Security et alii

Durante el fin de semana he tenido la suerte de participar en el Madrid Startup Weekend que se celebró en el centro Madrid On Rails. El evento estuvo bastante bien. El catering y la WiFi son aspectos a mejorar para futuras ediciones, así como la cobertura para Vodafone en el “zulo” ese donde estábamos metidos, que era bastante pobre. Se presentaron treintaitantos proyectos, de los cuales 9 comenzaron su desarrollo, aunque sólo 8 llegaron a presentarse al jurado final.

La valoración final que hicieron los inversores me produce cierta suspicacia y creo que está condicionada por el hecho de que elegir un ganador no implicaba que ellos tuvieran que poner dinero de su bolsillo en dichos proyectos, ya que sin desprestigiar ninguna idea (que de hecho eran buenas), el modelo de negocio que tenían algunas de ellas era endeble, cuando no inexistente.

El proyecto que presentamos Salva y yo fue JoinJoin, que obtuvo varios premios. Long story short, se trata de una aplicación para mejorar el networking en conferencias y eventos. Puesto que uno de los premios que obtuvimos fue una incubación en Link2Start que comienza el año próximo es probable que continuemos con el desarrollo de la idea, a ver si nos hacemos ricos de una vez.

Pero lo más importante es que extraje algunas conclusiones sobre el emprendimiento que me gustaría dejar aquí plasmadas. Muchas de estas ideas vienen reforzadas por el evento de ASECAM, también para emprendedores, del mes pasado. Algunas pueden sonar a coña, otras pueden ser discutibles. Como ya he dicho son apreciaciones personales y para gustos colores. (El orden es casi tan irrelevante como el contenido)

1. Una persona no puede considerarse emprendedor si no posee dos de los siguientes dispositivos: IPhone, IPad, Macbook. Sí amigos, en los eventos para emprendedores los dispositivos de Apple crecen como las setas en un rincón húmedo y oscuro. Si vas con Android molas, pero no tanto.
2. El perfil tecnológico no es el centro del emprendimiento. Es más, es totalmente prescindible. Voy a tratar de explicar este punto, porque seguramente será comprometido. Por lo que he podido ver en ambas ocasiones, son los perfiles de marketing/ADE/negocio los que están mejor preparados para la creación de startups tecnológicas. Un ingeniero informático por lo general no dispone de conocimientos sobre contabilidad, balances, planes de negocio, planes de expansión y márketing, publicidad, ventas… Y amigos, un negocio es ventas. Si no hay ventas, no hay negocio. Un tipo de márketing puede montar un bussines plan medio decente sobre la idea, planificar costes, estrategias de comunicación y expansión, previsiones de financiación, ingresos… Con todo esto, puede obtener una visión más o menos acertada acerca de la viabilidad del proyecto. Una vez que suponen que el negocio es viable es cuando recurrirán al ingeniero, pero en este momento el ingeniero no se incorporará en igualdad de condiciones. No será un socio, si no un asalariado. Por mi experiencia, un ingeniero tiene una idea y se basa en afirmaciones personales y subjetivas sobre su viabilidad. Desde mi punto de vista, tiene muchas más posibilidades de desarrollar algo que no tuvo futuro desde el minuto cero. Es más, aunque de con algo que puede funcionar, probablemente su enfoque técnico no le saque todo el jugo posible a la parte de ventas y presentación, impidiéndole conseguir financiación o llegar al mercado adecuado.
3. Plan de negocio y mock ups; no desarrolles. Para analizar la viabilidad de un negocio y como primera fase del mismo no hay que comenzar por desarrollar un prototipo (¡error!), si no por hacer un plan de negocio. Lo importante no es tanto el producto si no el mercado al que va dirigido, el por qué te van a pagar por él, quién es el usuario y quién es el cliente, cómo vas a llegar a ese mercado, qué financiación necesitas… La parte del producto estará cubierta con unos diseños en photoshop que muestren un poco el aspecto gráfico del desarrollo en cuestión.
4. El emprendimiento tecnológico es cosa de hombres. A pesar de que van apareciendo mujeres, la gran mayoría son todavía perfiles masculinos.
5. El sacrificio extremo mola. Historias de terror, casos que acongojarían a Freddy y Jason circulan entre los emprendedores. Meses con 4 horas de sueño, casas hipotecadas, años trabajando sin sueldo y viviendo a una nómina de la ruina, madres de familia que se van a los States y dejan tirado a su marido y sus hijos… Todo con tal de emprender, de llevar a cabo tu idea. Para sacar algo adelante hay que sacrificarse, pasar horas sin dormir, ganar menos dinero, y quizá renunciar a parte (o toda) tu vida social un tiempo, pero ojo, que no se te vaya de las manos. Primero tú, luego tu idea.

Esto ha sido todo por hoy. Cuando vuelva a sacar algo de tiempo nos leemos por aquí de nuevo.

Hoy el día prometía más fuerte que ayer, o al menos a mí me lo parece, aunque para gustos ya se sabe. Por desgracia la noche de ayer no terminó tarde, aunque lo pasé genial. Lo siento por los que compartieron cena conmigo, la próxima vez trataré de no hacer méritos para que nos escupan en la comida, lo prometo. Nos recogimos temprano (salvo dab y revskills que se fueron de parranda mano a mano) para descansar y poder madrugar al día siguiente. La primera charla, la de Jose Selvi, sobre IP fragmentation overlapping ha sido magnífica, con esa manera que tiene Jose de explicar los contenidos y transmitir conceptos complejos a un nivel que todo el mundo es capaz de entender. Después una de las charlas con mejor contenido, Reversing for goods de Pancake, con muchas buenas ideas para solucionar vulnerabilidades en binarios utilizando, como no, su radare2 . Después un pequeño descanso que nos vino muy bien a la mayoría, y que permitió recuperar energías y también un pequeño “pwnage” analógico del portátil de dab.

La comida, como no no podía ser de otra manera, en gran compañía y muy divertida. Por la tarde me quedo con la resolución de los retos publicados para la NcN, con regalo final para los ponentes. Oh, y esa entrega de premios, donde se ha visto que el contenido desconocido de unas cajas está más valorado que un descuento para el CEH. Poco más dio de sí el día, ya que no pudimos quedarnos a la última charla, había que pasar por el hotel a recoger las cosas y volar a la estación de Sants a coger el AVE de vuelta a Madrid; aunque hemos coincidido varios en el tren y hemos venido charlando tranquilamente. Espero que los que os habéis quedado por Barcelona estéis todavía de fiesta en el local que tenía reservado la organización y que lo estéis pasando en grande por todos los demás

El público en general no ha estado muy participativo en ninguna de las charlas, a pesar de los esfuerzos de algunos ponentes por hacernos partícipes de la explicación y tratar de que interviniéramos más. Aún así, lo mejor de la NcN 2010 ha sido la gente, conoceros a muchos que no teníais cara (para mí, imagino que siempre la tuvisteis, o eso quiero creer) y pasar buenos ratos charlando con vosotros. Especial mención para Miguel Gesteiro (@mgesteiro), al que no conocía y con el que he pasado buena parte de estas conferencias, así como revskills, que es otra persona a la que tenía ganas de “fichar” en persona.

En fin, que ha estado genial, a ver cuándo tenemos la oportunidad de asistir a otras conferencias y de pasarlo tan bien, o mejor, que en estas.

Bueno, pues ya estamos de vuelta en el hotel tras el primer día de la Noconname 2010. En un rato saldremos de aquí para tomar algo y cenar con algunos de los asistentes, que siempre es la parte más divertida de las conferencias: la vida social que haces. El día ha transcurrido de manera muy amena, con algunas charlas muy interesantes, como “HTC Nand Dumping for forensics purposes”, de Pau Oliva o “Que vienen los Zombis”, de Pedro Sánchez (con momento Carbonero incluído . A Pau es la primera vez que le escuchaba una ponencia, pero a Pedro le he visto en más ocasiones, y siempre hace sus charlas muy entretenidas, por lo que ha sido un placer asistir a su charla de hoy.

Lo único negativo, si hay que decir algo, es el uso del catalán en las transparencias de alguna ponencia. No tengo intención de hacer sangre, ni de entrar en un debate sobre nacionalismos o temas similares. Simplemente creo, y es mi opinión personal, que si se hace un congreso a nivel nacional el catalán no es el idioma adecuado; de la misma manera que no lo sería el español en un congreso internacional. Es una cuestión de llegar al máximo público posible y de que la gente se sienta cómoda con las charlas.

La organización ha sido muy buena, y el CosmoCaixa (que no lo conocía) me parece un sitio muy chulo. Me he quedado con ganas de bajar a ver el museo y las exposiciones, que tenían muy buena pinta desde la planta en la que estábamos. Como con la entrada a la NcN (o más bien porque para llegar al auditorio nos hacían falta) nos daban entrada para el recinto, intentaré pasarme mañana en el rato de la comida o del descanso por alguna de las muestras. Desde luego no será en otro momento, porque las charlas para mañana prometen muchísimo.

En fin, vamos preparando que hay que salir a por unas cervecitas y algo para echarse al buche, y pronto de vuelta para mañana estar puntuales en la charla de Jose Selvi “IP fragmentation Overlapping” para empezar bien el día.

Pues es una lástima pero es cierto. Ayer finalizó la RootedCon 2010 tras tres días de ponencias más que interesantes y de ver a gente conocida, conocer gente nueva y poner caras a los que antes eran “entes” de internet. La valoración que me he llevado de la conferencia es muy muy positiva y, si el año que viene repiten (anunciaron su intención de llevar a cabo la RootedCon 2011) me pasaré por allí sin dudarlo.

Hubo tres charlas que quiero resaltar porque me parecieron realmente interesantes, a saber:

• Liberando un 0day en la RootedCon, de Rubén Santamarta
• Explotación Nativa en Android, de Javier Moreno y Eloi Sanfélix
• Explotación y Mitigaciones: EMET, de Fermín J. Serna

Hubo muchas más charlas de gran calidad, o muy interesantes, pero si me tuviera que quedar con tres, creo que sería con estas tres. Si quereís más información, José A. Guash ha hecho un seguimiento estupendo en SbD (Día 1, Día 2, Día 3). Además, la conferencia salió en la tele en cuatro, antena 3 y comentaban que en más sitios. Aquí tenéis el video de cuatro (anda que vaya montaje).

[+] Reportaje Antena3: http://www.antena3noticias.com/PortalA3N/ciencia-y-tecnologia/Las-grandes-empresas-contratan-hackers-para-protegerse/10220625

Ayer asistí por fin al RootedLab de Reverse Engineering que impartía Rubén Santamarta, y fue francamente genial. Rubén controla muchísimo el tema y además hizo el training muy ameno y entretenido. Como no podía ser de otra forma, aprendimos mucho y lo pasamos estupendamente.

Para continuar con esta semana intensa, hoy ha dado comienzo la RootedCon, con un poco de retraso en la entrega de credenciales pero puntual con las ponencias. Ha sido un día muy interesante, ha habido charlas mejores y peores, pero la tónica general ha sido muy buena. Especial mención para la charla de Pedro Sánchez “”Autopsia de una intrusión: A la sombra del chacal”. Las ponencias más técnicas y que más me interesan están programadas para mañana y pasado, así que espero que esto vaya mejorando día a día.

Como es habitual en estos eventos, no se puede dejar pasar la ocasión de conocer gente nueva y pasarlo bien en los descansos y durante la comida

No os aburro más, a ver si saco tiempo estos días para seguir con la serie de introducción al exploiting, quizá con algo sobre evadir NX o sobre heap overflow en linux. Ya veremos