9:17 29/07/02
UN CENTENAR DE EXPERTOS EN SEGURIDAD SE REÚNEN EN MALLORCA
Mercè Molist
Cuatro días de sol, portátiles y hacking fueron ideales para los casi cien expertos, estudiosos y profesionales de la seguridad informática, con una edad media de 25 años, que confluyeron la semana pasada en la segunda edición del congreso 'NoConName'. Entre los debates y charlas, temas de actualidad como la conveniencia de informar públicamente de errores en programas o la inseguridad más que insegura de la mayoría de bases de datos.No hubo ni una corbata. Sí, una, con un demonio de Tasmania dibujado. Y un abogado, camisetas de hackers, concursos, chistes sobre consultores, pingüinos. Los mayores ayudando a los pequeños, escuchando conferencias y tecleando a la vez. Famosillos de la 'escena' venidos de Madrid, de Asturias, de Andalucía, concentrados en el parque tecnológico ParcBit de Mallorca, entre almendros y algarrobos, el fin del mundo cual estación de inteligencia militar y, a la vez, un entorno buscadamente serio, con visita relámpago incluida del Conseller de Noves Tecnologies.
Las estrellas fueron los londinenses NGSsoftware, quienes presentaban, al mismo tiempo que en las listas de seguridad mundiales, un programa para aprovechar un agujero de seguridad ('exploit') del popular servidor de bases de dados Microsoft SQL. Los ingleses ofrecieron también una aplaudida demostración de otros errores de SQL, que permiten ejecutar archivos, cambiar webs, enviar correo desde la empresa o asaltar otras máquinas. Todo con la simple ayuda de un navegador, "inyectando" instrucciones en el formulario de autenticación "Nombre de Usuario" de una web. "Lo mismo ocurre con las bases de datos de otras marcas", concluían.
El debate sobre "full disclosure" (publicación total de fallos informáticos) puso la pasión al evento, con frases como: "Vivimos en un gruyere creyendo que vivimos en un sistema seguro". La mayoría estuvo a favor de publicar los errores y concentró la discusión en la conveniencia de dar también el programa "exploit", que permite al administrador comprobar si tiene el fallo, pero también al intruso. Uno de los asistentes afirmaba: "Yo y mis amigos no publicamos nuestros 'exploits', pero esto da un nivel superior para hacer daño, porque la gente no sabe que tiene el problema. Y, al final, como todos los secretos, acaba sabiéndolo medio planeta".
La conclusión unánime era que "los exploits deben publicarse, pero no de forma irresponsable, no cuando hagan daño, dando tiempo a los fabricantes para reaccionar". Gemma Gómez proponía la solución del "'full disclosure' por etapas, avisando primero a los proveedores, los fabricantes.. antes de hacerlo totalmente público". Otros reivindicaban que se pagase por los 'exploits'.
El futuro de los Sistemas de Detección de Intrusos hacia la inteligencia artificial y la estadística avanzada o las limitaciones en la aplicación de la Ley de Protección de Datos llenaron otras charlas. Sobre los datos, el auditor Ramón de la Iglesia imaginaba un videoclub, con alquiler de películas en línea, para explicar la odisea y el gasto que le supondría al dueño adaptarse a la ley: "Las 'pelas' que se va a gastar en su web este señor es impresionante, le valdría más poner una papelería. No es económicamente viable para las pymes, ni por la inversión ni por las multas".
Sorprendía entre tan buena información la juventud de los participantes y del núcleo duro, la asociación NoConName, cuyo presidente, José Nicolás Castellano, tiene 20 años. La misma edad que Oriol Carreras, ganador del concurso de ingeniería inversa. "Aquí están los mejores hackers", se sonreía uno de los veinte de la organización, con gente ya experimentada en la Balearikus Party. La intención, afirmaba Castellano, era "hacer un congreso de seguridad a nivel avanzado. Hay muy pocos y son 'light', sólo para empresarios y jefes de sistemas".
La diferencia con la reunión de amigos que fue la primera NoConName, en 1999, era notable, aunque la profesionalización no evitó que el espíritu se mantuviese. Àlex Clares denunciaba, ante el Conseller, la "criminalización de los hackers, que son buenos administradores y programadores que se dedican a la investigación para ampliar conocimientos"; recordaba que "la información debe compartirse libremente y no cobrarse abusivamente" y defendía "los sistemas libres, más accesibles y que no están por las nubes".
Ya en la despedida, se anunció que la NoConName tendrá una continuidad anual o bianual, siempre en las Baleares, y se denunciaron con nombres y apellidos las instituciones que han negado su ayuda al congreso. El presidente las perdonaba: "A la edad que tenemos, no inspiramos confianza ni seriedad a los espónsors. ¿Un chaval de veinte años, con pantalones anchos y una camiseta, qué confianza inspira?". De todas formas, concluía feliz un participante mientras empaquetaba su portátil, "la idea es buena".
NoConName
http://ncn.debaleares.net/