sábado, septiembre 11, 2010

Entrevista a Yago de Security By Default

Tenía ganas de retomar la realización de entrevistas y quería hacerlo con alguien que estuviera haciendo cosas buenas por la seguridad en España. En mi lista salieron muchos nombres a los que debo pedir perdón por tener tan poca vergüenza de no haberme puesto en contacto con ellos. De repente, uno de los de la lsita apareció por el twitter y me dije... Te tocó Yago.


Yago es uno de los pulmones en Security By Default, quizá de los cuatro que están ahora al que menos veces he visto en persona, pero que tenía ganas de indagarle debido a su facilidad para moverse con la misma facilidad analizando un volcado hexadecimal que gestionando la imagen 2.0 de una compañía. Es capaz de crear una herramienta para buscar rootkits en un sistema como de crear una herramienta 2.0 para conectar personas que no saben nada de informática. Me supera infinitamente esa amplitud de visión del mundo de la tecnología e intento aprender de las cosas que veo y me cuenta un "amigo común" que de vez en cuando me cuenta algo como: Yago es la polla, se le ha ocurrido que...

Yago se ha prestado a que le hiciera preguntas y las ha contestado para todos vosotros con su estilo. Aquí están las repuestas tal y como las ha plasmado él.

Saludos Malignos!

1) Yago, ¿cómo nació Security By Default?

Todos nos conocíamos de antes, siempre habíamos divagado sobre la idea de plasmar en una web las cosas de las que hablábamos, un día dimos el paso y aquí estamos. Como curiosidad nunca antes explicada, el nombre es un pequeño guiño al slogan de OpenBSD 'Secure By Default'. Lo bueno de SbD es lo dispares que somos entre nosotros, Alex es un fuera de serie, me recuerda al mítico Indurain, cuando se pone en algo empieza a tirar y tirar y en poco tiempo ya ha abierto brecha, hace un montón de cosas y todas bien. Lorenzo es un 'pata negra' un tío que sabe de verdad. Mucha gente cuando dice cosas como 'yo sé programar en Python' normalmente quiere decir 'he ojeado un manual y escrito 2 programas', en el caso de Lorenzo cuando dice 'sé algo' significa que probablemente podría escribir las RFCs desde 0 del tema en cuestión. José Antonio es un poeta de la seguridad, en mi opinión es el que tiene más perfil 'blogger', sabe cuando tocar un tema 'hasta el fondo' y cuando simplificar los conceptos.

2) Y tú.. ¿cómo acabaste con los ordenadores frikeando? ¿Cuál es tu historia?

Bueno, mi historia es algo peculiar, en mis años de estudiante estuve tonteando con la publicidad, el marketing ... Siempre tuve un interés especial por la informática y la seguridad. Empecé a conectarme desde que tenía 12 años al mítico IBERTEXT (con factura de 200.000 pts de la época incluida) luego di el salto a Internet, de ahí a Linux, de las comunidades linuxeras a las de seguridad y finalmente a dedicarme profesionalmente a ello.

Profesionalmente me he movido mucho y he hecho de todo, en su momento hice pentest, en la época del boom IDSs participé en uno de los despliegues más importantes a nivel Europeo para 'El ISP dominante', junto con Lorenzo montamos el departamento de seguridad para otro gran ISP 'del cable'. Luego estuve en el despliegue de la PKI del DNI-e, también diseñé y desarrolle una herramienta para cifrar dispositivos móviles para una entidad bancaria. Estuve como responsable del área de seguridad y monitorización en un proyecto militar ...


3) Ahora cuéntanos esa relación tan cercana que tienes con "Él", que se te ve muy acarameladito alguna vez.

jaja !! Evidentemente te refieres a Enrique Dans ! Sí, es cierto me llevo genial con Enrique. Yo le conocí a raíz de 'cierto incidente' con su cuenta Twitter, no le conocía y realmente pensé que igual 'la broma' podía no haberle sentado bien. Todo lo contrario, estuvimos hablando por Gtalk y él se lo tomó con un fair play impresionante. A raíz de eso nos hicimos amigos. Te aseguro que Enrique es una persona cercana, accesible y con un gran sentido del humor. Evidentemente alguien que lleva tantos años opinando diariamente, mete la pata, lógico. Pero tampoco olvidemos los aciertos, por ejemplo con Twitter. Hace no mucho yo mismo pensaba que Twitter era solo un juguete snob sin futuro. Le di una oportunidad y realmente me he dado cuenta de la cantidad de posibilidades que tiene. Enrique apostó por Twitter como elemento con mucho futuro desde el primer día.

En definitiva, no creo en los colectivos o grupos, creo en las personas individualmente. Probablemente, (seguro) que en los ambientes del Internet hispano 'de masas' hay personajillos despreciables que no merecen tanta atención, pero en mi humilde opinión basada en mi experiencia, Enrique no es uno de ellos.


4) Y ahora con cosas serias.. Patriot. ¿Cuándo estará acabado? ¿Qué traerá en la versión final?

En plan primicia te adelanto que ya hay disponible una RC-1 de lo que será Patriot-NG, ciertamente tenía muy abandonado ese proyecto, con solo decirte que la versión anterior es del 2004 y fue programada en un Windows 2000...

Esta versión trae principalmente compatibilidad con Windows Vista y 7. Se han arreglado bugs antiguos y se han añadido nuevas cosas, como por ejemplo, gestión de amenazas TCP/IP (ahora se monitorizan procesos que abren conexiones al exterior, procesos que ponen sockets a la escucha, detección de portscans...)

Agradecería infinitamente cualquier feedback, animo a todos tus lectores a probarlo.


5) ¿Qué tiene Zaragoza que no tenga Madrid y que eches de menos cuando llevas tiempo sin volver a casa?

Zaragoza es una ciudad muy tranquila, todo queda muy a mano y, quitando el insoportable cierzo, un lugar ideal para establecerse.

Es una pena que desde hace años Zaragoza ha sufrido una horda de políticos realmente penosa que han tenido nulo interés en apostar por el desarrollo tecnológico. Primero, en la época gloriosa socialista, con un Alcalde corrupto e incapaz, que, por ejemplo, impulsó 'el turismo' en Zaragoza fletando autobuses Madrid-Zaragoza los fines de semana para atraer gente a las zonas de bares (Zaraguay la llamaban en Madrid ...), lo último que recuerdo de él es que le imputaron por ponerle una joyería a una ex-prostituta 'amiga suya' con fondos públicos. Después de este hombre, llegaron los 'años grises' del PP con Luisa Fernanda Rudi. Tendría que recurrir a pasajes del señor de los anillos para describir como dejó Zaragoza ... Ahora al menos hay un político 'de talla', más moderno, que impulsó la Expo y parece que algo está cambiando.


6) No te mola mucho eso de dar charlas, aunque te vimos en la Campus, pero... ¿para cuándo un libro?

Ciertamente me encantaría, pero ya sabes algo sin DRM (salvo para Itunes) :P

7) ¿Qué le recomendarías a cualquiera que quisiera aprender seguridad informática?

Creo que, muerta (o casi) la scene underground, yo apostaría por una formación reglada: certificaciones, cursos. Estar al día leyendo blogs, listas de correo, usar Twitter...

8) Seguro que eres tan friki como todos. Recomiéndanos tres libros de lectura (no técnica).

1- 'La conjura de los necios': Imprescindible, deberían darlo como 'welcome pack' en cualquier gran empresa a sus empleados

2- 'La velada en Benicarló' de Manuel Azaña: Lectura obligatoria para comprender lo que sucedió en los convulsos años de la II República

3- 'Tu puedes' de José Ignacio López de Arriortúa: Este libro ha sido, de lejos, mi mayor influencia profesional. Es una especie de biografía de José Ignacio (AKA SuperLopez) aquel famoso directivo que puso en jaque a Opel y Volkswagen. En el libro narra como, por ejemplo, fue a Japón en la época en la que Japón era la meca de la optimización y les pasó por encima con sus revolucionarios paradigmas.


9) SecurityByDefault es un referente para todos nosotros. ¿Funcionáis con alguna organización editorial o simplemente cada uno se "emociona" con un tema distinto?

En principio no hay una distribución clara. Tratamos de alternar post muy técnicos, con herramientas hechas por nosotros, etcétera, con posts de actualidad y opinión o meramente divulgativos. La idea es que pueda resultar interesante a gente que le interesan cosas más 'low level' y también a gente que le interesa la seguridad como complemento profesional o hobby.

10) ¿Quién te ha impresionado en este mundo de la seguridad informática?

Ahora que estamos de resaca post-mundial, te haré mi pequeña 'Selección Española de seguridad':

Empezamos por la defensa:

Mi 'casillas' particular sería Luis Corrons, director técnico de Panda, creo que él y su equipo están haciendo un excelente trabajo 'parando' amenazas.

'Sergio Ramos' sería Vierito, un tío muy bien dotado técnicamente y con una capacidad para esforzarse infinita.
'Tiburón Puyol' creo que encaja perfectamente en mi compañero Lorenzo, ambos son expertos en 'cerrar' brechas, seguros y fiables.

'Gerard Piqué' lo veo encarnado en Pedro Sánchez de Conexión inversa. Ambos son el último recurso cuando el resto del sistema defensivo ha sido comprometido :)

'Joan Capdevila' me recuerda a Daniel Peláez AKA _metalslug_ de Hacktimes: Son gente que van por la vida sin estridencias ni metiendo ruido pero que todo lo que hacen, lo hacen bien.

'Busquets' se parece a Alberto Ortega de aw3a, ambos comparten como denominador común que son 'demasiado buenos' para la edad que tienen, sin duda dos superdotados.

'Xavi' me recuerda a un tal Chema Alonso, comparten como virtud que hacen mejores a sus compañeros, saben en qué momento y a quien 'dársela' para que la jugada sea perfecta.

7- 'Xabi Alonso' claramente es mi compañero José Antonio, polivalentes, dan sentido y criterio al juego. Lo mismo defienden que dan un pase de 30 metros.

8- 'Sweet Iniesta' evidentemente es Rubén Santamarta, finísimo mediapunta de ilimitada creatividad y talento.

9- 'David Villa' se asemeja a mi compañero Alex, capaz de rematar una jugada como un 'killer' nato o de fabricarse su propia jugada si hace falta.


11) ¿Qué sistema operativo es el que corre en la máquina de Yago?

En mi equipo principal una Fedora Core 12+1, en mi netbook un flamante Windows 7.

12) Yago, de todos los proyectos en los que embarcas, ¿de cuál de ellos te sientes más orgulloso?

Por notoriedad y repercusión diría que mi niña bonita es Unhide , implementa un buen número de técnicas para detectar rootkits / malware en Linux bastante novedosas (incluso ya hay varios proyectos parecidos que implementan conceptos sacados de Unhide) A día de hoy está como paquete oficial en prácticamente cualquier Linux (Fedora, Debian, Ubuntu, Mandrake) e incluso como port en FreeBSD.

13) Venga, adelántanos algo del Wargame que haréis en SbD.

Aún estamos en fase de definición de las pruebas, la idea es intentar llegar a un punto de equidad entre pruebas que se resuelvan por 'idea feliz' y otras que tengan más enjundia.

14) ¿Has sido gamer? ¿Qué juego ha sido el que más horas te ha quitado? ¿Eres gamer ahora?

Lo cierto es que nunca he sido demasiado gamer, el único juego que llegó a engancharme en plan no duermo, no como, no vivo ... fue Civilization. Ahora no juego mucho, me van los juegos tipo GTA y la parte del manager de los FIFA.

15 ¿Qué lees para estar al día? Recomiéndanos alguna cosa fina, fina.

Difícil pregunta, ya que estamos tan 'globalizados' que es complejo decir sitios que no sean conocidos ampliamente. Me la juego con el blog 'Command Line Kung Fu' es realmente adictivo y se aprende ¡¡ muchísimo !!

16) ¿No te animas a posar para el Calendario Tórrido? Que seguro que harías feliz a muchas fans...

Me habría animado a un 'Maños Power' con Pedro Sánchez, pero como ya lo has ubicado con otro ... Para el siguiente :P

17) ¿Te dejarías liar para dar alguna charlita en alguna de mis apiroladas? ¿Y te podrías mi gorro como Alex? }XD

Podríamos hablarlo ... pero realmente me seduce mucho mas la idea del libro.

18) ¿Cuántas horas le dedicas al día a la seguridad informática para dar la calidad que dáis a los posts técnicos?

Uf ! supongo que una vez que estás metido en harina el número de horas se dispara, imagino que influye cuando tienes 'algo entre ceja y ceja' ahí ya entro en visión-túnel y las horas caen ad infinitum.

19) Si "Él" te lo pidiese, ¿dejarías tu faceta técnica para una vida de lujo y placer como técnicoless?

jaja ! Hombre, una vice-consejería de seguridad adscrita al ministerio de educación y ciencia ...Imagina la cantidad de subvenciones que asignaría a Informática 64 !!

20) Yago, esta última para que te pringues... ¿cómo ves la seguridad informática en las empresas de este país?

Creo que se ha avanzado bastante, pero aún estamos lejos de un punto que sea equiparable a otros países. Te pondré un ejemplo: Conozco a una persona que es responsable de un área crítica de seguridad en un banco. Esta persona está contratada para ese puesto a través de una subcontrata de otra subcontrata.

Saludos!

7 comentarios:

Jose dijo...

mmm...esta entrada no debería estar programada para mañana? xD

ShadowChild dijo...

Me ha cagado el nombre... pero nunca será como yo. Bueno, mejor dicho yo nunca seré como el y menos que menos apareceré en tu blog xD

Román Ramírez dijo...

Una charla en Rooted 2011 es lo que tendrías que dar maldito, ni respeto tienes por tus compañeros maños :)

Anónimo dijo...

Muy buena la idea de hacer entrevistas, espero que la continues es bastante interesante leer este tipo de cosas, aunque cambiaría un poco las preguntas.

Anónimo dijo...

Buen post maligno :D

Grats para los dos ;)

Mikelats dijo...

Una elección muy buena la "La conjura de los necios". Recomendable 100%.

Después de Civilization es imprescindible jugar al Age of Empires. No podrás dormir como debe ser en un buen juego ;-)

Saludos.

Alejandro Ramos dijo...

Que enorme esta entrevista a Yago, siempre que quiero levantar la moral la leo y siempre me rio.

Uno de los pocos amigos que tengo, uno de verdad.

Entradas populares