lunes, enero 05, 2009

Entrevista a Sergio "Pajarraco" de los Santos

Sergio es un comunicador nato y por eso es quizá por lo que más le admiro. Si hay algo que me gusta es la divulgación (por eso me encanta enseñar o dar charlas) y él lo hace como los ángeles tanto de forma hablada, como en una disciplina en la que pocos le igualan en el mundo de la tecnología, en la divulgación escrita. Antes de conocernos personalmente ya habíamos tenido varios intercambios por mail y el día que nos conocimos nació "el malor" entre nosotros. Conocer a de los Santos poco a poco es sorpresa tras sorpresa. Su pasado en el mundo de la administración de redes Windows para un periódico, su fase de freelance de contenidos de seguridad web a destajo, sus libros de hacking publicados, su amor por el ahorro con sus análisis de costes de electricidad de los electrodomésticos, los costes de telefonía, y, sobre todo y en especial, el amor con que cuida una-al-día.

Aun recuerdo la primera charla que dimos, a la dubis, Julio Canto - Sergio de los Santos y José Parada / Yo. En ella, no me olvidaré jamas, el pobre Julio casi no pudo meter baza... estaba naciendo el amor entre "Pajarraco" y el púbico. De ahí, nos fuimos de gira y acabamos juntos y de la mano en el Security Day del 2007. Esto nos lleva a una relación de guerra constante que mantenemos por teléfono/mail/persona con infinitas putaditas quizá sólo para hablar por teléfono y hablar de los Soprano...



Sergio "Pajarraco" de los Santos

En fin, "Pajarraco" es autentico...

Saludos Malignos!

1.-Hay gente que vive en la sombra en esto de la seguridad informática pero tú ya llevas una larga vida como escritor, cuéntanos, ¿cuántos libros has escrito y en que revistas te hemos podido/podemos leer?

Escribir no es ser “escritor”, ni 8 años es una “larga vida”. En 2001 un amigo de la Universidad encontró un “grave fallo de seguridad” en la página del ayuntamiento. Los medios le dieron cierto bombo y su jefe en aquel momento (un lince para los negocios) le ofreció montar como socios una empresa de seguridad. Él me llamó para ser su primer trabajador (y único durante mucho tiempo), aun sin tener yo ni idea de seguridad (ni de muchas otras áreas de la informática, no sé por qué lo hizo). Me propuso comenzar con la documentación y los artículos y noticias. Ahí empezó mi personal recorrido por la seguridad que a día de hoy mantengo.

Dos años después me dediqué en exclusiva a escribir para portales y revistas sobre seguridad. Es divertido un tiempo porque puedes hacerlo desde casa, con pijama y despeinado. No lo es tanto cuando te llegan tus honorarios. Mis primeras noticias eran un desastre y muchos comentarios de lectores así me lo hicieron saber, de forma bastante cruda. Entendí entonces que intentar transmitir a través de las palabras es una gran responsabilidad, que se debe ser preciso y muy hábil para contar cualquier cosa y que resulte interesante. Es ahí donde entra la ortografía y mi preocupación por al menos, tener cubierto “el continente” además del “contenido”. Al menos la ortografía son solo reglas fijas que contemplar.

Escribí muchos artículos y en especial la sección “Hack paso a paso” para la revista @rroba, que luego se convirtió en dos libros. Me involucré emocionalmente mucho con esa sección, en parte por los comentarios de apoyo (y desprecio) que recibía. Para los que los envían: sí, sirven de mucho. También he escrito para re@ seguridad, Forzis (otra empresa de seguridad), para cibersur, para elmundo.es, y algunos portales en la red. Pero no tiene mérito, los editores tenían la manga muy ancha y yo necesitaba el dinero... pero de eso también se aprende.

Por cierto, el grave fallo de seguridad del ayuntamiento era que su base de datos, Microsoft SQL 7, tenía usuario sa y contraseña en blanco, de cara a internet.


2.-Yo sé que eres un mago de las finanzas y un puto desastre organizándote los viajes. Cuéntanos un truco para ahorrar pasta en la oficina, un truco para ahorrar pasta en casa y un truco para ahorrar pasta en hacienda.

Soy un desastre en todo lo que implique organización física de los elementos a mi alrededor. Soy incapaz de transmitir el orden en mi cabeza a lo que me rodea. Lo de las finanzas viene por mi madre. No tuvo oportunidad de estudiar, y se marea cuando lee porque no está acostumbrada. Para colmo ya tiene la vista cansada. Aun así, siempre la recuerdo con el “Cinco días” o la revista “Mi cartera de inversión” bajo el brazo, hablándote de acciones y dividendos mientras se pone las gafas de lejos para estudiar la sección de mercados del Teletexto (a internet no se acostumbra). Invierte en bolsa y se aprovecha de todo tipo de productos financieros desde hace años, y la admiro mucho por ello. Ella sí es una maga de las finanzas, teniendo en cuenta las limitaciones que le han impuesto las circunstancias (además de la falta de estudios, durante mucho tiempo no disponían de demasiado dinero).

Ella me ha enseñado que ahorrar es muy práctico. El verdadero ahorrador en realidad debe saber cómo hacer rendir al dinero, no acumularlo y que se devalúe. También me enseñó a no privarme de nada que quisiese o necesitase (invierto mucho en conciertos y viajes). El truco está quizás en distinguir qué se necesita o se quiere realmente. Una vez que lo tienes claro, se pueden conseguir muchas objetivos con presupuestos modestos y durante mucho tiempo me he visto obligado a hacerlo. Para “ahorrar pasta” de verdad, en realidad es necesario invertir.

Yo reciclo mucho papel en la oficina y el eterno verano malagueño hace que no use apenas la calefacción, pero tampoco abuso del aire acondicionado. En casa, me entretiene mucho estar pendiente de los depósitos que ofrezcan rentabilidades a corto plazo. Uso bombillas de bajo consumo, pongo ladrillos en las cisternas, me muevo en trasporte público (tengo el carné de conducir sin estrenar desde hace 8 años)...

La economía es un mundo apasionante (muy relacionado con la ecología) pero es muy complejo. Estoy intentando aprender todo lo que puedo... La parte de Hacienda se me escapa totalmente, sólo sé que es necesario invertir para desgravar.


3.- Llevas años dando por saco con Una-al-día y te ha tocado ver mil y un bug distintos. ¿Crees que la gente es igual de crítica con todos los bugs o sólo esperan el sensacionalismo?

Solo llevo tres años y tengo la suerte de haber heredado “la inercia” de una publicación con mucho prestigio. “La gente”, efectivamente, “disculpa” más las vulnerabilidades del software libre. Las vulnerabilidades de software privado que no sea Microsoft, directamente no interesan. Y los fallos de Microsoft, sea cual sean, son tomados como cataclismos universales. La nefasta fama de Microsoft es merecida hasta la aparición del Service Pack 2. A partir de entonces, de ir muy atrás se ha puesto simplemente a nivel “normal”, que no es tampoco una maravilla, pero los años de sus sistemas operativos de juguete pesan mucho sobre las conciencias todavía.

En los 90, cada uno acaparó el nicho que consideró pertinente, y así les ha ido: Windows apostó por la facilidad y lo consiguió evitando cualquier tipo de seguridad (ahora lo está pagando con creces). Linux apostó por la calidad, y para ello se vio obligada a dejar a muchos usuarios menos experimentados fuera. Ahora lo están solucionando muy bien. Mac apostó por el hardware cerrado y un perfil de usuario exclusivo... ahora lo están corrigiendo. Todos han pagado sus omisiones y en cuanto se han posicionado, están mejorando esas carencias (con el doble de esfuerzo), pero a “la gente” le cuesta mucho abandonar clichés muy arraigados.

También influye en lo que consideres que es “la gente”. En general, el usuario medio no va mucho más allá de Windows o Linux y obedecen a las páginas de muchos aficionados que opinan con todo el derecho del mundo sobre sus preferencias, pero quizás sin haber contrastado la información. Muchas veces (aunque no tiene por qué) no están al tanto de otros fallos ni leen documentos técnicos. No saben que Debian es un desastre a la hora de crear parches... introducen regresiones constantemente y sacan actualizaciones críticas un sábado a las 2 de la mañana. No saben que Sun detecta vulnerabilidades y publica parches por ejemplo diez meses más tarde... no están al tanto de que Oracle es nefasta en cuestión de seguridad en todos los sentidos, no se escandalizan si Cisco decide que publicará parches de seguridad de su IOS cada seis meses...


Mi filosofía, y a poco que lleves un tiempo en esto te das cuenta, es que todo el software medianamente complejo, privado o no, gratis o no, es un desastre en cuestión de seguridad. Y en el fondo es comprensible, porque es muy complicado hacerlo bien. Las defensas aguerridas o los odios enconados hacia un sistema operativo u otro, son preferencias y filosofías personales muy respetables, pero con poca objetividad técnica la mayor parte de las veces e importantes prejuicios siempre. No me preocupan esas cuestiones, la verdad, es “solo software”. Cuando compro una camiseta, no me fijo en la marca, ni si ha sido cosida en China o Málaga. Busco la mejor calidad precio y que me sirva y me guste. Igual con el software. Pero entiendo y respeto a quien sigue unos “ideales” y los refleja en la informática.

4.- ¿Cómo es posible que un malaguita de acento cerrao no tenga acento malaguita cuando habla en inglés? ¿Eres el hijo secreto de Antonio Banderas?

Bueno, en vez de tener que emigrar a Londres, conviví durante dos años con Ben y con Ali, un inglés y un irlandés respectivamente. Los dos tenían un envidiable sentido del humor del que aprendí mucho, un hígado de hierro, no tenían un duro y sobre todo, eran incapaces de aprender español. Así que me aproveché de eso para hablar inglés cada día, todo el día, durante dos años. Los otros tres españoles que vivíamos allí aprendieron por igual. No tiene mérito.

5.- ¿Poli, Silvio o Furio? ¿Por qué?

Todos. Porque forman parte de la mejor serie creada hasta el momento.

6.- No mucha gente sabe que eres un amante de la música... ¿Cuál es tu disco favorito?

Depende del año. De joven me encantaba Barricada y su Barrio Conflictivo. Hoy me tira más el "songs of love and hate" de Leonard Cohen... que para muchos es “música para el suicido”. Mi amigo Manué dice que no hay nada más triste que celebrar tu cuarenta cumpleaños solo con tus padres, en una habitación de paredes empapeladas, escuchando a Leonard Cohen. Pero no es cierto... aunque sí, definitivamente me estoy haciendo viejo. Siempre tengo un disco de Radiohead y PJ Harvey a mano.

7.- Usas Windows XP, ay!fon, Opera y Asterisk... reconócelo... ¿eres un poco rarito, no?

No... es simplemente práctico. XP con un Linux virtual dentro cumple todas mis necesidades. XP está desaprovechado por los que usan la cuenta de administrador y no mantienen unas mínimas condiciones de higiene. Para mí lo extraño es que el sistema no dure hasta que cambie de ordenador, muy pocas veces formateo. Odio invertir tiempo en el ordenador... es mi herramienta de trabajo y quiero que todo funcione, no perder el tiempo. Jamás tendría un iphone a título personal... esto es cosa de Román. Asterisk es uno de los mejores programas que se han hecho y es cuestión de curiosidad personal y excelente calidad-precio. Para mí, Opera es simplemente el mejor navegador, siempre ha ido por delante (aunque algunos plugins de Firefox son muy golosos). Quien lo usa, se lo queda.

8.- Antes de estar en Hispasec pasaste por la administración de una red en un periódico... ¿se puede vivir sin Directorio Activo o se vive francamente mal?

No he usado las implementaciones LDAP, Kerberos, etc de Linux y quizás mi visión no sea global. Probablemente no estén mal, pero superar al AD es complicado (quien lo ha usado lo sabe). Va muy bien. Con lo que viviría francamente mal como administrador es con actualizaciones de seguridad a destiempo. Lo de agruparlas una vez cada ciertas semanas, es una bendición para los administradores siempre que, por supuesto, estén al tanto de las vulnerabilidades y apliquen contramedidas si se conoce un fallo antes de que exista parche. Cisco, Microsoft y Oracle, entre otras ya lo hacen así. Lo que llevaba peor eran los reinicios obligados y mensuales de los controladores de dominio...

9.- Una-al-día llega a un gran número de lectores... teniendo en cuenta que cada uno es de su padre y de su madre... ¿qué es la cosa más rara que os han contestado con una newsletter?

De todo. Verdaderas frases sin sentido, muchas consultas, y algunas reflexiones. Estas son las que menos porque como no se publican, los lectores no se animan tanto a opinar... Pero las leemos todas.

Muchas veces, cuando hablamos de vulnerabilidades en Internet Explorer nos preguntan por qué no recomendamos Firefox y así “problema resuelto”. La respuesta estándar (y corta) es que no sería problema resuelto sino “obviado”. Por supuesto que se recomiendan alternativas muchas veces, pero siempre es necesario explicar el problema y las contramedidas porque no todo el mundo que usa Windows lo tiene en su casa aislado. Hay empresas que deben utilizar un software determinado en millones de puestos (sea de Microsoft o cualquier otro) y cuando hay problemas quieren soluciones, no migraciones. Si con el tiempo no les compensan tantos fallos, ya se plantearán lo que crean oportuno. Lo que sería realmente raro, cuando mencionamos vulnerabilidades de Firefox, es que alguien se quejase porque no recomendamos Internet Explorer :).


10.-Aparte de Bernardo...¿qué personas que hayas conocido en persona te han impresionado?

No conozco a tanta gente en persona relacionada con la seguridad. En general, admiro a quien es capaz de caerse y volverse a levantar. No sabes de qué estás hecho hasta que se te desbarata el castillo de naipes en tu cara y entiendes que hay que volver a empezar desde abajo y colocar de nuevo cada carta.

Admiro a muchos porque en realidad se puede aprender de cualquiera. Soy bastante promiscuo a la hora de valorar (y cuestionar o adoptar, si es necesario) aspectos de las personas, sean como sean. Así que me fijo en toda persona de la que se pueda aprender, no es necesario conocerlas en vivo. Aunque si un día le diera la mano a Paul Auster no sé qué me pasaría...


11.-¿Qué le recomendarías a alguien que quiera empezar en el mundo de la seguridad?

Que asuma que siempre va a estar empezando. A mí, al menos, me da la impresión de que es así todo el tiempo.

12.- Hace ya casi dos años estuvimos de gira juntos por España en tu gira de circuncisión...¿qué garito te gustó más "el Molly Malone", el "Nicolette", "El Mediterráneo" o...?

Ah, pero... ¿Estuvimos en garitos?

13.- Sé que te has encargado de la selección de carne fresca...¿Qué es más dificil, encontrar alguién que sepa poner los acentos en castellano y "a ver si nos entereamos" en lugar de "haber si nos enteramos" o qué hable inglés?

En concreto lo de la ortografía no es que sea una exigencia, pero sí que me parece un aspecto interesante y práctico al fin y al cabo. Yo opino que escribir bien es un síntoma de que se “piensa ordenadamente”. Pensar no es más que ordenar palabras, y si no tienes las herramientas adecuadas o no las usas convenientemente, difícilmente podrás ordenar ideas de forma óptima. Igual al revés. Si te preocupas de escribirlas bien, estoy seguro e que puedes sacar mucho más rendimiento a tus ideas.

Lo del inglés es más común. Mejor o peor pero todos se hacen entender.


14.- Si no fueras informático ..¿qué te hubiera gustado ser?

Algo de letras, seguro. Me encantaría escribir algo que nada tuviese que ver con la informática... ¿novelas?

15.- ¿Cuál ha sido el "una-al-día" que más te ha gustado de todos?

En octubre de 2000, Bernardo solo desmontó de forma totalmente inequívoca e irrevocable, aplicando profundos conocimientos sobre malware, una teoría avalada por infinidad de expertos en los medios más reputados de Internet. Decían que se había usado el troyano Qaz para el “caso Microsoft” (se habían filtrado datos de su red interna). Él demostró que era imposible. Me divirtió mucho.

Las que más me gustan, en general, son las que no intentan imponer opiniones ni sentar cátedra. Solo informar o poner el foco sobre lo que quizás, a otros medios, se les ha pasado por alto. Las que son originales o simplemente hacen pensar un rato. Es en definitiva, el espíritu que las impulsa y lo que intento conseguir cuando escribo las que me tocan (no lo hago yo solo).


16.- Por favor.... ¿Nos dejas una foto tuya sin perilla? No puedo imaginarte....

No te la tengo que dejar. Existe detrás de una búsqueda Google.

17.- ¿Qué llevas mejor? ¿Un mes sin sexo o un mes sin RSS?

Últimamente he pasado un mes de vacaciones con Gloria (no sé si merecidas pero sí muy necesitadas) y la verdad, no he echado el RSS demasiado de menos.

18.- Ropero, Román, Cea, Julio, Santos, Bernardo, Mandingo, tú... ¿Hay que ser un "personaje" para entrar a trabajar en Hispasec?

Hay que estar un poco loco porque esta empresa no es corriente. Sí, reconocemos que estamos un poco “zumbaos”. Hispasec es diferente a todas las empresas, para bien y para mal. De hecho, ya he oído a Bernardo más de una vez afirmar que el día que Hispasec se comporte como cualquier otra compañía, o deje de ser especial, abandona el proyecto... y sé que lo haría.

19.- Confiesa... ¿Te gusta la subscripción Technet? ¿Es un buen recurso para los profesionales?

Sí, si no me hubieses dado un primer año de suscripción gratis para engancharme y luego me pidieras dinero para renovar.

20.- Y para acabar... príngate: ¿Qué debería mejorar Linux para que 2009 fuera "el año de Linux en el desktop"?

No seré yo quien prediga nada. Está claro que las predicciones en Internet, incluso pronosticadas por expertos, suelen fallar (la entrada del Ipv6, por poner un ejemplo), así que imagínate por mí. En realidad, no tengo ni la menor idea. Me importa más, en concreto, saber qué habrá el año que viene en mi desktop.

UPDATE: Puedes seguir a Sergio de los Santos en su Twitter (@ssantosv) y puedes comprar su libro "Máxima Seguridad en Windows: Secretos Técnicos"

9 comentarios:

  1. Muy buena entrevista.
    Saludos!

    ResponderEliminar
  2. Asterisk, por favor, asterisk, que me duelen lo ojos de leer Asterix.

    Un saludo,
    Pedro

    ResponderEliminar
  3. Felicidades a los dos.

    Me ha gustado mucho la respuesta a la pregunta 2.

    Un fenómeno, un placer de lectura.

    ResponderEliminar
  4. Muy interesante, sí.
    Ánimo con las entrevistas. Es un tipo de post que gusta a tod@s.

    ResponderEliminar
  5. La verdad es que es un máquina este de los Santos. Y tienes razón en que da gusto escucharlo.

    Me encanta esta 'sección' de entrevistas.

    Un saludo!

    ResponderEliminar
  6. que buen regalo de reyes!

    un beso Sergio!

    ResponderEliminar
  7. A ver si explicas porque le bautizastes "pajarraco"

    Genial entrevista.

    ResponderEliminar
  8. Sergio, enhorabuena por tu trabajo en Hispasec y por esta entrevista de Maligno.

    Al leerla me has recordado "aquellos maravillosos años" en la UMA y los comienzos de G2 Security. Sin duda, una buena parte de lo que somos y lo que hacemos hoy día lo debemos a aquella aventura.

    Me alegra tener parte de "culpa" de que hayas escogido esta trayectoria (¡aunque no dejes de lado la idea de la novela!) y después de todo queda claro que no me equivoqué al contar contigo para crear G2 Security ;)

    Un abrazo de "un amigo de la Universidad"

    ResponderEliminar