25 septiembre 2014

¿Qué habrá detrás de las Conferencias de Seguridad IT/Hacking?

Este post surge como contestación a este hilo en twitter pero que se podría haber dado también aquí, y dado que éste no es un blog de opinión especialmente, me han invitado a hacerlo con la condición de redactar uno técnico. Esta publicación es un artículo de reflexión y no busco estar de acuerdo con nadie, tengo mi visión y mi cristal desde el prisma en el que lo veo. Seguramente cualquiera en cualquier momento puede ponerse en cristal opuesto y verlo totalmente distinto, voy a intentar trasladar dichas reflexiones.

Es un hecho que en España ya se congregaban hackers en algunos encuentros privados con cierta formalidad y otras sin ella, pero desde 2002 han ido emergiendo multitud de congregaciones que tienen que ver con el mundo de la Seguridad IT y hacking, y casi todas constituidas con titularidad jurídica propia y declaradas como asociación sin ánimo de lucro, lo cual indica la declaración de los socios fundadores o constituyentes de no lucrarse con las actividades que realizan y de cumplir con ciertas obligaciones que marca la ley de asociaciones. RootedCON con su satélite RootedVLC, No cON Name, Navaja Negra, ConectaCON, GSICKMinds, Congreso SSI, hackr0n, hackmeeting, etc. sonarán a más de una persona, pues son eventos que se nombran mucho en redes sociales y multitud de medios (como este), hay también eventos organizados por instituciones públicas como ENISE, Cybercamp o las Jornadas del CCN-CERT, eventos de concienciación como X1red+segura y por supuesto numerosas jornadas profesionales organizadas por las mismas empresas cuya finalidad son totalmente loables para intentar levantar su negocio (aunque las estrategias que veo que más están adoptando las empresas es la de asociar su imagen de marca a un conocimiento de "novedad", a ciertos expertos, o a un evento sin fines de lucro). Existe una ponencia titulada "A talk about (info-sec) talks" de Haroon Meer que pienso que es de vista casi obligada como reflexión para el asistente y el organizador.

El tema que seguramente está en más de una mente en estos días sobre las CONs, está relacionado con:

1- La multitud de eventos del mismo formato y su conveniencia en España.

¿Cual es la finalidad que piensan los organizadores de lo que debe ser su evento? ¿Divulgativa? ¿Investigación? ¿Sociabilización/Networking? ¿Show? ¿Negocio? ¿Underground? ¿Ser cool/hax0r/guay? ¿Todo lo anterior? ¿Ayuda a la gente en su región? Eso solo lo saben los organizadores y lo que explican en sus webs. No siempre es lo que parece, sino lo que es, dado que muchas veces los organizadores no llegan a lo que quisieran, pero sobretodo que cada uno saque sus conclusiones yendo y preguntándoles, que nadie te lo cuente ;-) 

¿Porqué hay muchos eventos del mismo estilo? ¿Se preguntan los organizadores las razones e idoneidad antes de iniciar un evento de características similares? Me refiero a dar ponencias/charlas ofensivas/hax0r/exploit/memegracioso/booom. En el video de Haroon Mer menciona tres razones de los que inducen a los organizadores a convocarlas: "Algunas razones generosas", "Dinero" o "influencia". La realidad es que hay multitud de eventos de este formato y no ABUNDAN por ejemplo (organizadas por hackers): hackatones, CaptureTheFlag, jornadas de concienciación sobre privacidad, Signing Partyes, canales temáticos en radio, TV, talleres prácticos sobre desarrollo, exploiting, o hardware hacking, etc. y estos en mi opinión tendrían incluso más éxito que los eventos del formato ponencia magistral.

Algunos mensaje de opiniones que he podido extraer en listas de correo como NocONName o RootedCON:

<aramosf> Demasiados eventos: hemos pasado de que hubiera pocos, a una época de ninguno, para ahora tener tropecientos. Pues mejor, ¿no? así los habrá para todos los niveles y gustos. Aunque yo sigo pensando que falta un tipo de evento práctico y abierto a modo workshop y que no tenga que ser de seguridad, que sea puramente tecnológico. La gente ahora no tiene background como antes, la gente empieza directamente a trabajar en seguridad sin haberse pegado con código, sistemas o con redes... me refiero a pegarse de verdad , no a compilar una shell en la práctica de la Uni, ni instalarse una Solaris en una máquina virtual o configurar un iptables en el router de su casa. Yo pienso que cada vez hay menos arquitectos de seguridad y más nessus con ojos que tras su primer script en nasl quieren explicarlo delante de 600 personas.

<patowc> Sobre la abundancia de Congresos: pues es COMO DEBE SER. Yo estoy absolutamente orgulloso de que aparezcan más y más eventos en nuestro país, que buena falta le hace. Y ESPERO QUE CADA VEZ HAYA MÁS.  Como dice Nico, quizás deberíamos plantearnos hacer cosas diferentes (nosotros los primeros, ojo, que no hacemos otra cosa que repetir un esquema que lleva desde la época de los LOD).

2- La conveniencia de sus fechas ya que están muy cercanas (especialmente las del segundo semestre del año)

Es una situación nefasta, y en algún encuentro que hemos tenido representantes de las CONs, ya se ha mencionado que no favorece a ninguna, más que nada porque no hay tantos interesados en asistir a todas a la vez sin un poco más de respiro. En mi opinión en muchas son casi los mismos. Es algo que se ha empezado a intercambiar entre organizadores con unos correos, pero no se ha avanzado.

3- La conveniencia de la repetición de ponencias (que se puedan aceptar en varias CONs).

Esto depende mucho del tipo de rumbo que quiera tomar la organización. Si el evento lo toman con el fin de enfocarlo a un evento divulgativo, es razonable que no les importe repetir las ponencias, pues puedes repetir tantas ponencias las veces y ediciones que lo organización considere. Otros eventos pretenden ser un punto de referencia en la investigación y/o novedad por lo se puntúan y se eligen según los criterios de la novedad, y algunas incluso no aceptan ponencias que se hayan dado en otros lugares. En el vídeo menciona otras razones que os invito a que conozcáis.

Algunos comentarios sobre las repeticiones o no-presentación de algunas ponencias pueden ser:

<patowc> "De potenciales ponentes que se cagan y deciden no echar charlas..."

<Lorenzo Martinez> "Sigo pensando que lo de la exclusividad está muy bien para la organización de un evento, y que por supuesto le da cache y valor al evento..."

<patowc> De gente que cree que lo que puede contar "no le interesa a nadie"

<Albert López> Pero es que el problema ya no es que una misma persona repita la misma charla una y otra vez, el problema es ver refritos de una charla innovadora que se hizo hace 5 años y se siguen haciendo charlas sobre lo mismo... 

<patowc> De gente que no explora conceptos absurdos a priori...

<n0p> No digo que no se repitan charlas, pero es que vas a la NN, a la rooted y a la NCN y ves 3 veces varias charlas...
 
<Jesús Arnáiz> "Sinceramente, creo que la mayoría de las ponencias deben de costar a los investigadores muchos meses de trabajo para poder tener esa calidad. Tampoco van a estar 10 años contando lo mismo, pero creo que está bien que lo presenten, al menos durante ese año, en varios eventos. Así, además, llega a más gente..." "...(sé que están en youtube, pero es diferente verlas en directo, poder preguntar, etc.). También para el investigador ver cómo es acogido su trabajo en diferentes entornos, países, etc., puede ser interesante." ... "Entiendo que como organizador se premie la "primicia", y me parece bien que sea un aspecto valorable y por tanto, una charla pueda dejar fuera a otra por este hecho; Aparte, no soy yo quien le vaya a decir a una organización cómo debe valorar el contenido que ofrece en su congreso".

<patowc> La primicia es IMPORTANTE para los congresos. Porque ayuda a que el nombre del congreso se conozca, a poder mantenerse y lo ayuda a crecer.

4- Reflexiones y críticas desde el punto de vista del asistente (calidad)

Desde el punto de vista de los asistentes es bastante cómodo asistir a un evento (o a varios) si el bolsillo y el trabajo te lo permite (yo también lo soy de otros eventos) y beneficiarse de comodidades, prestaciones y experiencia ,proximidad y al menor coste posible.

<n0p> sobre todo, lo que mas me jode, son las charlas-show en las que estas una hora hablando y se podría resumir todo en un paper de 2 folios, pero te lo meto en una charla, 4 coñas, 3 memes y ale, una hora rajando. De vez en cuando, como comic-relief está bien, pero parece que se están convirtiendo en costumbre.

<n0p> cada vez hay menos información de la charla que vas a ver ANTES del congreso. Muchas charlas se presentan sólo con un título enigmático y punto.

<n0p> Me da la impresión que las cons están derivando a una quedada de amigos, donde siempre se juntan los mismos grupos y siempre dan las charlas las mismas personas, y cada vez se dejan más de lado las mismas en pro del evento social.

<Sinosuke> Lo de los memes y las coñas, para mí son indispensables, que la gente se pasa desde las 9:00 a las 19:00 escuchando charlas. Técnicas sí, por supuesto, pero un mínimo de amenas también, que no son cosas incompatibles

<Alfonso Muñoz> No veo ningún problema en que se repitan charlas, es más creo que incluso, por distintas razones (algunas las apuntaba Vins) es hasta positivo. Al final, es una decisión de la organización. No se genera material de calidad con facilidad ni existe tanta gente con las habilidades suficientes para exponerlas en público, una organización corre el riesgo de quedarse sin ponencias o con ponencias de menor categoría...

5- Valoraciones personales por parte de la organización de eventos.

  • Rumbo que se marca con las virtudes y deficiencias de los organizadores que lo forman. Los equipos llegan a ser grandes por muchas cualidades, pero el éxito está en su configuración, habilidad y unión.
  • Carácter y forma del evento: simposio, jornadas, seminario, disertación o congreso y su finalidad. 
  • Cantidad de asistentes vs filosofía: no siempre es así, pero no siempre los eventos que tienen menos cantidad de asistentes son de segunda. Los que hayáis estado en Euskal Party sabréis de qué hablo.
  • Idoneidad del evento: por supuesto como a toda persona o colectivo que dedica un tiempo, y más si es para darlo al resto, le gusta que ese tiempo sea de utilidad o reconocimiento: como comentaba con un maestro: hacer un evento para difundir los bailes y ritmos populares-tradicionales cubanos en Barcelona cuando hay cinco eventos con carácter lucrativo que funcionan, no tiene sentido; pero en otra ciudad que no se hace nada de nada, sí que se puede empezar a trabajar.
  • Idoneidad/mesura e intrusismo con el mundo laboral/privado: en el caso de los eventos altruistas, hay colectivos que se ganan la vida con las formaciones o dando otros tipos de servicio. La situación de precariedad laboral en estas fechas hace que mucha gente agudice el ingenio, y a veces el remedio sea peor que la enfermedad: no hay que olvidarse de la gente que ya está en el terreno laboral, pues hay que medir la cultura del "todo gratis": "sí, la cultura es propiedad de la humanidad" pero medir el formato que se da.
  • Financiación: todos los eventos se pueden hacer perfectamente sin dinero y nosotros en nuestros inicios lo hemos hecho. El quid es contar con la gente que quiera participar y sobretodo para hacerlo ágil y en unas condiciones cómodas, cuesta dinero que evidentemente hay que pagarlo (viajes de ponentes, estancia, gastos varios, alquiler de salas, merchandising, etc.) ya sea de los participantes y/o patrocinadores.  No es mejor ni peor que un evento que cuente con más o menos presupuesto, todo es dependiendo de la finalidad de la organización.
  • Patrocinadores: Experiencia con muchos patrocinadores las hay, positivas y negativas, si los eventos son con una organización sin ánimo de lucro no hay que olvidarse que los patrocinadores son un medio, no un fin. Es decir para llegar a realizar el congreso con comodidades se necesita un presupuesto, y parte de él ha surgido de un acuerdo con patrocinadores, pero las condiciones ha de ponerlas la organización (pese a algunas malas experiencias):  
P:¿Nos podrías enviar el listado de emails de los participantes? N:No. P:Lo teníamos que intentar jeje

en caso contrario pierde su esencia para convertirse en instrumento del eje lobbista (hay que estar atentos)
  • Colaboraciones: Primordial, hay que ayudarse entre "hermanos". Pero las colaboraciones en ambos sentidos (por favor, no solo en uno) e ir de frente.
  • Evitar a los ventajistas: Vamos, los trepas o lameculos que quieren estar en la organización para conseguir otro fin que no es el de la organización, en el caso de los eventos altruistas éstos hacen perder mucho tiempo.
  • En el caso de un evento con charlas y ponentes: dar oportunidad a nuevos ponentes y animarles con sugerencias como ser buenos oradores y que den algo de valor añadido a su proyecto de investigación/hacking (no solo leer en h3x4d3c1m3l es señal de un buen análisis, p.ej. inducir a mencionar el campo de pruebas realizadas para tener más información o, conclusiones/impacto que esa investigación tiene o podría tener en un campo de pruebas como la vida real.)
6- Conclusiones

Pienso que tanto organizadores como asistentes tenemos mucho que trabajar, con esta publicación quiero reflejar que por parte de la organización no es fácil hacer un evento personalizado, al final los que realizan eventos necesitan que tenga éxito, y esto depende del esfuerzo de mucha gente, no solo de uno, ni de dos... ni de ... la organización, sino de muchos actores implicados que quieren que funcione... La mayoría de gente piensa que el rumbo que toman las CONs debe ser diseñada junto con su márketing para un cliente/asistente como si de un producto se tratase, y no siempre es así: sino que a veces es una filosofía que ven algunos y que tarda  verse, madurar y encajar.

Artículo cortesía de José Nicolás Castellano (Nico) @jncastellano - Organizador en No cON Name

6 comments :

Iván G. G. dijo...

@aramosf : "La gente ahora no tiene background como antes, la gente empieza directamente a trabajar en seguridad sin haberse pegado con código, sistemas o con redes... me refiero a pegarse de verdad , no a compilar una shell en la práctica de la Uni, ni instalarse una Solaris en una máquina virtual o configurar un iptables en el router de su casa. Yo pienso que cada vez hay menos arquitectos de seguridad y más nessus con ojos que tras su primer script en nasl quieren explicarlo delante de 600 personas."
No puedo estar mas de acuerdo..

Joe dijo...

Idoneidad/mesura e intrusismo con el mundo laboral/privado: en el caso de los eventos altruistas, hay colectivos que se ganan la vida con las formaciones o dando otros tipos de servicio. La situación de precariedad laboral en estas fechas hace que mucha gente agudice el ingenio, y a veces el remedio sea peor que la enfermedad: no hay que olvidarse de la gente que ya está en el terreno laboral, pues hay que medir la cultura del "todo gratis": "sí, la cultura es propiedad de la humanidad" pero medir el formato que se da.
No puedo estar más en desacuerdo... me parecen horribles tus palabras en este punto...

Hacking Bolivia dijo...

Tu "Post" me permitio conocer la vision de como vos ves los CON en España, en Bolivia han habido varios de estos que ahora han o estan desapareciendo, esas actividades solo se centraban en Santa Cruz y La Paz. Lo que mencionas de expositores "amigos" si lo he visto cuando se ven las programaciones, siempre pensaba que no habia profesionales, pero desde que comenzamos con nuestros congresos nos llegan papers de diversos expositores que no se habian presentado antes en otras actividades "CON" o "HACK".

Sin mas que opinar, un saludo a la distancia.

Jose Selvi dijo...

Yo la verdad es que no entiendo mucho esta situación. No veo que el post sea una contestación a nada, sino simplemente una reflexión sobre algunos temas alrededor de las CONs en este país. No entiendo porque se hace referencia a un tweet mío.

Dado que lo único que se ve en el tweet que señalas (hablaré por el mío) es que voy a dar charlas en varios sitios, entiendo que la contestación va por el punto 3 “La conveniencia de la repetición de ponencias”. Tampoco he tenido que suponer mucho, porque el tema salió abiertamente en estos hilos de la listas de correo de NcN y RootedCON que comentas.

En mi caso concreto, aunque mi tweet diga que voy a dar charla en X sitios, no digo que vaya a dar la misma charla en todas ellas, de hecho, si lees el artículo de mi blog que acompaña al tweet verás como comento que en cada una de ellas doy charlas diferentes. En RootedCON Satellite Valencia di una contando un caso de exploiting, en BlackHat Europe daré unas técnicas de Bypass de HSTS que he estado investigando, y en las únicas que en las que iba a repetir charla era en NN y en NcN. Salvo la de exploiting, que la di a principio de año en un evento del SANS Institute en Madrid, todas las charlas son nuevas y no han visto la luz en pública, así que no creo que aplique a mi caso lo de andar dando un refrito de la misma charla durante 5 años, porque que yo recuerde nunca he repetido una charla de un año para el siguiente.

Que una CON quiera tener cuantas más charlas inéditas mejor, es lo lógico. Algunas CONs hasta pagan a los ponentes para asegurarse que eso es así (caso BlackHat, por ejemplo). Lo malo es que, al menos para mi, no siempre es posible investigar 6 temas de calidad e interés para luego presentar cosas diferentes en los 6 eventos de seguridad españoles, así que con suerte investigas 1 o quizá 2 temas y los presentas a varios eventos. Si el evento manifiesta que no quiere charlas repetidas (caso RootedCON o BlackHat), pues intentas que la que presentas ahí sea la primera vez que la das, y si no dice nada al respecto, pues eliges que charla presentas basándote en algún otro criterio como por ejemplo presentar la charla más técnica a donde sabes que va a haber gente más técnica, o cosas así. Todo esto con toda tu mejor intención y de forma totalmente altruista, porque supongo que todos los asistentes a CONs saben que los ponentes no cobramos ni un duro por dar las charlas que ven.

En este caso, al presentar la propuesta de charla a NN y a NcN, yo no sabía las fechas exactas de los congresos y ninguno de los dos CFP especificaba que señalaras si habías presentado la charla a otros CFP. En el caso de NN no lo preguntaban porque no les importaba que así fuera, mientras que en NcN parece que no ha sido así. Como dije en la lista de correo de la NcN (aunque ese comentario no ha estado entre los seleccionados en este post), creo que si era tan importante que la charla fuera inédita y que nunca se hubiera dado antes, entonces el CFP de la NcN está MAL REDACTADO, porque debería hacer las preguntas pertinentes para luego poder valorar la charla, y creo que deberíais trabajar en ello para que estas situaciones tan desagradables (lo que ha ocurrido este año, me refiero) no vuelvan a ocurrir en el futuro.

Yo sigo sin entender esta situación, de verdad, me parece absurdo que se siga haciendo referencia a mi al tratar de estos temas, cuando ya lo hiciste en la lista de correo de la NcN y ya te mandé un correo privado (no quería montar un flame en la lista) pidiéndote que me desvincularas de estas opiniones porque no estaba dispuesto a aceptar esa “llamada de atención” en semi-público (la lista de la NcN). Ahora repites lo mismo en SbD, que no puede ser un medio más público ¿Qué es lo que pretendes Nico? ¿Era tan difícil poner el mismo post sobre tu opinión en lo relativo a las CONs dejándonos a terceras personas al margen? ¿Qué aporta esa referencia a tu post aparte de señalarnos en público? Creo que deberías reflexionar al respecto.

Andrés dijo...

Mira que a mí nadie me ha dado vela en este entierro, pero me tomo la libertad de opinar sin ninguna intención que aportar.

Aclaro mi contexto. Hablo desde el punto de vista del asistente, externo a toda comunidad hacking española: no soy "amigo de batalla" de nadie, ni soy un h4x0r (me aburre el término), ni aprovecho el momento para obtener popularidad, ni leches en vinagre.

Soy un estudiante que recién termina y que lleva varios años interesado en la seguridad informática (a vuestros ojos, un newbie sin ninguna condecoración lograda por mis aportaciones a este mundillo, es más, las aborrezco). De lo que sí me puedo considerar partícipe es en "conectar los puntos": recabar información y observar la evolución de las comunidades a través de la redes sociales, siempre, con la intencionalidad de nutrirme en cuanto a conocimiento y de observar qué temas de verdad resultan de interés, hacia dónde evoluciona la tecnología, qué aspectos me gustan/aportan más, con la granularidad de personas participando en cada uno de esos aspectos. En definitiva, aprender de tod@s.

Se ha dejado ver que existe cierto pique entre las CONs que si que quieren ser inéditas o quieren crear contenido de calidad vs los ponentes de calidad que ofrecen su material a distintas CONs, que pudiera no perseguir los mismos objetivos. Todo eso lo ha explicado Nico y me ha parecido genial su alcance.

Sólo un ligero matices:

1. El que los temas de hacking y las conferencias se conviertan en un producto, de los asistentes NO PUEDE ser la culpa. Otra cosa es que LAS ORGANIZACIONES necesiten más reciprocidad, una participación obligatoria por parte de los asistentes de los temas a tratar, unas pruebas de nivel para indicar qué tipo de charlas hay que dar, en fín, una relación biyectiva más retroalimentada, que francamente, creo que resulta impracticable de cara a quienes no pueden dedicar todo el tiempo que desean a la organización de las mismas.

2. En cuanto el tema del background que comenta Alejandro. Cada persona se preocupa de obtener el conocimiento que quiere/puede y le interesa. Se trata de una escala de prioridades, que obviamente, cambia y cambiará entre generaciones. El hacking (conocimiento y cultura) de los 70 , no es igual que la industria de la seguridad del 2000, ni será igual que el hacking de 2030. Aquellos bien experimentados que dispongáis de un background mucho más extenso, deberíais plantearos si juzgar es una tarea que aporta, o por el contrario, deberíais de inmiscuiros de una manera más directa, para que ese background vaya siendo pulido a través de workshops, talleres prácticos etc... Sin olvidar que la mayoría de información de calidad está siendo monetizada porque muchos de vosotros estáis lampando, aquella cultura libre, está siendo defendida por gente que en promedio, no dispone de ese background, y por el contrario, los que sí, estáis cobrando por ello. No lanzaré ninguna opinión al respecto.

Por tanto, la solución no pasa por estar tirándoos tomates a la cara uno y otros. Se trata de EVOLUCIONAR. Y de segmentar aquellas CONs que quieran dar prestigio a su nombre, de aquellas que quieran enseñar, aquellas que quieran difundir la cultura hacker y aquellas que quieran vender productos o sean un marco de venta de productos. La elección DEBIERA ser de tod@s, asistentes y colaboradores/ponentes.

¡Un saludo y un abrazo a tod@s!

Leonardo Nve dijo...

Hablo como alguien que SI ha repetido charlas, y no en CONs pequeñas, sino también en grandes, y no solo nacionales, sino también en internacionales. Ya que veo que la de referencia es la BlackHat (que no es la mejor ni de lejos en mi modesta opinión), puedes incluirla pq ahí también he dado charla repetida. ¿Y sabeis que? No le ha pasado nada ni ha bajado su nivel, ni a la Rooted, ni al Confidence, ni a la Ekoparty...


Importa el ambiente, el lugar donde se hace, la calidad de los ponentes y de las ponencias (una ponencia no baja de calidad por haberse dado unas semanas antes), en los asistentes (CONs restringidas), de las demos, de si se publican o no vídeos de las charlas, del precio de la entrada (cuanto menos mejor, que nadie se confunda), de los "arsenal", de los CTFs (incluso si se repite el CTF de IOActive no pasa nada), de la organización, del apoyo institucional, del apoyo de la industria, de la temática (no es lo mismo un evento de la OWASP que una INFILTRATE)...


Es una lista larga, no se puede complacer en todo, pero si bajas de calidad en algún punto puedes mejorar en otro, ¿¿¿ se puede hacer una CON de solo 0 days??? Si, pero habrá un solo ponente interesante, el resto serà gente que hace exploits para KK-FTPD de softonic, eso no es una CON de calidad.


Imaginad, que todos los eneros hubiera una CON con las mejores charlas de todas las CONs del año anterior. Yo a esta SI iría, la calidad està asegurada.