Entrevista al equipo de la Rooted CON

Hace un tiempo tuve la oportunidad de realizar una entrevista al staff de la Rooted CON, una de las mejores CON en espana y europa, muchos son quienes conocen este gran evento, pero como pasa casi siempre, se desconoce quienes son las personas que lo hacen posible (a no ser que salgan en un calendario torrido).

Espero que con esta pequena entrevista, podamos conocer un poco mas a los encargado de que la Rooted CON se realice cada año y sirva de espacio para compartir conocimientos y conocer gente interesada en la seguridad de la informacion.

Hola al Staff de la Rooted Con, ya queda muy poco para que den comienzo las conferencias y los rootedlabs en Madrid

Por si alguno todavía no lo sabe, explicadnos ¿Que son las conferencias de la rootedcon?

Es un Congreso de seguridad, con orientación principalmente técnica y
cuya premisa principal es tratar de sentar las bases de un principio
de neutralidad dentro del mercado de seguridad. Queremos que todo el
mundo (y subrayamos todo el mundo) pueda venir a poner en común sus
ideas, opiniones, técnicas, herramientas... de forma que hagamos de
verdad una Comunidad de seguridad.

También exponer al mundo la calidad de los expertos nacionales,
españoles, y de los expertos internacionales pero hispanoparlantes,
para acabar con el tópico absurdo de que lo "importante se hace en
inglés". El Congreso dura tres días, generalmente ubicado para que
sean jueves, viernes y sábado. En los tres días anteriores al
Congreso, además, desarrollamos una serie de actividades formativas,
RootedLabs, sobre temas técnicos relevantes.

Actualmente, ¿Quiénes forman parte del Staff de la rootedcon?

Por orden alfabético:

  • John "Hannibal" Smith ( 😉 )
  • Omar Benbouazza Villa
  • José Antonio Guasch
  • Raúl Jover
  • Sergio Muñoz
  • Javier Olascoaga
  • Román Ramírez
  • Francisco Sáa Muñoz
  • Arantxa Sanz Gil

¿Cómo lleváis los preparativos previos a la conferencia?

Bastante bien, aunque con los distintos agobios que conlleva organizar
"reuniones grandes" y, la parte mala, con los diversos impactos de las
fechas de cierre de patrocinadores, colaboradores, materiales y otros
temas. No siempre la gente va al ritmo que necesitas.

¿Cómo es llevar la logística de preparar unas conferencias, con tanta
afluencia de gente?

Lo más complicado con lo que nos enfrentamos (y es siempre igual todos
los años) es conseguir las cifras reales de aforo. Para poder poner un
precio a las entradas tenemos que conocer, a ciencia cierta, cuántas
personas vienen, de ellas cuántas son profesionales, estudiantes o
tienen descuentos. Lo tenemos bastante claro en proyecciones, pero las
proyecciones no son la realidad, lógicamente.

Este año, además, siguiendo las opiniones de los asistentes hemos
reducido patrocinadores y hay que tener claro que los costes del
Congreso son los mismos, luego hemos tenido que subir la entrada para
poder realizarlo. La decisión es complicada, porque una de nuestras
premisas a la hora de lanzar el proyecto fue darle espacio a los
estudiantes (y que no se enfrenten a pagos de 1.100 euros/día como
ocurre habitualmente).  Todas las decisiones sobre costes de entradas
ocupan mucho tiempo y diversos análisis de costes, por lo que puede
ser lo que más trabajo implica mentalmente.

Luego todos los temas de las Conchas Codan , camisetas y merchandising
general, zumos o el agua, toman su tiempo también.

¿Qué otros congresos/conferencias son de vuestro agrado?

Por supuesto, NcN. También solemos acudir a eventos más
profesionalizados como son Securmatica, las reuniones de ISMSForum...
Incluso algún congreso más cerrado y orientado a un público reducido

Creemos necesario e importante que cada vez haya más acciones
similares a RootedCON, NcN, Gsic... algunas de ellas locales, otras
nacionales... pero que haya más y con una calidad muy alta.

¿Tenéis algún proyecto para la RootedCon mas adelante?

Muchos. Pero como con todos los proyectos, el tiempo es un enemigo
bastante complicado de vencer. Algunas de esas iniciativas se han
planteado en el propio Congreso, como puede ser RootedForge, donde
queríamos motivar a la gente para que muestre/inicie las ideas que van
teniendo.
Otras aventuras en los que nos estamos volcando es en cerrar acuerdos,
colaboraciones y "hermanamientos" con otras organizaciones,
asociaciones, Congresos y organismos.

Y algún tema novedoso más que presentaremos, esperamos, en la siguiente
edición en marzo de este año.

¿Qué opináis de la seguridad informática en España?

En general, el sector tiene muchas carencias preocupantes. Nos llama
la atención todo el esfuerzo en comités, grupos de "acción",
iniciativas y, resumiendo, "sitios donde aparecer y tener la
pegatina", que no se concretan en ninguna acción o que no resuelven
problemas GRAVES con los que nos tenemos que enfrentar todos los días.

Ejemplos claros son las infraestructuras críticas (se sigue pudiendo
acceder a muchas de ellas sin autorización, desde Internet y con
privilegios peligrosos), la relación con los fabricantes, a los que
parece que nadie les exige responsabilidades por no reparar
vulnerabilidades críticas que se les comunican una y otra vez etc.
Echamos de menos más publicaciones técnicas y honradas, menos sujetas
a intereses comerciales o de patrocinadores. Y nosotros nos planteamos
hacerlo, pero nos encontramos con el problema recurrente de que no
tenemos tiempo para todo.

También observamos una balanza desequilibrada entre las figuras
nacionales y las figuras internacionales, parece que se hace crecer el
tópico de que tienen que venir de fuera a "darnos lecciones", y
nosotros no estamos en absoluto de acuerdo con esta premisa; vemos que
hay una Comunidad de profesionales excelentes, con unos conocimientos
técnicos sin comparación que, en muchas ocasiones hacen presentaciones
de técnicas, 0days y herramientas que luego se muestran "como novedad"
en algún evento Anglo restando méritos a la labor previa.

Otro punto de mejora son las empresas, que se centran mucho más en el
Cumplimiento regulador que en la propia Seguridad, permitiendo la
exposición de sus recursos y activos (y llorando luego por los
rincones cuando tienen un incidente sobre el que, diversos auditores,
les habían prevenido).

Hay mucho trabajo que hacer, la verdad. Y no tenemos muy claro que
todos los jugadores en la Comunidad de Seguridad estén haciendo todo
lo que deben o, con mayor riesgo, que realmente sean esos jugadores
los que deben hacer y deshacer. Creemos que faltan elementos
aglutinantes que creen coesión en el mercado; es algo que intentamos
hacer en el Congreso y en las listas de correo, forzar a que todo el
mundo se involucre, pero no todos los jugadores tienen la misma
percepción de responsabilidad sobre tu trabajo que tenemos el resto.

¿Estáis de acuerdo con la última reforma de ley que surgió sobre
delitos informáticos?

Evidentemente no si observas nuestra primera mesa redonda en RootedCON
2010. Planteamos el tema porque nos preocupaba mucho el rumbo que está
siguiendo el marco jurídico y la tecnología. No entendemos cuál es el
motivo de elaborar legislación específica para la informática, hecho
que es un absurdo en sí mismo, porque nadie ha esbozado modificaciones
del Código Penal relacionadas con martillos, apisonadoras o lápices
(todos ellos elementos que pueden ser utilizados para la comisión de
diversos delitos que ya están tipificados).

Adicionalmente, tal y cómo vemos la redacción de esta reforma, hay
tantos huecos para evitar ser culpable o, peor, hay tantas zonas
grises para ser culpabilizado injustamente, que no comprendemos como
ha podido pasar el filtro más básico de los juristas (¿presiones
políticas?).

Preocupante es que todas estas reformas tengan, además, primas y
vecinas como pueden ser la infame Ley Sinde o las peores ACTA, SOPA o
PIPA. Para cualquier ciudadano que tenga un poco de sentido común debe
ser, al menos, sospechoso que se intenten reiteradas aprobaciones de
estos "marcos" (por llamarlos de alguna manera) en votaciones fuera de
contexto o "por la puerta de atrás" de la Comunidad Europea; y sin
necesidad de entrar en los cables de Wikileaks donde se deja claro
quién y cómo presiona para que se aprueben estos citados "marcos" de
espaldas a los intereses de los ciudadanos.

¿Qué blogs o webs en Internet sobre Seguridad os gusta seguir?

Muchas. Si te respondemos como Organización, pensamos que seguimos
casi todas las que hay. Obviamente Security By Default, con los que
tenemos una excelente relación y nos han apoyado desde el primer día,
DragonJar donde siempre encuentras curiosidades y herramientas, el
blog del "Maligno" ("El lado del mal"), Security Art Work, Reddit,
48bits, Hexale (Hernán Ochoa)...

¿Podéis nombrar, para vosotros, a los mejores hackers de la scene
Española?

Es una pregunta bastante complicada, ¿hackers profesionalizados,
hackers del underground? Para nosotros la "scene" o Comunidad es todo,
tanto la gente que se dedica a la seguridad en el entorno empresarial
como los que están en el underground y, ¿qué ocurre con los hackers
que están en fuerzas del estado y que, por motivos evidentes, no
pueden darse a conocer?

Hay gente extremadamente buena en 48bits, por ejemplo, pero también
gente extremadamente buena en fuerzas del estado, en empresas y, para
qué evitar la cuestión, en el lado de los "malos".

Ahora la última pregunta es para saber si estáis al día 😛

¿Cual fue el primer congreso de Seguridad informática que se hizo en
España?

Sin duda Securmatica, año 1990. Y, un poco posteriores pero más
técnicos, podríamos hablar de las Undercon, la propia NcN o las
calçotadas de Apostols en Lérida.

 

Espero que les gustara esta entrevista y dejen sus comentarios si desean tener mas entrevistados como el staff de la Rooted CON...

Entrevista a Lorenzo Martínez de Security by Default
Subir

¡No te pierdas el CONGRESO DE HACKERS - DragonJAR Security Conference! ¡Regístrate ahora!