lunes, noviembre 28, 2011

Entrevista a César Cerrudo

Como el buen vino o el whisky de malta de 12 años, así veo a César Cerrudo en este mundo. Con la mirada que tienen solo los que llevan una vida en las trincheras, viendo pasar las balas y estallar los cohetes mientras siguen al pie del cañón arreglando la radio para que funcionen las comunicaciones y lleguen los refuerzos sin perder un ápice de serenidad. Esa solera que tienen los buenos vinos que han sido mimados porque venían de buena uva y que son capaces de satisfacer y convencer a los más detractores, con ese sabor que dejan a posteriori en el paladar. Así es la sensación que deja César Cerrudo.

Llevaba años sabiendo de su existencia, incluso leyendo artículos de aquella NCN a la que asistió lo mejor de cada casa, y donde hizo acto de presencia este argentino rubio. A lo Robin Hook o Flecha Verde, llevando en su carcaj una lista ingente de trabajos en seguridad informática e investigación en hacking que siempre se olvida de recordar, no vaya a ser que algo cambie.

Es como ese soldado de la tropa que se va a la cantina después de haber estallado las baterías enemigas, a fumar con sus compañeros y tomar un trago de cerveza relajado y entretenido - que no será él el primero que se vaya de la fiesta - , mientras se le busca para darle una medalla que el se ha olvidado de recoger.

Sí, si has leído hasta aquí, te habrás dado cuenta de que tengo admiración por César Cerrudo, no lo puedo evitar, y tal vez deberías descubrir el porqué. Aquí tienes una entrevista que le he arrancado, puedes seguirle en Twitter en @cesarcer o verte alguna de sus charlas. Yo a lo fan-total, con esta foto de la Ekoparty 2011, en la que estoy con César, Rubén y Claudio a lo Green 0-Day como dijo el de León, me siento feliz. Gracias César por todo.

César Cerrudo, Rubén Santamarta, el que suscribe y Claudio en la EKoparty 2011

1.- César, lo primero es lo primero, y tú tienes fama de ser re-tranquilo, porque dicen que todos los que son de tu región son re-tranquilos… Para los que no te conocen… ¿de dónde es César Cerrudo? ¿Es verdad que sos retranquilo? ¿Son re-tranquilos todos por allá? ¿Esteban también es de la región?

Hay que ver que entiendes por re-tranquilo :) si es alguien pacifico y que trata de tomarse las cosas con calma entonces puede ser que a veces sea re-tranquilo, salvo que me hagas enojar mucho :) Yo soy de Paranáuna ciudad que queda en la provincia de Entre Ríos en Argentina, bastante lejos de todo (a veces me gustaría vivir mas cerca de losaeropuertos internacionales :) )

Aquí en mi ciudad el ritmo de vida es mas lento que en las grandes ciudades, se duerme mucho la siesta por lo general (salvo que tedediques a la seguridad o sistemas ;)), de 1pm a 4pm cierran todos los comercios lo cual no esta muy bueno sino dormís la siesta :) Esteban Martínez Fayo también es de aquí.

2.- ¿Cómo empezaste a buscar fallos de seguridad? ¿Cuál fue el primero que recuerdas?

Empecé primero probando cosas de MS SQL Server, ya que conocía la herramienta porque la usaba en mi trabajo de programador. El primero querecuerdo es un overflow en OpenRowset. Seran pronto 10 años desde que encontré ese primer fallo, ¡qué tiempos aquellos! :`( En el advisory se puede observar que ya empezaba a tener mis primeros problemas con MS :)

3.- Y ahora en iOActive… ¿cómo has acabado ahí? ¿Cuál es tu misión en la compañía?

Mi empresa, Argeniss, venia trabajando desde hace muchos años con IOActive, pero con contratos por trabajos específicos. Me hicieron una interesante oferta que me convenía tanto económicamente como profesionalmente así que acepté. Estoy a cargo de organizar el research en distintas areas, con todo lo que ello implica. También yo hago algo de research que luego presento en conferencias. Y otras cosas más de lasque no puedo hablar públicamente ;)

4.- De todos los fallos de seguridad que has encontrado… ¿cuál es que más te gusta a ti?

Esta es una pregunta complicada, hay varios. El research de Token Kidnapping que incluye varios fallos es uno de los que más me gusta porque fue una conjugación de fallos de distintos tipos que permitían sobrepasar todas las nuevas protecciones de los servicios en Windows (al día de hoy estas protecciones no sirven de mucho) y la forma de explotarlos era bastante interesante. El exploit Churrasco se volviobastante popular :)

5.- ¿Y el que más repercusión mediática tuvo?

Lo anterior creo que fue lo que más repercusión mediática tuvo aunque también un 0day de kernel en Win XP y Win 2000 que había publicado causo algo de revuelo. También Story of a dumb patch. En general siempreque se publica algo de MS tiene repercusión mediática.

6.- ¿Qué pasó con Oracle en la semana de los fallos de Oracle? Cuéntanos la historia para los que no conozcan esa aventura aún.

Es una larga historia. Yo estaba harto de Oracle y de su incompetencia (todavía sigo igual) y decidí publicar 0days de Oracle por una semana para ver si esto provocaba alguna reacción. Antes de hacerlo hablé con uno de mis principales clientes para asegurarme que no habia problemas y me dijeron que estaba todo bien. 

Todo iba muy bien hasta que mi cliente fue "presionado" por Oracle. Basicamente Oracle le dijo a mi cliente que por qué trabajaban conmigo, que yo era hacker malo (no recuerdo bien las palabras pero era algo así :)) que yo ponía en riesgo a sus clientes (excusa universal de los software vendors como si los researchers fueran los que venden el soft lleno de fallos :)), etc.. También Oracle le hizo saber a mi cliente que si yo publicaba las fallas, Oracle podría no hablar bien de mi cliente, etc... Indirectamente (o no) Oracle le dio a entender que lo podría perjudicar en sus negocios.

Mi cliente me llamo y me contó lo que pasó y me dijo que preferian que no publicara nada, en un principio pensé en hacerlo igual, ya que era un problema de mi cliente (dejarse apretar por Oracle) ademas mi cliente primero me habia dicho que no habia problemas. Pero luego tuve que pensar que si yo me quedaba sin mi cliente por este problema, si bien yo me lo podia soportar, el tema era que ponia en peligro el trabajo de la gente que trabaja conmigo y eso no me gustaba para nada, así que decidi cancelar la publicacion de los 0days de Oracle.

Yo todavia tengo la esperanza que algún día la gente sepa lo que realmente es Oracle y lo poco le importa la seguridad.Veremos.

7.- Tu charla sobre 0days y otras yerbas nos encantó, pero de todos los Software Vendors… ¿cuál es que mejor te ha tratado ante fallos de seguridad?

El mejor sin dudas es Microsoft, si bien he tenido desencuentros, siempre tratan de buscar soluciones. A veces puedo no estar de acuerdo pero por lo menos siempre están abiertos al dialogo y te tratan muy bien.

8.- ¿Qué hace César Cerrudo en su tiempo libre? ¿Cuáles son tus hobbies?

¿Qué es tiempo libre? no conozco esa palabra :) Mi hobby es el hacking aunque cuando esto ya forma parte del trabajo y estás a cargo de una empresa cambia todo. Tendría que buscarme un hobby nuevo :)

9.- Has viajado por todo el mundo, dando charlas en las mejores conferencias del mundo. ¿Cuál es la que mejor sabor de boca te ha dejado?

Cada conferencia tiene algo especial. Yo la he pasado bien en cada una en las que he estado. Particularmente me gustan las conferencias pequeñas porque uno puede convivir más con un grupo pequeño de gente y las llega a conocer y entablar una buena relación. Ekoparty es una de mis preferidas ya que juego de local :) La he pasado muy bien en conferencias como NcN, H2HC, Infiltrate, FRHack, IT-Defense, BlueHat, BlackHat, Cansecwest, HITB, Bellua, etc...

10.- Y de toda la gente que has conocido… ¿quién es el que más te ha impresionado?

Nunca me lo he preguntado. No creo que haya alguien que me haya impresionado más que todos, conozco un montón de gente muy buena profesionalmente y como persona. Tal vez me impresionan más la gente que hace o ha hecho cosas similares a las que yo hago o he hecho y que son de mi misma época, como son: David Litchfield, Barnaby Jack, Brett Moore, Dave Aitel, etc....

También tengo muy buena impresión tuya, eres una persona muy dedicada,trabajadora y muy buen speaker.

11.- ¿Y el que mejor te cae?

Nuevamente, nunca me lo he preguntado, poniéndome a pensar, la verdad que creo que me llevo bien con casi todos.

12.- Durante un tiempo David Litchfield (You are the next answering an interview!) y tú estuvisteis en el punto de mira de Oracle. ¿Os coordinabais para buscar los fallos? ¿Competíais por ellos? ¿Os pisasteis alguno? ¿Está Esteban Fayo siguiendo tu trabajo?

Con David, si bien nos conocemos, nunca hemos trabajamos juntos. Nunca nos coordinamos ni competimos. Hubo un par de mismos fallos que David y yo encontramos y que David y Esteban encontraron. Esteban empezó a trabajar conmigo hace como 8 años, yo le explique sólo algunas cosas y él aprendió muy rápido por su cuenta más que nada. Hoy en dia Esteban es una de las personas que más fallos ha encontrado en Oracle (puede ser que más que David, habría que hacer las cuentas :)) y hace un tiempo encontró un nuevo 0day de Oracle que va a dar que hablar el año que viene seguramente.

13.- He visto que los Security Researchers en Argentina no suelen ser muy futboleros, ¿lo eres tú o lo mejor es compartir una cerveza da igual viendo qué?

Jajaja, me defiendo jugando al futbol, tambien puedo jugar tomando cerveza si quieres :)

14.- ¿Cómo es la vida del Security Researcher en Argentina? ¿Tenés que llevar saco para triunfar?

Jajaja, para triunfar sólo se necesitan los conocimientos necesarios. Creo que nunca he usado saco salvo para casamientos. Argentina es un país dificil para vivir, hay que acostumbrarse a los problemas, a que todo se complica siempre, a que siempre te jodan, etc... tal vez por esto hay tanta gente buena en seguridad :)

15.- ¿Qué le recomendarías a los jóvenes que quieren empezar en este mundo del hacking y el research?

Esforzarse al máximo, estudiar y experimentar sin rendirse, si es algo que realmente le gusta a uno, hay que seguir hasta conseguirlo. En un principio siempre es difícil pero con esfuerzo y perseverancia todo se puede lograr. Tratar de construir herramientas propias o aprender cómo funcionan las herramientas y no "sólo usarlas" ayuda a aprender. Hoy en dia con Internet es muy fácil acceder a un montón de material para aprender sólo hay que saber filtrar lo que no sirve. Básicamente la receta mágica es esfuerzo, dedicación y perseverancia.

16.-  ¿Cuándo te vamos a ver otra vez en España otra vez en una RootedCON o NoCONname?

Me encantaría ir pronto, me gusto mucho España la vez que fui. Lamentablemente Europa queda muy lejos de aquí y no es fácil organizar los viajes, viajar con la familia, etc... Espero el año que viene poder ira alguna de esas conferencias si es que me invitan :).

17.- ¿En qué estas trabajando mismo?

En lo ultimo que he trabajado es en lo que presente en Ekoparty y H2HCque es cómo sacar pequeños datos de la mayoria de los sitios web los cuales luego se pueden juntar y obtener valiosa información. Ahora estoy terminando de investigar un par de trucos para explotar localmente vulnerabilidades de kernel en Windows, lo cual estaré presentando en Infiltrate 2012 y tal vez luego en otras conferencias.

18.- ¿Qué tres libros recomendarías leer sí o sí?

No soy de leer libros de hacking y seguridad, es mas creo que no heleído completo ningún libro de esos :). Leo sí, papers y presentacionesde hacking y seguridad.

Los libros que recomendaria son "Funky Business", "Padre Rico, PadrePobre" y "Curso de Iniciacion Logosofica". No son nada que verlos libros entre sí, ni con seguridad ni hacking pero abarcan distintos aspectos muy interesantes.

19.- A ver, explícame porqué 9 de cada 10 frases en Argentina tienen que ver con el sexo. ¿Por qué suenan mal cosas como "vamos a coger unos perritos calientes", "me la pone para regalo" o "cuando acabes avísame"?

Jajaja, es que Uds. los españoles justo vienen a usar normalmente palabras que en América Latina en general se usan para cosas referidas al sexo. Como recomendación cuando vengan para América Latina no usen la palabra coger digan agarrar :)

20.- Y la última.. Hasta Kevin Mitnik usa la FOCA… ¿La usas tu? (Nota: en función de la respuesta te envío una FOCA PRO 3 o no)...

:) Sí, la he usado y me ha sido muy útil. Recuerdo que en un pentest, usando los nombres de usuarios extraídos con la FOCA, se armó una lista y se pudo acceder por ataque de diccionario a un par de cuentas de un sitio.

4 comentarios:

Cristina - 99 dijo...

compatriota ;)
(se me escapa el orgullo)
99

mario snash dijo...

Cesar es un groso, cuando lo vi en persona nunca pense que detras de una persona tan sencilla y tranquila como se lo ve se escondia semejante navaja siuza

F4l53-19 dijo...

Ahí Chema, que se vea que somos internacionales y que para nosotr@s no hay banderas ji ji ji.

Esa cara de mailgno ¡es impagable! y vaya grupito, jajaja,¡The Fantastic Four!

Uno de vosotros lleva años charlando conmigo pero claro, como tantos... no sabéis quien sooooy.

The truth is out

infoseg dijo...

Impecable la entrevista.
Que tipo de oro el señor César Cerrudo con su humildad y a la vez esa grandeza oculta.

"
Cabe mencionar, debido que la nota es vieja, y destacar en todo su labor el aporte insustituible al mencionado y ya fallecido Barnaby Jack.
QEPD "

Entradas populares