
NoConName
http://ncn.debaleares.net/
--
http://ww2.grn.es/merce/2006/noconname.html
03/10/06 11:08:28
"PODEMOS ROBAR UNA BASE DE DATOS EN 5 SEGUNDOS"
Los "hackers blancos" españoles comparten descubrimientos en Palma de Mallorca
Mercè Molist
Un centenar de expertos en seguridad informática, la mayoría empleados en las principales consultoras independientes españolas, se reunieron la semana pasada en Palma de Mallorca para contarse historias que ponen los pelos de punta. Como el juego de niños que es robar miles de datos personales o asaltar las redes bancarias, militares y corporativas del mundo.
La sexta edición de las jornadas No Con Name contó con una nutrida representación internacional, como el italiano Raoul Chiesa, quien demostró lo fácil que es entrar ilegalmente en la red Iberpac de Telefónica y las empresas conectadas a ella. También enseñó pruebas de sus paseos por sistemas de satélites como Brasilsat o Inmarsat.
Chiesa es un experto en redes X25, usadas por grandes empresas, operadoras y gobiernos cuando no existía Internet: "Todo el mundo se ha olvidado de sus viejos accesos a estas redes y no les dedican ninguna seguridad, son puertas traseras totalmente abiertas, que permiten entrar en las redes principales".
Según el italiano, hay un centenar de redes X25 funcionando aún en el mundo, transportando información "fácilmente interceptable y con pocas posibilidades de que te descubran", como transferencias bancarias, información aeronáutica, datos corporativos o gubernamentales.
Los argentinos César Cerrudo y Esteban Martínez afirmaron en su charla: "Podemos robar una base de datos en cinco segundos. Es sencillo porque la mayoría no están bien aseguradas". En el último año, 53 millones de personas han visto sus datos comprometidos en el mundo, la mayoría almacenados en grandes compañías. Una cifra pequeña, aseguraron: "Hay más casos, pero no se conocen porque sólo las empresas de EEUU tienen la obligación legal de denunciarlo".
Los argentinos afirmaron haber descubierto más de cien agujeros para los que no existe solución en las populares bases de datos Oracle: "Esto significa que, aunque tengas tu servidor bien configurado y parcheado, sigue siendo vulnerable a través de muchas técnicas, que permiten robar una base de datos completa en cuestión de minutos y a distancia, sin tener que meterte dentro", explicaron y demostraron.
La No Con Name contó con otras conferencias sobre cómo robar códigos de acceso, ataques a aplicaciones, virus, ingeniería inversa. Puso la guinda el tejano Shawn Merdinger, quien diseccionó la oferta de teléfonos para VozIP, donde la seguridad brilla por su ausencia: puertos abiertos que permiten a un atacante reconfigurar o bombardear el teléfono, espiar llamadas y otras maravillas.
Merdinger afirmó: "Las empresas de VozIP están más preocupadas por coger mercado que por la seguridad y sus aparatos permiten todos los ataques clásicos. Si consiguen su objetivo de meternos VozIP en neveras, coches, controles remotos, consolas, aviones, será una locura". El tejano relató un reciente fraude en Estados Unidos, donde dos delincuentes robaron servicio a un proveedor de VozIP y lo revendieron por valor de más de un millón de dólares.
En los corrillos, se confirmaban las afirmaciones hechas en las conferencias y se añadían nuevos datos, como lo fácil que resulta entrar en los sistemas de algunos bancos o penetrar en las redes de la OTAN. Visto a través de los ojos de los "hackers blancos" españoles, el mundo virtual no tiene paredes.
SE ACABÓ MANCHARSE EL DEDO PARA CONSEGUIR EL DNI
Con el nuevo DNI electrónico, desaparecerá la tradicional acción de mancharse el dedo en tinta para dejar la huella, explicó Alejandro Ramos, que ha participado en el proyecto: "La impresión dactilar se conseguirá mediante un sistema biométrico y, en 8 minutos, tendremos nuestro nuevo DNI".
Ramos afirmó que ya se está expidiendo con normalidad en una docena de ciudades, aunque quien no quiera activar la utilidad informática no está obligado a hacerlo. Con ella, explicó, se puede presentar a distancia la declaración de la renta, participar en subastas públicas o acceder a servicios de la Seguridad Social.
En caso de querer usarlo en Internet, hay que tener un aparato lector de tarjetas, descargar un certificado de la web de la Dirección General de Policía y activar el PIN, en uno de los quioscos dispuestos en las comisarias. De momento sólo funciona con Windows e Internet Explorer.
El experto desmintió que fuese difícil de usar: "Tampoco es cierto que en él se guarden nuestro ADN, grupo sanguíneo o historial de tráfico, sólo la información normal sobre quién es el ciudadano y sus certificados digitales".
Ramos destacó la robustez del sistema: "Para abrir el chip se necesitaría una cantidad muy importante de desarrollo. También se ha cuidado mucho que, cuando se meta el DNI en un dispositivo, no se pueda leer la comunicación entre ambos. No existen riesgos técnicos, excepto lo que venga de la picaresca".
No Con Name
http://www.noconname.org/congreso2006.php
Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
--
http://www.elladodelmal.com/2011/08/entrevista-nico-castellano-de-noconname.html
1) Hay algo que todos queremos saber… ¿cómo fue montar la primera NocONName? ¿A quién tuvisteis por allí?
Muy expectante por los inicios. El 99% de la gente no sabe que nuestra etapa se inició en un pub de Mallorca que frecuentábamos con DS y MKiller ( allí tomábamos algo antes de salir de fiesta). Recuerdo que con 20 años empezamos a mover una No cON de 15 personas donde conseguimos un pub que recientemente había cerrado dos dias de verano. Imagínate estar en frente de la catedral en el paseo marítimo y con camarero incluido (¡¡Muchas gracias Toni!!). También teníamos, como no, un Call For Papers como dios manda y camisetas negras h4x0r con un logo hecho por MeTalSluG. Vulns en BGP, Virus/Troyanos en Linux y distribuciones linux orientadas a seguridad from scratch fueron algunas de las charlas que recuerdo.
La siguiente en el 2002 fue abierta al público, fue la que más cariño le tengo (aqui descubrí que en seguridad no sólo existen los exploits, desarrollo e ideas creativas para romper un sistema). Llegamos a 112 inscritos, se partió con 0 euros y nos quedaron 400 euros para iniciar la siguiente. La gente que formaba la organización de aquel entonces se implicó al 150% y como también la gente que conocíamos de Balearikus Party (o como Ripe y Gema Gómez que también dieron ponencia) al igual que todos los ponentes que quisieron venir poniendo de su bolsillo el vuelo para venir a Mallorca. Así a voz de pronto recuerdo ponentes como Iñaki Lopez dando caña, o las anécdotas de Kaloyan (ICEFIRE), y como no a Chris Anley y Robert Horton de NGS Software que nos deslumbraron con sus demostraciones de SQL-Injections (cuando casi nadie sabia lo que era) y un 0day que más tarde fue aprovechado con intenciones malévolas para crear el worm conocido como SQLslammer. Cuatro dias de ponencias, ordenadores y fiesta, mucha fiesta que acabó por crear muy buen rollo y continuidad anual.
9) ¿Por qué el parón entre las NCN de Mallorca y Barcelona?
En el 2007 cambió el gobierno de las islas baleares, cuya política nos favorecia en forma de subvención, de hecho eran el sponsor más grande que ha habido nunca en la historia de la NcN. El nuevo gobierno quiso destinar su política a las tecnologías en el turismo.
Como yo ya vivia en Barcelona tuvimos que empezar de cero... Aún así hubo posibles sponsors que tenian todo el dinero del mundo y de un día para otro no tenian nada... esto retrasó el inicio de todo. A esto le sumamos que yo trabajaba a full pues quedaba poco tiempo para todo lo demás.
14) ¿Quién más está contigo trabajando en la organización de la NCN?
Somos ocho socios actualmente que aportamos trabajo para la organización del congreso. Si me preguntas quienes, prefiero que la gente les conozca por sus acciones y no porque que yo les presente.
15) ¿Tenéis apoyo institucional o estáis empujando solos?
Hace unos años, cuando estabamos en Mallorca sí. El año pasado tuvimos una colaboración con la Generalitat de Catalunya y este año estamos trabajando en ello, lo que pasa es que es muy dificil, casi todo el apoyo lo empujamos nosotros con la aportación de los patrocinadores, ponentes, colaboradores desinteresados, webs, y los asistentes.
--
|
[ 7a69#14 ] [ 21-10-2002 ]
\ /
\-------------------------------------------------------------------------/
{ 14 - NcN. El congreso de Palma. }{ Ripe }
|-----------------------------------------------------------------------|
|------------------------------------------------------------|
_ _ _ _
| \ | | ___ ___ ___ _ __ | \ | | __ _ _ __ ___ ___
| \| |/ _ \ / __/ _ \| '_ \ | \| |/ _` | '_ ` _ \ / _ \
| |\ | (_) | | (_| (_) | | | | | |\ | (_| | | | | | | __/
|_| \_|\___/ \___\___/|_| |_| |_| \_|\__,_|_| |_| |_|\___|
____ _ ____
|___ \| | _|___ \
__) | |/ / __) |
http://ncn.debaleares.net / __/| < / __/
|_____|_|\_\_____|
|------------------------------------------------------------|
Mallorca siempre ha destacado por sus bonitas playas y calas, por sus rutas terrestres, y por esas tantas cosas que han atraido desde siempre al turismo hasta el punto de convertirse en el punto de España que mas turismo atrae, sin embargo este año ha sido distinto, por varias cosas. Mallorca ha cedido el trono de mayor atraccion de turistica a la comunidad autonoma de Catalunya, y un centenar de personas han pisado las tierras de la isla sin la intencion de ir a la playa. ¿Donde iban? A la segunda edicion en abierto de la No Con Name 2002 (aka NcN'2k2), congreso destinado a fomentar la seguridad informatica en nuestro pais.
El evento tuvo lugar del 25 al 28 de julio, en el Parcbit de Palma de Mallorca, muy cerca de la Universitat de les Illes Balears (UIB), en un recinto lujosamente preparado para eventos de este tipo, pero que debido a su lejania de las zonas pobladas no se habia usado mucho desde su creacion. Por suerte hay una serie de gente antisocial cuya meta es alejarse de la civilizacion: los hackers (destacare aqui el tono ironico, para que no haya malentendidos).
Las primeras horas del 25 de julio las destinamos a conocer a toda esa gente, que en ¿coche?, barco o avion se habian plantado en la isla, esperando que la organizacion de la NcN nos dejara entrar...eso si, firmando antes un papel en el que la organizacion de la NcN se lavaba las manos sobre lo que pudiera pasar ahi dentro. La legalidad de ese papel fue uno de los temas de discusion durante la espera.
Una vez dentro, algo mas tarde de lo previsto, nos sentamos cada uno en el sitio asignado a la espera de la movida, que llegaria algo mas tarde con una charla de presentacion realizada por algunos de los miembros de la organizacion: en ella explicaron el pasado, presente y futuro de la NcN. Lejos de la NcN'99, esta nueva edicion iba mucho mas orientada a las empresas que, pese a todo, no acudieron a la cita, salvo pequeñas excepciones. Si la orientacion de las dos ediciones de la NcN era distinta, cabe destacar que la gente que acudio era mas o menos la misma (refiriendome al tipo de persona que se podia ver por alla: joven, estudiante, interesado en la seguridad informatica como hobbie...), lo que da mucho que pensar sobre el interes de las empresas españolas en lo que a seguridad informatica se refiere.
Con el cuerpo aun en frio llega la charla de Iñaki Lopez sobre el chroot como entorno seguro. Tomo apuntes, pues 2 dias mas tarde deberia dar yo una sobre las inseguridades del chroot. La charla de Iñaki fue realmente completa, explicando cosas que incluso tenia pensado explicar yo. Despues del turno de preguntas y un largo descanso (mala comida incluida) debia realizarse una mesa redonda sobre el panorama español en lo que a seguridad informatica se refiere, un tema muy tratado ultimamente. No recuerdo exactamente que, pero algo me impidio asistir. Y llegaria despues de un largo descanso la charla de Loadable Kernel Modules, mas que interesante y en la que acabaron saltando chispas. El dia en la NcN terminaba para mi, pues las charlas que venian a continuacion no me atraian lo suficiente como para privarme de un paseo por Valldemossa, un bonito pueblo rural que se encuentra en uno de los puntos mas altos de la isla y desde el cual las vistas son geniales. Me daria aun tiempo de volver e ir a cenar a un telepizza y luego unas copas con algunos miembros de la organizacion NcN, para finalmente ir al hotel.
Segundo dia. Calor, mucho calor. Desayuno en el Hotel junto a la gente de esCERT e Iñaki, mostrando nuestras opiniones sobre el primer dia de la NcN con el croisant en la boca. La primera charla del dia era sobre la instalacion de un sistema de deteccion de intrusos automatizado, pero estaba claro que, debido a la hora que era y habiendonos levantado realmente tarde, ya no llegabamos; asi que decidimos realizar una pequeña sobremesa. Despues de charlar sobre alguna tonteria y algun que otro mecanismo de seguridad pedimos un taxi en recepcion y nos fuimos hacia el Parcbit. Llegamos al Parcbit sobre las 11, hora en que tenia que empezar la charla de analisis forense, una de las charlas que tenia apuntadas en mi agenda como imprescindibles, pero el retraso de Daniel Cabezas, que la noche anterior se habia pasado con la farra, demoro su charla de IDS. Cuando llegamos aun seguia.
Terminada la charla de Daniel, era el momento de centrar nuestra atencion hacia las huellas que un intruso podia dejar en una maquina: empezaba la charla de analisis forense; charla que, a mi parecer, dejo muchisimo que desear. Sin practicamente tiempo para el descanso me situaria detras de la mesa, de cara al publico, esperando que sonara la campana para iniciar un duro duelo verbal contra Daniel Cabezas. Discutiamos sobre la Full Disclosure, otro de los temas de moda a nivel mundial: para este debate conte con la ayuda de tuxisuau, que ya habia estado conmigo unos meses antes debatiendo ese mismo tema en la universidad de Mataro, en una mesa redonda a la que nos habian invitado la gente de la ASSL (Asociación de Soporte al Software Libre). Sobre las 2 terminaria el duelo en empate, y los participantes siguieron discutiendo hasta llegar al tunel de vestuarios, donde esperaba la comida. Habiendo visto la comida del dia anterior decidi irme a un restaurante. Comi pensando en la vuelta, pues me tocaria a mi dar la charla de Tendencia a la automatizacion de exploits.
Llego mas tarde de la hora prevista, pero los preparativos aun no estan hechos y he de esperarme un buen rato, tengo tiempo de tomar unos ultimos apuntes antes de empezar. Finaliza mi charla, con situacion comica incluida y se avecina la que en mi opinion fue la mejor charla de la NcN. Impartida por Chris Anley (magnifico compañero de habitacion) la charla verso sobre SQL Inject. Tras la finalizacion, bastante mas tarde de lo previsto, los aplausos sonaron con autentica fuerza en la sala, muchos de los asistentes mostrando autentica satisfaccion ante las demostraciones del director de NGSSoftware, Chris.
Despues de unos minutos de confusion Iñaki Lopez presento un debuger que estaba programando. Quede un poco decepcionado, pues el titulo de la charla prometia algo mas: "Ejecucion controlada de sistemas vulnerables". Obviamente, habian cambiado el tema de la charla a ultima hora.
Aguanto un par de minutos escuchando un coñazo sobre la Firma Digital y decido irme. Sin nada que hacer, pues los dos concursos previstos para la NcN no estaban aun operativos, decido irme a dar una vuelta por Palma de Mallorca, donde mas tarde, esa misma noche, me reuniria de nuevo con asistentes de la NcN para tomar alguna copa. Abunda la pomada, tipica bebida mallorquina cuyos ingredientes basicos son limon y ginebra, servida en porron, asi que algun que otro trago se vio caer. Pensando ya en el dia siguiente decido volverme al hotel, en lugar de ir con el resto por las discos de la zona.
La noche era muy calurosa, pero despues de una larga charla con Chris Anley logro dormir profundamente, tan profundamente que a las 10 de la mañana (hora en que amanecia el nuevo dia para la NcN) yo seguia en cama. Hago un gran esfuerzo para levantarme, ir al vestibulo y pedir un taxi.
Llego a media charla de Seguridad Linux, impartida por el bulgaro residente en España, Kaloyan Olegov Gueorguiev. Las caras de la gente mostraban caras de satisfaccion, señal que la charla del bulgaro estaba gustando. Esta charla fue, ademas, una de las charlas mas largas de la NcN. Despues de escuchar la ponencia de seguridad en sistemas linux, tocaba escuchar una sobre el reglamento de proteccion de datos, un tema realmente intresante... para aquel a quien le interese, no para mi.
Decido irme a comer con unos cuantos a Palma. Despues de comer, tomar un cafe y dar una vuelta por la ciudad, volvemos a Parcbit. Debia entonces prepararme la charla de chroot que aun tenia algo verde, y haciendo algun que otro experimento me cargo /dev/hda2 asi que me quedo sin el material necesario para dar la charla... esto solo podia pasarme a mi. Nervios, muchos nervios y prisas. Tenia la intencion de rescatar parte del material de otras maquinas en las que habia copias bastante antiguas e improvisar un poco (nunca se me ha dado bien esto de improvisar en publico).
Retrasan mi charla para darme mas tiempo. Mientras yo estaba montando una maquina para hacer las demostraciones y enseñar las cosas, Gema Gomez nos daba una charla sobre criptografia, debido a la situacion en la que me encontraba no pude prestar demasiada atencion a la misma. Yo a lo mio, tratando de solventar los problemas que tenia con una tarjeta ethernet no soportada por el kernel 2.2, problema que solucione cambiando la tarjeta de la maquina por una con chipset realtek.
Finalizada la charla de Gema, llega mi turno, salgo a escena e improviso. La cosa no salio mal del todo, aunque me olvide un monton de cosas que tenia pensado contar... agh.
Final del dia, noche de fiesta y bebida... para terminar, como cada noche, en el hotel charlando con Chris sobre cualquier tonteria que se nos ocurriese.
El ultimo dia de la NcN fue realmente tranquilo, la gente se centro mas en recojer las cosas que en hacer algo. Yo no asisti por la mañana, asi que me perdi la charla sobre la organizacion del evento, lo que si que pude ver, ya por la tarde, es la explicacion de Oriol Carreras sobre el como habia logrado superar la prueba planteada en el concurso de ingenieria inversa. Charlita improvisada pero realmente intresante para aquellos que tuvieran intencion de aprender a usar debugers como el gdb :)
Tras una ultima charla de la organizacion, cuyo objetivo era el de sacar conclusiones finaliza la NcN'2k2, al centenar de personas que asistimos nos espera ahora un duro viaje de vuelta, cruzando mar y ¿montañas?
- EOF*
--
LA COLUMNA DE OPINION: NOCONNAME 2005. CArlos Mesa. http://elistas.net/lista/informativos/archivo/indice/61/msg/74/
"Podemos robar una base de datos en 5 segundos". Mercè Molist
http://www.vsantivirus.com/mm-noconname-2006.htm
NoConName – Attack Surface Analysis of Windows CE/Mobile 5 Updated: 29 Jun 2009 Ollie Whitehouse http://www.symantec.com/connect/blogs/noconname-attack-surface-analysis-windows-cemobile-5
NoConName debate la publicación de los fallos de seguridad
Los Sistemas de Detección de Intrusos y la estadística avanzada llenaron otras charlas del congreso NoConName
MERCÈ MOLIST 01/08/2002
Resumen de NoConName 2011 #ncn2k11. Lorenzo Martínez lunes 19 de septiembre de 2011 http://www.securitybydefault.com/2011/09/resumen-de-noconname-2011-ncn2k11.html
"Las empresas no se toman la seguridad en serio" Expertos critican en una convención la falta de medidas
MERCÈ MOLIST - Barcelona - 07/10/2011 http://www.elpais.com/articulo/Pantallas/empresas/toman/seguridad/serio/elpepurtv/20111007elpepirtv_2/Tes
