jueves, febrero 04, 2010

Entrevista a Ero Carrera de Sexy Pandas

Decir que Ero Carrera es de Sexy Pandas es una forma de anclarle a una de sus muchas facetas porque este tipo, de apariencia tranquila y relajada, estira su agenda con una facilidad pasmosa para estar en todas partes. Actualmente colabora con Virus Total, trabaja en la industria del malware y aun ha conseguido algo de tiempo para venir a prestar su ayuda en la RootedCon, dando un Rootedlab de Análisis de Malware [apúntate a un training suyo en Black Hat y me cuentas si se ha tirado el rollo o no].

A Ero, a pesar de que le había visto en Las Vegas compitiendo con los Sexy Pandas en el CTF, no pude charlar con él hasta la muy entretenida BlackHat Europe 2009, en la que nos juntamos un buen grupete. Ya había oído hablar mucho y bien de él, y por parte que me merece mucho respecto, pero cuando compartimos un rato juntos, lo que de verdad me sorprendió es su forma de ser: tranquilo, afable, cercano, humilde, sencillo.



Hay fotos en las que se le ve mejor en Internet, pero ésta me parece especial. Está hecha justo tras acabar el CTF de la Defcon17, con la camiseta de ls Sexy Pandas y todos sus compañeros. Estaba muerto de cansancio, habían perdido, tenía una lesión en la rodilla y ahí estaba feliz, como siempre

Ero es capaz de adaptarse a la conversación y el interlocutor para que el otro siempre se sienta cómodo. Habla con facilidad de muchos temas, pero nunca más de la cuenta. Es prudente educado, simpático, y un cráck cuando el tema se pone técnico.

Quizá de alguien que da trainings en la BlackHat se espera algo más "Security Pr0n Star" pero no, Ero parece que ha vivido contigo toda la vida. En el DISI 2009 le vi jugando otro papel, más divulgativo, educativo, y el tipo lo bordó, así que decidí que era hora de liarle. Estoy detrás de él para un Asegúr@IT pero como su agenda es peor que la mía, la cosa aun está en el aire. Eso sí, se comprometió con los RootedLab a da uno y va a sacar tiempo para atender a los 12 afortunados que pillen plaza.

Aquí va la entrevista que le hice a este Gallego/Catalán con nombre de amoroso italiano.

Saludos Malignos!

1) ¿Ero Carrera? ¿Seguro que no eres italiano?

Naaaah, mejor, mucho mejor... 50% gallego, 50% catalán... una mezcla explosiva.

2) Sabes que para mi eres el más sexy de todos los Sexy Pandas, y que menos mal que estás tú para compensar a Fermín... pero... ¿De verdad es sexy la ingeniería inversa?

Es pura belleza natural, el resultado del orujo, el zumo de vieira y la humedad de las rías baixas...


La ingeniería inversa es algo muy sexy. Tan sexy como pueden ser la mayoría de retos intelectuales para alguien a quien le motivan.

Aunque quizá es algo que en su estado más puro lleva tiempo apreciar. Lo que es muy motivador y atrayente, al menos para un chaval, es el poder que te da. Con el tiempo aprendes a apreciar las partes más abstractas, los algoritmos, la complejidad de los problemas, la teoría.

Yo me interesé simplemente porque me gusta entender cómo funcionan las cosas. Desde que tengo un ordenador nunca he sido de los que juegan mucho. Ya de muy pequeño tenía una inmensa curiosidad por los entresijos de la máquina.

El ser capaz de hacer que las aplicaciones hagan cosas para las que no están diseñadas es algo que me atrajo desde pequeñajo... eso y la demoscene, los engines 3D y demás maravillas gráficas. Siempre quise saber cómo funcionaba todo aquello.


3) Has viajado más que yo durmiendo, ¿con que conferencia te quedas de todas?

Difícil pregunta, todas tiene sus peculiaridades. Dado que más abajo ya te respondo sobre el panorama de las conferencias internacionales aprovecho para decir que la que más he disfrutado últimamente, si es que se puede calificar de conferencia y no de quedada, ha sido la LaCon. Tanto por el nivel como por el ambiente es algo difícil de superar.

4) Con la facilidad que tienes de cambiar de techie a CSO... ¿te quieren los políticos?

Uh, ni idea. Lo que sí que es extremadamente interesante es poder ver el panorama de la seguridad informática desde diferentes puntos de vista.

El estar un día reventando cosas con los Panda y otro día verlo todo desde un punto de vista mucho más alto, más enfocado a regulación o a la problemática que puede surgir de ataques a países o instituciones.

Es bonito ver todo el espectro con sus diferentes problemáticas, necesidades y abstracciones.


5) ¿Son los MAC las mejores máquinas para correr Windows?

Claro.

No, en serio, la verdad es que va todo bastante fino, Mac me gusta por motivos de usabilidad. No tengo mucho en contra de Windows, desde luego nada a nivel técnico. Pero prefiero embotellarlo en VMs y trabajar sobre entorno Mac, cosa de gustos personales.


6) ¿Cuáles fueron tus orígenes en el mundo de la seguridad informática?

Orígenes... a ver, déjame hacer memoria. Pues de chaval la seguridad en sí no es que me importase mucho la verdad.

Siempre me habían tirado más las mates y la física. De crío me dio por empezar a aprender sobre Linux y su kernel, me metí a aprender ensamblador para saltarme protecciones y luego lo dejé un poco aparcado y me metí a programar tema de red durante un tiempo...

A los 21 me pescó F-Secure y allí ya desempolvé los conocimientos de ingeniería inversa de unos años atrás y me puse las pilas. Acabé allí en Finlandia un poco de rebote. Una vez dentro del mundillo ya me enganché.


7) y... ¿perdiste mucho tiempo con algún juego?

No, quizá durante el primer año que tuve acceso a un ordenador, a los 13 o 14 años. Jugué al grandioso Doom y cosas por el estilo. Pero siempre me intrigaba mas el cómo funcionaba todo aquello y la verdad es que desde pronto los juegos me aburrían bastante.

8) y ahora que eres mayor y responsable... ¿cuál es tu misión en Virus Total?

¿Mayor y responsable..? bueno dejémoslo que queda bonito...

Mi misión principal en VT es la de hablar con otras compañías en la industria que estén haciendo trabajos interesantes para investigar posibilidades de colaboración. También dar todo el feedback que pueda sobre algunas de las partes técnicas de VirusTotal. La verdad es que es una herramienta increíble.


9) Con la cantidad de malware que existe... ¿se da a basto a analizar todo?

No. Tampoco es necesario. Hay una gran cantidad de basura. Pero por desgracia también hay una gran cantidad de malware realmente cabroncete.

Aun así, depende un poco de como definas "analizar". Si lo consideramos como el obtener una idea básica del comportamiento, pues se puede llegar bastante lejos con emulación y herramientas de monitorización de ejecución.

Si por analizar consideramos mas el hacer ingeniería inversa y llegar a conseguir tener una buena idea de la mayoría de la funcionalidad del malware, entonces no, no es posible llegar a un nivel tan profundo para el volumen de malware existente en la actualidad.


10) ¿Qué le recomendarías a alguien que quiera ser analista de malware?

¿Suicidio? ;)

Depende donde se lleve a cabo no tiene por qué ser un trabajo muy grato. Si uno acaba teniendo que mirar todo lo que le pasan se puede morir de asco.

Por el contrario, si se tiene la oportunidad de analizar malware avanzado, pudiéndole dedicar tiempo a comprenderlo bien, puede ser un trabajo bonito y del que se aprende mucho. Pero bueno, supongo que es como ser mecánico, si te toca mirar coches cutres y arreglar tonterías puedes acabar harto, pero si trabajas en Ferrari puede ser otra historia...

Un analista, entendiendo por eso el hacer "ingeniería inversa", requiere paciencia y tenacidad, muchas, muchas ganas de aprender y bastante creatividad cuando te encuentras con algún problema nuevo. No es para todo el mundo.

Recomendaría aprender varios lenguajes de programación, C, ASM, Java, VB, Lisp... cualesquiera la verdad, e intentar entender cómo se relacionan todos al nivel de la máquina. Si eres capaz de intuir o deducir como cada lenguaje se expresa en ensamblador para mí eso es una buena capacidad de hacer ingeniería inversa.


11) Cuando Ero no está con el ordenador... ¿con qué te evades?

Estudiar para la UNED. Ejercicio. Viajar. Leer, sobre todo cosas técnicas, economía, matemáticas, física, poca novela la verdad. Family Guy, Entourage, South Park, Californication. Un paseito por Rambla Catalunya para despejar la cabeza siempre ayuda también.

12) Recomiéndanos tres libros técnicos y tres libros no técnicos.

Solo tres de cada? A ver, que me vengan a la mente ahora...

- Reversing: Secrets of Reverse Engineering, Eldad Eilam

- The Mac Hacker's Handbook, Charles Miller, Dino Dai Zovi

- The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System, Bill
Blunden.

- Silent Warfare: Understanding the World of Intelligence, Abram N. Shulsky, Gary J. Schmitt.

- SURELY YOU ARE JOKING, MR. FEYNMAN!: Adventures of a Curious Character, Richard Feynman.

- Fermat's Enigma: The Epic Quest to Solve the World's Greatest Mathematical Problem, Simon Singh.

Los he escogido de forma más o menos aleatoria, echando una ojeada rápida al Kindle y a la biblioteca en casa.


13) ya preparando mis viajes... ¿Volverán a competir los Sexy Pandas en los CTF?

Casi seguro que sí, aunque casi seguro que no estarán este año en Vegas.

14) y si no vais a ir a competir a la Defcon 18... ¿Iréis de fiesta?

Si a algunos nos pilla en Vegas y no vamos al CtF pues lo intentaremos hacer una experiencia memorable... o no... que a veces la memoria no funciona... pero en ese caso mejor que no haya fotos que si no la gente mal hablada va diciendo luego cosas por ahí y se ganan famas inmerecidas...

15) ¿Que no puede faltar nunca en tu portátil?

Aparte del contenido multimedia estándar? Lo que no faltará nunca serán unas cuantas imágenes de disco cifradas... y no!, no para el pr0n!

Python, VMs de Windows con el IDA, Olly, etc. El Mathematica y algunas tools mas...


16) Después de haber estado en tantas conferencias... ¿a quién has conocido que te haya impresionado?

Pues la verdad, es que a estas alturas he hablado o coincidido con mucha de la gente conocida en el mundillo de la seguridad.

Creo que tengo mucha suerte de poder trabajar con gente como Halvar Flake y el resto de los colegas en Zynamics y con Pedram Amini haciendo los trainings de la BlackHat. Todos ellos son gente increíble.

Más gente que me impresiona cada vez que hablo con ellos... pues el resto de los Pandas, Dino Dai Zovi, Alex Sotirov, HD Moore, Valsmith, los coreanos en general... (no se que les dan de comer allí ;) mucha de esta gente parece que vivan en otro universo. Hacen que lo difícil parezca trivial.


17) ¿Cuáles son las conferencias que más te gustan a nivel internacional?

Es una pregunta cabrita, la verdad es que hay varias conferencias que tienen una personalidad muy marcada:

- BlackHat, en especial la de las Vegas, porque es lo que es, la conferencia técnica mas bestia y todo dios acaba estando allí. Siempre vale la pena ir. (La RSA es bastante más grande pero más de temas de marketing y ventas)

- La HiTB de Kuala Lumpur es grande (casi 1000 asistentes) y está organizada de una manera impecable. Pocas he visto que sean tan extremadamente profesionales.

- Recon en Montreal. Esta es imbatible dentro de lo que es puramente ingeniería inversa. Las charlas son generalmente una gozada.

- La PH-Neutral en Berlín es otra de las que son únicas. Tiene su encanto particular, un nivel impresionante y una componente social increíble.

Hay algunas de las que siempre he oído muy buenas impresiones, como CanSecWest en Vancouver o Ekoparty en Buenos Aires pero aun no he tenido la suerte de poder asistir.


18) Hemos conseguido raptarte para dar un laboratorio en la RootedCon, ¿dónde has dado más trainings? ¿Te podré raptar para un Asegúr@IT?

He dado unos cuantos (4 o 5 años ya?) en BlackHat, creo que he estado todos los lugares donde ha habido conferencia de BH, en Washington DC, Tokyo, Las Vegas y Amsterdam.

Si las fechas lo permiten, me encantaría estar en Asegúr@IT.


El laboratorio de la RootedCon promete ser divertido, aunque es todo un desafío encajar en un día un curso sobre análisis de malware. A ver si a los asistentes les gusta.

19) y ahora algo reflexivo ¿Qué es la seguridad informática para Ero Carrera?

A nivel personal, un juego, un hobby. Sería difícil que me pasase la cantidad de horas que me paso en frente de una pantalla si no me divirtiese de una manera u otra.
Muy a menudo te encuentras con problemas nuevos, técnicas que desconocías. Es algo que te hace estar aprendiendo cada día. A mí personalmente es algo que me encanta.


A nivel profesional, un desafío. La seguridad informática hoy en día es algo crítico. La seguridad de países enteros depende de la capacidad para realizar o defenderse de ataques. Es la carrera de armas del futu^H^H^H^H presente. Y puede sonar algo alarmista o grandioso, pero es simplemente la verdad.

20) Ya para terminar... ¿Hay un club de fans de Ero al que yo me pueda apuntar?

Claro que sí. Rellena el PDF adjunto con tus datos bancarios y ya verás el fiestón que se monta en la próxima BH Vegas en el Penthouse Villa del Caesars... hasta habrá una Foca de verdad en la bañera para que estés a gusto ;)

-
ero

9 comentarios:

José A. Guasch dijo...
Este comentario ha sido eliminado por el autor.
José A. Guasch dijo...

Persona a la que merece muchisísimo la pena conocer

a0rtega dijo...

Vaya, no sabía que formase parte de los Pandas With Gambas :)
Sólo he visto a Ero en su parte menos técnica (DISI), pero aún así se veía que era un techie en realidad.
Espero conocerle algún día ;-)

Anónimo dijo...

Buena entrevista! Yo tampoco sabia que pertenecía a los Pandas!

Yo lo tuve difícil para elegir entre los trainnings de Rúben o de Ero. Al final, Ero salió perdiendo :P

Saludos!

Newlog

Fermín J. Serna dijo...

Le dijo el cazo a la sartén...

Chema... me cansas... mucho, demasiado.

Ero, un tipo excepcional :)

Anónimo dijo...

Ero, Chema
"[CtF].. pero en ese caso mejor que no haya fotos que si no la gente mal hablada va diciendo luego cosas por ahí y se ganan famas inmerecidas"

?Hubo algun problema con la esta foto en cuestion? Cierto que salia una moza en la misma, pero me parece de lo mas sana y representativa de lo que es el trabajo en grupo.

Fdo: el autor de la foto

RoMaNSoFt dijo...

¡¡Un 10 para Ero!! (sin lugar a dudas, el español más "internacional" en esto de la seguridad).

-r

Grifo dijo...

Una pena no disponer de los conocimientos suficientes (aún) para animarme a apuntarte al rootedlab :(

Anónimo dijo...

Muy interesantes tus entrevistas sobre seguridad. Sobretodo para los que nos encontramos en la situación de los 21 años y nos toca mover ficha al acabar la carrera.
Personalmete siempre he pensado que la seguridad
sigue el modelo de la carpintería, hay que entrar como aprendiz y aprender en el propio trabajo y esto me lo confirma. Me equivoco?

Entradas populares