NoConName debate la publicaci¨®n de los fallos de seguridad
Los Sistemas de Detecci¨®n de Intrusos y la estad¨ªstica avanzada llenaron otras charlas del congreso NoConName
Cuatro d¨ªas de sol, port¨¢tiles y hacking fueron ideales para los casi cien expertos, estudiosos y profesionales de la seguridad inform¨¢tica, con una edad media de 25 a?os, que confluyeron la semana pasada en la segunda edici¨®n del congreso NoConName.
En el parque tecnol¨®gico ParcBit de Mallorca, y en un ambiente buscadamente serio, se debatieron temas de actualidad como la conveniencia de informar p¨²blicamente de errores en programas o la inseguridad en las bases de datos.
Las estrellas de NoConName fueron los londinenses NGSsoftware, quienes presentaban, al mismo tiempo que en las listas de seguridad mundiales, un programa para aprovechar un agujero de seguridad (exploit, en ingl¨¦s) del popular servidor de bases de dados Microsoft SQL. Los ingleses ofrecieron tambi¨¦n una aplaudida demostraci¨®n de otros errores de SQL, que permiten ejecutar archivos, cambiar webs, enviar correo desde la empresa o asaltar otras m¨¢quinas. Todo con la simple ayuda de un navegador, 'inyectando' instrucciones en el formulario de autenticaci¨®n Nombre de Usuario de una web. 'Lo mismo ocurre con las bases de datos de otras marcas', conclu¨ªan.
El debate sobre full disclosure (publicaci¨®n total de fallos inform¨¢ticos) puso la pasi¨®n al evento, con frases como: 'Vivimos en un gruy¨¨re creyendo que vivimos en un sistema seguro'. La mayor¨ªa estuvo a favor de publicar los errores y concentr¨® la discusi¨®n en la conveniencia de dar tambi¨¦n el programa exploit, que permite al administrador comprobar si tiene el fallo, pero tambi¨¦n al intruso. Uno de los asistentes afirmaba: 'Yo y mis amigos no publicamos nuestros exploits, pero esto da un nivel superior para hacer da?o, porque la gente no sabe que tiene el problema. Y, al final, como todos los secretos, acaba sabi¨¦ndolo medio planeta'.
La conclusi¨®n un¨¢nime de los asistentes era que 'los exploits deben publicarse, pero no de forma irresponsable, no cuando hagan da?o, dando tiempo a los fabricantes para reaccionar'. Gemma G¨®mez, propon¨ªa la soluci¨®n del 'full disclosure por etapas, avisando primero a los proveedores, los fabricantes... antes de hacerlo p¨²blico'. Otros reivindicaban que se pagase por los exploits.
El futuro de los Sistemas de Detecci¨®n de Intrusos hacia la inteligencia artificial y la estad¨ªstica avanzada o las limitaciones en la aplicaci¨®n de la Ley de Protecci¨®n de Datos llenaron otras charlas. Sobre los datos, el auditor Ram¨®n de la Iglesia imaginaba un videoclub, con alquiler de pel¨ªculas en l¨ªnea, para explicar la odisea y el gasto que le supondr¨ªa al due?o adaptarse a la ley: 'El dinero que se va a gastar en su web este se?or es impresionante, le valdr¨ªa m¨¢s poner una papeler¨ªa. No es econ¨®micamente viable para las pymes, ni por la inversi¨®n ni por las multas'.
Sorprend¨ªa entre tan buena informaci¨®n la juventud de los participantes y del n¨²cleo duro, la asociaci¨®n NoConName, cuyo presidente, Jos¨¦ Nicol¨¢s Castellano, tiene 20 a?os. La misma edad que Oriol Carreras, ganador del concurso de ingenier¨ªa inversa. 'Aqu¨ª est¨¢n los mejores hackers', se sonre¨ªa uno de los veinte de la organizaci¨®n, con gente ya experimentada en la Balearikus Party.
La diferencia con la reuni¨®n de amigos que fue la primera NoConName, en 1999, era notable, aunque la profesionalizaci¨®n no evit¨® que el esp¨ªritu se mantuviese. ?lex Clares denunciaba la 'criminalizaci¨®n de los hackers, que son buenos administradores y programadores que se dedican a la investigaci¨®n para ampliar conocimientos'; recordaba que 'la informaci¨®n debe compartirse libremente y no cobrarse abusivamente' y defend¨ªa 'los sistemas libres, m¨¢s accesibles y baratos'.
Ya en la despedida, se anunci¨® que la NoConName tendr¨¢ una continuidad anual o bianual, siempre en las Baleares.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.