Este post surge como contestación a
este hilo en twitter pero que se podría haber dado
también aquí, y dado que éste no es un blog de opinión especialmente,
me han invitado a hacerlo con la condición de
redactar uno técnico. Esta publicación es un artículo de reflexión y no busco estar de acuerdo con nadie, tengo mi visión y mi cristal desde el prisma en el que lo veo. Seguramente cualquiera en cualquier momento puede ponerse en cristal opuesto y verlo totalmente distinto, voy a intentar trasladar dichas reflexiones.
Es un hecho que en España ya se congregaban hackers en
algunos encuentros privados con cierta formalidad y otras sin ella, pero desde 2002 han ido emergiendo multitud de congregaciones que tienen que ver con el mundo de la Seguridad IT y
hacking, y casi todas constituidas con titularidad jurídica propia y declaradas como
asociación sin ánimo de lucro, lo cual indica la declaración de los socios fundadores o constituyentes de no lucrarse con las actividades que realizan y de cumplir con ciertas obligaciones que marca la ley de asociaciones. RootedCON con su satélite RootedVLC, No cON Name, Navaja Negra, ConectaCON, GSICKMinds, Congreso SSI, hackr0n, hackmeeting, etc. sonarán a más de una persona, pues son eventos que se nombran mucho en redes sociales y multitud de medios (como este), hay también eventos organizados por instituciones públicas como ENISE, Cybercamp o las Jornadas del CCN-CERT, eventos de concienciación como X1red+segura y por supuesto numerosas jornadas profesionales organizadas por las mismas empresas cuya finalidad son totalmente loables para intentar levantar su negocio (aunque las estrategias que veo que más están adoptando las empresas es la de asociar su imagen de marca a un conocimiento de "novedad", a ciertos expertos, o a un evento sin fines de lucro). Existe una ponencia titulada
"A talk about (info-sec) talks" de Haroon Meer que pienso que es de vista casi obligada como reflexión para el asistente y el organizador.
El tema que seguramente está en más de una mente en estos días sobre las CONs, está relacionado con:
1- La multitud de eventos del mismo formato y su conveniencia en España.
¿Cual es la finalidad que piensan los organizadores de lo que debe ser su evento? ¿Divulgativa? ¿Investigación? ¿Sociabilización/Networking? ¿Show? ¿Negocio? ¿Underground? ¿Ser cool/hax0r/guay? ¿Todo lo anterior? ¿Ayuda a la gente en su región? Eso solo lo saben los organizadores y lo que explican en sus webs. No siempre es lo que parece, sino lo que es, dado que muchas veces los organizadores no llegan a lo que quisieran, pero sobretodo que cada uno saque sus conclusiones yendo y preguntándoles, que nadie te lo cuente ;-)
¿Porqué hay muchos eventos del mismo estilo? ¿Se preguntan los organizadores las razones e idoneidad antes de iniciar un evento de características similares? Me refiero a dar ponencias/charlas ofensivas/hax0r/exploit/memegracioso/booom. En el video de Haroon Mer menciona tres razones de los que inducen a los organizadores a convocarlas: "Algunas razones generosas", "Dinero" o "influencia". La realidad es que hay multitud de eventos de este formato y no ABUNDAN por ejemplo (organizadas por hackers): hackatones, CaptureTheFlag, jornadas de concienciación sobre privacidad, Signing Partyes, canales temáticos en radio, TV, talleres prácticos sobre desarrollo, exploiting, o hardware hacking, etc. y estos en mi opinión tendrían incluso más éxito que los eventos del formato ponencia magistral.
Algunos mensaje de opiniones que he podido extraer en listas de correo como
NocONName o
RootedCON:
<aramosf> Demasiados eventos: hemos pasado de que hubiera pocos, a una época de ninguno, para ahora tener tropecientos. Pues mejor, ¿no? así los habrá para todos los niveles y gustos. Aunque yo sigo pensando que falta un tipo de evento práctico y abierto a modo workshop y que no tenga que ser de seguridad, que sea puramente tecnológico. La gente ahora no tiene background como antes, la gente empieza directamente a trabajar en seguridad sin haberse pegado con código, sistemas o con redes... me refiero a pegarse de verdad , no a compilar una shell en la práctica de la Uni, ni instalarse una Solaris en una máquina virtual o configurar un iptables en el router de su casa. Yo pienso que cada vez hay menos arquitectos de seguridad y más nessus con ojos que tras su primer script en nasl quieren explicarlo delante de 600 personas.
<patowc> Sobre la abundancia de Congresos: pues es COMO DEBE SER. Yo estoy absolutamente orgulloso de que aparezcan más y más eventos en nuestro país, que buena falta le hace. Y ESPERO QUE CADA VEZ HAYA MÁS. Como dice Nico, quizás deberíamos plantearnos hacer cosas diferentes (nosotros los primeros, ojo, que no hacemos otra cosa que repetir un esquema que lleva desde la época de los LOD).
2- La conveniencia de sus fechas ya que están muy cercanas (especialmente las del segundo semestre del año)
Es una situación nefasta, y en algún encuentro que hemos tenido representantes de las CONs, ya se ha mencionado que no favorece a ninguna, más que nada porque no hay tantos interesados en asistir a todas a la vez sin un poco más de respiro. En mi opinión en muchas son casi los mismos. Es algo que se ha empezado a intercambiar entre organizadores con unos correos, pero no se ha avanzado.
3- La conveniencia de la repetición de ponencias (que se puedan aceptar en varias CONs).
Esto depende mucho del tipo de rumbo que quiera tomar la organización. Si el evento lo toman con el fin de enfocarlo a un evento divulgativo, es razonable que no les importe repetir las ponencias, pues puedes repetir tantas ponencias las veces y ediciones que lo organización considere. Otros eventos pretenden ser un punto de referencia en la investigación y/o novedad por lo se puntúan y se eligen según los criterios de la novedad, y algunas incluso no aceptan ponencias que se hayan dado en otros lugares. En el vídeo menciona otras razones que os invito a que conozcáis.
Algunos comentarios sobre las
repeticiones o
no-presentación de algunas ponencias pueden ser:
<patowc> "De potenciales ponentes que se cagan y deciden no echar charlas..."
<Lorenzo Martinez> "Sigo pensando que lo de la exclusividad está muy bien para la organización de un evento, y que por supuesto le da cache y valor al evento..."
<patowc> De gente que cree que lo que puede contar "no le interesa a nadie"
<Albert López> Pero es que el problema ya no es que una misma
persona repita la misma charla una y otra vez, el problema es ver
refritos de una charla innovadora que se hizo hace 5 años y se siguen
haciendo charlas sobre lo mismo...
<patowc> De gente que no explora conceptos absurdos a priori...
<n0p> No digo que no se repitan charlas, pero es que vas a la NN, a la rooted y a la NCN y ves 3 veces varias charlas...
<Jesús Arnáiz> "Sinceramente, creo que la mayoría de las ponencias deben de costar a los investigadores muchos meses de trabajo para poder tener esa calidad. Tampoco van a estar 10 años contando lo mismo, pero creo que está bien que lo presenten, al menos durante ese año, en varios eventos. Así, además, llega a más gente..." "...(sé que están en youtube, pero es diferente verlas en directo, poder preguntar, etc.). También para el investigador ver cómo es acogido su trabajo en diferentes entornos, países, etc., puede ser interesante." ... "Entiendo que como organizador se premie la "primicia", y me parece bien que sea un aspecto valorable y por tanto, una charla pueda dejar fuera a otra por este hecho; Aparte, no soy yo quien le vaya a decir a una organización cómo debe valorar el contenido que ofrece en su congreso".
<patowc> La primicia es IMPORTANTE para los congresos. Porque ayuda a que el nombre del congreso se conozca, a poder mantenerse y lo ayuda a crecer.
4- Reflexiones y críticas desde el punto de vista del asistente (calidad)
Desde el punto de vista de los asistentes es bastante cómodo asistir a un evento (o a varios) si el bolsillo y el trabajo te lo permite (yo también lo soy de otros eventos) y
beneficiarse de comodidades, prestaciones y experiencia ,proximidad y al menor coste posible.
<n0p> sobre todo, lo que mas me jode, son las charlas-show en las que estas una hora hablando y se podría resumir todo en un paper de 2 folios, pero te lo meto en una charla, 4 coñas, 3 memes y ale, una hora rajando. De vez en cuando, como comic-relief está bien, pero parece que se están convirtiendo en costumbre.
<n0p> cada vez hay menos información de la charla que vas a ver ANTES del congreso. Muchas charlas se presentan sólo con un título enigmático y punto.
<n0p> Me da la impresión que las cons están derivando a una quedada de amigos, donde siempre se juntan los mismos grupos y siempre dan las charlas las mismas personas, y cada vez se dejan más de lado las mismas en pro del evento social.
<Sinosuke> Lo de los memes y las coñas, para mí son indispensables, que la gente se pasa desde las 9:00 a las 19:00 escuchando charlas. Técnicas sí, por supuesto, pero un mínimo de amenas también, que no son cosas incompatibles
<Alfonso Muñoz> No veo ningún problema en que se repitan charlas, es más creo que incluso, por distintas razones (algunas las apuntaba Vins) es hasta positivo. Al final, es una decisión de la organización. No se genera material de calidad con facilidad ni existe tanta gente con las habilidades suficientes para exponerlas en público, una organización corre el riesgo de quedarse sin ponencias o con ponencias de menor categoría...
5- Valoraciones personales por parte de la organización de eventos.
- Rumbo que se marca con las virtudes y deficiencias de los organizadores que lo forman. Los equipos llegan a ser grandes por muchas cualidades, pero el éxito está en su configuración, habilidad y unión.
- Carácter y forma del evento: simposio, jornadas, seminario, disertación o congreso y su finalidad.
- Cantidad de asistentes vs filosofía: no siempre es así, pero no siempre los eventos que tienen menos cantidad de asistentes son de segunda. Los que hayáis estado en Euskal Party sabréis de qué hablo.
- Idoneidad del evento: por supuesto como a toda persona o colectivo que dedica un tiempo, y más si es para darlo al resto, le gusta que ese tiempo sea de utilidad o reconocimiento: como comentaba con un maestro: hacer un evento para difundir los bailes y ritmos populares-tradicionales cubanos en Barcelona cuando hay cinco eventos con carácter lucrativo que funcionan, no tiene sentido; pero en otra ciudad que no se hace nada de nada, sí que se puede empezar a trabajar.
- Idoneidad/mesura e intrusismo con el mundo laboral/privado: en el caso de los eventos altruistas, hay colectivos que se ganan la vida con las formaciones o dando otros tipos de servicio. La situación de precariedad laboral en estas fechas hace que mucha gente agudice el ingenio, y a veces el remedio sea peor que la enfermedad: no hay que olvidarse de la gente que ya está en el terreno laboral, pues hay que medir la cultura del "todo gratis": "sí, la cultura es propiedad de la humanidad" pero medir el formato que se da.
- Financiación: todos los eventos se pueden hacer perfectamente sin dinero y nosotros en nuestros inicios lo hemos hecho. El quid es contar con la gente que quiera participar y sobretodo para hacerlo ágil y en unas condiciones cómodas, cuesta dinero que evidentemente hay que pagarlo (viajes de ponentes, estancia, gastos varios, alquiler de salas, merchandising, etc.) ya sea de los participantes y/o patrocinadores. No es mejor ni peor que un evento que cuente con más o menos presupuesto, todo es dependiendo de la finalidad de la organización.
- Patrocinadores: Experiencia con muchos patrocinadores las hay, positivas y negativas, si los eventos son con una organización sin ánimo de lucro no hay que olvidarse que los patrocinadores son un medio, no un fin. Es decir para llegar a realizar el congreso con comodidades se necesita un presupuesto, y parte de él ha surgido de un acuerdo con patrocinadores, pero las condiciones ha de ponerlas la organización (pese a algunas malas experiencias):
P:¿Nos podrías enviar el listado de emails de los participantes? N:No. P:Lo teníamos que intentar jeje
en caso contrario pierde su esencia para convertirse en instrumento del eje lobbista (hay que estar atentos)
- Colaboraciones: Primordial, hay que ayudarse entre "hermanos". Pero las colaboraciones en ambos sentidos (por favor, no solo en uno) e ir de frente.
- Evitar a los ventajistas: Vamos, los trepas o lameculos que quieren estar en la organización para conseguir otro fin que no es el de la organización, en el caso de los eventos altruistas éstos hacen perder mucho tiempo.
- En el caso de un evento con charlas y ponentes: dar oportunidad a nuevos ponentes y animarles con sugerencias como ser buenos oradores y que den algo de valor añadido a su proyecto de investigación/hacking (no solo leer en h3x4d3c1m3l es señal de un buen análisis, p.ej. inducir a mencionar el campo de pruebas realizadas para tener más información o, conclusiones/impacto que esa investigación tiene o podría tener en un campo de pruebas como la vida real.)
6- Conclusiones
Pienso que tanto organizadores como asistentes tenemos mucho que trabajar, con esta publicación quiero reflejar que por parte de la organización no es fácil hacer un evento personalizado, al final los que realizan eventos necesitan que tenga éxito, y esto depende del esfuerzo de mucha gente, no solo de uno, ni de dos... ni de ... la organización, sino de muchos actores implicados que quieren que funcione... La mayoría de gente piensa que el rumbo que toman las CONs debe ser diseñada junto con su márketing para un cliente/asistente como si de un producto se tratase, y no siempre es así: sino que a veces es una filosofía que ven algunos y que tarda verse, madurar y encajar.
Artículo cortesía de José Nicolás Castellano (Nico)
@jncastellano - Organizador en No cON Name