sábado, abril 10, 2021

Entrevista a Nico Castellano, fundador de "No cON Name", la primera CON de Hacking en España

Hoy os dejo por aquí una pequeña entrevista que le he hecho a Nico Castellano, fundador de No cON Name, la más longeva CON de Hacking en España, que nació en Mallorca, que ha pasado una década desde que le hice la última entrevista. Yo, por supuesto, miraba con admiración el nacimiento de este movimiento, y por supuesto estuve participando en algunas ediciones como ponente.

Figura 1: Entrevista a Nico Castellano, fundador de "No cON Name",
la primera CON de Hacking en España

Nico Castellano es una persona de fuertes convicciones, heredado sin duda de su padre al que tuve la suerte de conocer, y ha dejado su impronta en la comunidad de hackers de este país. Constante, trabajador y luchador, ahora lleva su propia empresa de ciberseguridad y hacking en Barcelona, llamada Andubay.
En la charla de la entrevista de hoy hablamos de cómo fue el inicio, de cómo es la No cON Name hoy, y sobre la propuesta de hacer esa asociación de CONs en España de la que os hablaba hace poco. Pero si quieres conocerlo más, puedes contactar con Nico Castellano en su buzón público de MyPublicInbox. Aquí tienes las preguntas y respuestas.


1.- Crear la primera CON de Hackers en España no debió ser sencillo, ¿cómo surgió la idea y cómo lo sacasteis adelante?

Sabíamos que en España se habían celebrado CONs bajo invitación, y aún éramos unos chavalillos (20 años) con las hormonas disparadas, muchas ganas de aprender y ganas de desvirtualizarnos (a nosotros y a otros hackers que habíamos conocido en el IRC, que pienso que ahora podría ponerme a contar historietas pero podríamos dejarlas para un Hackstory II si Mercè se anima). 

Las dificultades para asistir a esas CONs eran evidentemente, el mar y nuestro poder adquisitivo. El primer intento en 2001 llegamos a ser unos 20 en un local de copas de plaza de la reina en Palma (con barman incluido). En 2002 ya fuimos en serio, me acuerdo que un conocido me "vendió la moto" que le había pedido a VISA (la de las tarjetas de crédito) que nos esponsorizara la CON (para pagar los gastos y meter a 120 personas en una sala de actos, lo habíamos vestido todo como que era un evento que las empresas se beneficiarían de ello). 

A dos meses y medio de la celebración partíamos de cero, los que organizábamos salvo otros dos y yo hicieron bomba de humo (más adelante se volvieron a unir cuando vieron que se solucionó todo). Pude entonces tirar de amigos y aprovechar unas instalaciones que habían costado muchísimo dinero de todos los contribuyentes y que... ¡oye! las estrenamos nosotros con mucho gusto. A parte del Staff, se unieron a echar un cable un equipo de gente con el que estuve bastante unido y que organizaba lan-partys: Balearikus-Party.

2.- La llegada de las CONs de Hacking a España han cambiado nuestra profesión, y esto es algo que no ha sucedido en otras disciplinas profesionales, ¿erais conscientes de estar comenzando un camino que impactaría tanto en la vida de las personas o era solo pura diversión?

Es innegable que las CONs han dado un impulso y una visibilidad importante a muchos hackers que han participado, pero hay que reconocer ellos mismos se lo han currado. Nosotros seguimos organizando las CONs con el mismo espíritu, cuando se hacen los mejores proyectos es porque lo haces por pura diversión! ¿No? :D

3.- La No cON Name se ha quedado como un nombre de referencia de la decana de las CONs, pero... ¿qué futuro le espera a corto?

¿Tú crees? A ver... es innegable que los tiempos cambian y que no somos el lado del mal ni Chema Alonso ;-). Ahora lo que vemos que triunfa son los CTFs, Canales de Youtubers y las certificaciones de Ciberseguridad que te dan los tricks para obtener trabajo o ser BugBounter; el rollo hacker del CCC de Alemania a los españoles les va poco la verdad, quiero decir que nosotros nos hemos adaptado y hemos avanzado en este último año en cosas como:

* Aparte de una mailing list para estar actualizado, tenemos un grupo en Telegram donde se comentan temas de actualidad y se debaten (y no un SyberSalsaRosa) t.me/noconname

* Desde mediados de marzo/2020 hemos abierto No cON Name TV en Twitch, estamos ahí cada sábado invitando a hackers de la oldschool y a nuevos dando WorkShops de cosas chulas, el sábado pasado estuvo The Dark Raver analizando el Malware Flubot. (A ver cuando tu empresa te deja pasarte como invitado guiño guiño jeje) twitch.tv/noconname

* En nuestras CONs presenciales tenemos un espacio para las charlas improvisadas que cualquiera puede ir allí y hablar de cualquier cosa que quiera compartir.

* Mediamos con algunas empresas y administraciones públicas de forma responsable para avisarles de vulnerabilidades graves (ahora mismo recuerdo de un iDOR a una app de covid de cierta ccaa y un potencial caso de espionaje de estado a España a través de cierta linea de productos de una empresa de aspiradoras)

4.- Muchos de los que pasaron por aquellas CON iniciales se han convertido en referentes profesionales de la seguridad informática y el hacking, y tú sigues en el mundo con tu iniciativa profesional en Andubay. ¿Ha cambiado mucho lo que hacías entonces y lo que haces hoy?

Profesionalmente en aquellos tiempos me dedicaba a dirigir áreas y proyectos de ciberseguridad, y ahora tanto te puedo compilar un muro como levantar un kernel, jajaja. En serio: ahora lo que llevo es un emprendimiento en Ciberseguridad (Andubay) y como todo emprendedor, cuesta mucho y la felicidad va a ratos. Dirijo un SOC en Barcelona, viajo de vez en cuando a Chile donde tenemos otra sede de la empresa y dirijo un desarrollo de producto para mitigar ciertas amenazas.

5.- En una de las primeras CONs de No cON Name tuvisteis a Chris Anley, con el que muchos - incluido yo que lo usé en algunas cosas para escribir el libro de Hacking Web Aplications: SQL Injection - aprendimos, ¿sigues viendo SQL Injections en las auditorías de seguridad web que hacéis en Andubay?

¿SQL-Injections? Toooooooooooodos los días (y cosas peores) Lo curioso del tema es la cantidad de aplicaciones web que se siguen desarrollando sin elegir desde el principio un framework, que aparte de solucionarte la vida en muchas cosas, está pensado para evitar 95% de los errores de seguridad más comunes. Equipos de desarrollo escogen un lenguaje de desarrollo y a picar tecla...

6.- Has sido un referente para muchos jóvenes, Nico, ¿qué consejos les darías a los que quieran comenzar en este mundo del pentesting, el hacking y el research?

Vaya elogio, muchas gracias Chema :-D . Sobretodo desde fuera puede parecer que el mundo de los hackers, virus y ciberataques es un mundo muy de película donde desde fuera se ve muy emocionante y entretenido, pero la realidad es que para muchos de los que parten de cero, se quedan por el camino. En mi opinión porque no están acostumbrados al fracaso. Si te aburres de aprender en este mundo, es que para ti este mundo es algo pasajero. No esperes que una certificación o un curso te descubra más que una puntita de lo que en realidad es todo este mundo. Mis tips:

1- Aprende sobre la historia de otros hackers y sobre los que se escribió sobre la biblia de los hackers (The jargon file) 
 
2- Aprende a desarrollar en varios lenguajes, aunque luego el desarrollo no sea tu meta diaria. Intenta bajar proyectos de código de github e intenta hacer tus hacks para otros propósitos que imagines. 
 
3- Aprende a leer documentación de software y aplicaciones de distintos sistemas operativos, tanto windows como linux u otros. 
 
4- Rompe todas las veces que puedas los softwares y sistemas que te puedas instalar en máquinas virtuales: experimenta, equivócate, desquíciate (madurarás también en algunas facetas de tu personalidad) 
 
5- Practica alguna distracción o distracciones para no volverte loc@.

El resto vendrá solo...

7.- En el mundo del hacking has visto a grandes ponentes, ¿qué charlas recuerda Nico Castellano de todas las que has visto?

A ver, no quiero dejar a nadie sin mencionar porque son bastantes las que recuerdo en todo tipo de c0ns, todas con un recuerdo especial, pero recuerdo algunas demos graciosas o prácticas bastante chulas como por ejemplo el hack de WhatsApp de Pablo SanEmeterio y Jaime Sánchez, a José Picó y David Pérez Atacando 3G, las charlas de interceptación de comunicaciones de aviones por Hugo Teso, los 0days que soltó @osxreverser sobre el kernel de MacOSX, a Silverhack y Dr. Maligno en la charla de Terminal Hackpplications, a Santiago Hernández hablando sobre cómo inyectar código remotamente en el registro de windows, a @Fatuo infectando ficheros haciendo MiTM, los famosos SQL-Injection y vulnerabilidades de Oracle o SQL Server que pudieron presentar Chris Anley o César Cerrudo... Y me dejo un montón...

8.- Y por último, ¿para cuándo una asociación de CONS en España para hacer acciones conjuntas como un CTF nacional entre todas las CONS, un calendario anual, una coordinación de charlas y un premio a las mejores charlas del año?

La asociación de CON puede ser buena si mejora la casuistica actual, como los solapamientos en determinadas fechas clave del calendario, que es algo nos ha afectado en cierta medida en pasadas ediciones. También podría evitar que se acabe dando una misma charla en varias CON distintas, algo que desde No cON Name se ha puesto como requisito ya desde hace un tiempo, que esa misma conferencia no se haya realizado anteriormente.

Por citar un ejemplo, en la última No cON Name virtual #2k20 uno de los ponentes presentó una charla con algunos 0days en varios webservers que no se conocían hasta ese momento. De hecho todos los miembros de la asociación pensamos que es lo que hay que potenciar, charlas únicas y de calidad. Por otra parte también nos hemos enfocado en atraer ponentes de renombre internacional como una manera de dar una visibilidad fuera del ámbito meramente local y como parte de la evolución natural de las propias CONs.

Además, hace un par de años decidimos dejar atrás los patrocinios y evitar así las charlas con sesgo comercial, lo que nos da una mayor libertad a la hora de elegir charlas o temas, sin temer molestar a nadie...

Espero que os haya entretenido la entrevista, que os haya motivado para emprender proyectos que ningún otro ha hecho antes, y que os animéis a seguir haciendo grandes las CONS.

¡Saludos Malignos!

No hay comentarios:

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares