viernes, febrero 13, 2009

Entrevista a Dreyer de los Sexy Pandas

Un día apareció por el Blog un tal Bambú. Sus apariciones eran en los retos hacking quedando de los primeros y sus comentarios eran siempre para matizar imprecisiones o errores técnicas en mis posts que me obligaban a rectificar los posts. Así que… tuve que tirar de agenda de contactos y llamar a varios por teléfonos para saber… ¿quién este bambú? Al final, fueron “las páginas amarillas de los hackers en España” (que ya le haré una entrevista) él que me contesto. “Ezte e el dreyercillo, pero no zé porque zé ha cambiao el Nick”.

Tenía que conocerle en persona, así que nada, intercambio de mails y retos hacking para llegar a que ganara uno de los “mejores premios” que he repartido en los retos hacking, “Un abrazo del maligno” [3er premio Reto Hacking VIII] y, por supuesto, yo pago, tarde, pero pago. Quiso el destino juntarnos en Las Vegas en la Defcon, pero desde luego, lo único que no quería yo es molestarles mientras jugaban el CTF.


Dreyer recibiendo su premio en la Defcon

Estuvimos, aunque ellos no lo sepan, con una comitiva de información montada por los españoles y argentinos que nos juntamos allí. Siempre alguno iba a ver el panel (yo fui como unas 10 veces) pero sin molestarles y nos intercambiábamos la tabla: “Van terceros, pero los americanos están subiendo mucho”.

Al final, encontramos el momento para entregarle su abrazo y charlar un poco y Dreyer tuvo el detalle de atenderme unos minutos mientras estaban en la fase final de CTF.

Disfrutad la entrevista!

1.- Venga... ¿de verdad os sentís sexis?

¡Desde luego! ¿Qué hay más sexy que unos tíos con camisetas con pandas sacando exploits a las tantas de la mañana con ojos de no haber dormido durante días? Por cierto que si alguna haxor sexy nos está leyendo que se ponga en contacto con nosotros. Prometemos bambú.

2.- A ver... ¿en qué país dices que estás currando y cómo llegaste allí?

En Suiza, más concretamente en Ginebra, trabajando en el CERN. En el 2003 me vine para acá como estudiante técnico para hacer el proyecto de fin de carrera, me gusto el sitio y me he acabado quedando unos cuantos años :)

Por cierto para cualquiera que esté interesado en venir (tanto como estudiante, phd, o staff) echadle un ojo a http://ert.cern.ch La experiencia vale la pena.

3.- ¿Es necesario saber que es un hadrón de esos para estar en el CERN?

Jaja, no, realmente no lo es. Este sitio es enorme, entre trabajadores y colaboradores diría que hay unas 10000 personas. Y como tal hay necesidades de muchos tipos, no todo es física teórica. Hay mucha ingeniería y mucha investigación en múltiples campos. Por ponerte un ejemplo y hablando de informática pues almacenamiento de datos (la ingente cantidad de datos que el LHC va a producir tiene que acabar en algún sitio), grid y cloud computing procesamiento de esos datos), etc...

De todas formas con tal de que seas un mínimo curioso, y la gente que viene normalmente lo es, siempre te acabas enterando de un porrón de cosas a mayor o menor nivel. Al fin al cabo, todo lo que hacemos aquí va con ese objetivo. Así que supongo que como al resto de gente, a mi me gusta saber para que estoy trabajando.

4.- Cuando habéis estado en Las Vegas concentrados en el CTF de la Defcon... ¿no os ha dado ninguna envidia que el resto de nosotros estuviéramos restreg... digo... bailando en el Club Playboy mientras vosotros hacíais el brainstorming por la noche?

Solemos quedarnos al menos uno o dos días más que lo que dura la Defcon, así que vemos tu noche en el PlayBoy y subo con el XXXXX, los YYYYY, el ZZZZZ y su protocolo h2h.

Perdón por la censura y por ser tan críptico: Lo que pasa en Las Vegas se queda en Las Vegas ;)

5.- ¿cómo empezaste en esto de la seguridad informática?

En el 97 me apunte a un curso sobre redes e internet y todo empezó desde ahí, un poco de curiosidad, un poco de paginas warez (todo empieza por ahí siempre xD), estas páginas también tenían referencias a hacking y otras muchas cosas, lo guardaba y leía TODO, incluso lo que no entendía, luego poco a poco llegaría el día en el que podía volver a leer algunos de aquellos documentos con el conocimiento necesario para entenderlos.

Justo al año siguiente empecé la universidad, y conocí a un gran amigo (jaxp), que ya llevaba metido tiempo, la verdad es que aprendí mucho de él, y compartimos mil historias.


6.- ¿un hacker nace o se hace?

Difícil pregunta, desde mi punto de vista un hacker se hace, es echarle horas y pasión. Al mismo tiempo y como requisito hace falta que la persona sea curiosa, y con eso se nace, que le interese saber cómo funcionan las cosas y como darle esa vuelta de rosca extra característica.

7.- ¿cómo es posible que todos los pandas sexis que haya conocido hayan sido majos? ¿Echáis a los macarras o es selección natural de la especie Panda Sexy?

1.- Nos invitaste a birras!!
2.- No has conocido a nuestro Panda-espanta-curiosos, ver punto uno.


8.- ¿Qué tal se come por allí?

Supongo que te refieres a Suiza. Bueno... si te gusta el queso no hay problema... Si no es horrible. Los chetos seguro que los inventaron aquí.

9.- ¿Linux o Windows?

Y aquí viene la pregunta mamporrera... Siempre he sido más pro Linux, pero es simplemente una opción personal. No todo en esta vida tiene que ser blanco o negro. Considero Linux más apropiado para algunas actividades y Windows para otras. Utilizo lo que me resulta más cómodo para cada cosa.

En definitiva, uso tanto Linux como Windows.

10.- ¿Qué le recomendarías a alguien que estuviera empezando con esto de la seguridad informática?

Paciencia. No se puede aprender todo en una semana, ni en un mes, ni en años. La seguridad informática requiere estar al día y aprender nuevas cosas constantemente. Lee todo lo que pasa por tus manos, lo que aun no entiendas, almacénalo para más tarde. En resumen, requiere mucho sacrificio, así que mejor estar seguro de que es algo que te gusta :)

11.- ¿De verdad por las noches en la Defcon preparabais el día siguiente? ¿No hay que ser muy adicto para no caer en la tentación de ....? ¡Joder, qué eran Las Vegas!

Algún panda que otro se escapo también alguna noche a lo largo de la competición. Somos humanos, necesitamos descansar de vez en cuando :)

Eso sí, nosotros vamos a Las Vegas con la intención de darlo todo para ganar el CTF (aunque finalmente no pudo ser), pero nos guardamos tiempo para las celebraciones (o el "olvido de penas").

12.- ¿Has sido jugón? ¿Cuál ha sido el game que más horas te ha robado?

La verdad es que no he sido demasiado jugón, me gustaba más probar varios juegos que dedicarle mi atención a solo uno. Pero si tuviera que decidir, diría que cualquiera de las aventuras gráficas de Lucas Arts.

13.- ¿Qué rutina tiene Dreyer por las mañanas para estar al día en la seguridad informática?

Pues las típicas listas de seguridad (bugtraq, el corro del patio aka full-disclosure, dailydave), y una url que vale más que mil palabras, mis subscripciones en google reader a blogs de seguridad:

http://www.google.com/reader/public/subscriptions/user/16669122678967435289/label/Seguridad

14.- ¿Trasnochador o gallina como yo?

No llevo bien lo de levantarme pronto, así que más bien trasnochador, con las luces apagadas y la luz del monitor... XD

15.- ¿Qué programas no faltan jamás en tus equipos?

Podría poner cientos pero también podríamos resumirlo en: perl, python, netcat y nmap.

Ahh y últimamente radare de otro panda se está convirtiendo en una herramienta multiuso muy interesante.


16.- En tantos años... ¿a quién has conocido que te haya impresionado en este mundo de la seguridad informática?

La mayoría de gente si les das la oportunidad te impresionara tarde o temprano, y más en el mundillo de la seguridad. Todo el que está metido en este ajo es porque es curioso por naturaleza, lo que lleva a descubrimientos sorprendentes. Así que podría poner mil nombres.

17.- ¿Qué libro hay que leerse sí o sí?

Como libros de narrativa siempre me ha encantado Asimov. La saga de la fundación es una de mis preferidas. También recuerdo gratamente "el juego de Ender".

Si nos vamos a libros técnicos, ahora mismo estoy pegándole un ojo a "The Art of Software Security Assessment". Muy muy recomendable. Sobre todo para aquellos que se estén iniciando en este mundillo.


18.- ¿Qué es lo que más echas de menos de España?

El jamón, los cubatas baratos (sale muy caro emborracharse por aquí...) y desde luego la gente.

19.- ¿Si no hubieras sido informático hubieras sido...?

No me imagino eligiendo otro actividad que la informática, con 7 añitos me compraron mi primer AMSTRAD CPC 464. Y desde ese momento sabia que la informática era lo que quería hacer (como resistirse a ese precioso monitor de fósforo verde...)

20.- ¿Ganaremos el primer entorchado para los Pandas en la Defcon 17?

Uff, se presenta complicado, los antiguos organizadores (Kenshoto) se han retirado y no sabemos cómo va ser este año. Nosotros desde luego que le pondremos ganas, pero siempre se puede torcer algo en cualquier momento. Como decía otro compañero panda:

"¿Hablamos de posibilidades o de probabilidades? Lo digo básicamente porque yo no lo se... pero mi vecina que es bruja ha tirado las cartas, los caracoles y ha hecho eso que se hace con las manchas de aceite y me ha dicho que nada, que palmaremos en la primera vuelta."


Saludos Malignos!

14 comentarios:

  1. Sí señor, "el juego de Ender" es una lectura muy recomendable.

    Otro fiera fuera de España.

    ResponderEliminar
  2. Un crack el Sr. Dreyer! :) Chema, con que "páginas amarillas", ¿eh? xD

    -r

    ResponderEliminar
  3. ai dios ai dios

    pero.. pero.... WTF??

    http://www.microsoft.com/presspass/press/2009/feb09/02-12CVPRetailStoresPR.mspx

    Lo que les faltaba ya....

    Saludos!

    wi®

    ResponderEliminar
  4. Se agradece la lista de suscripciones. Vamos a echarle un ojo que seguro que hay algún sitio nuevo e interesante ;-)

    ResponderEliminar
  5. muy bueno este grupo, lástima lo de la prueba de Defcon a ver si tienen mas suerte

    ResponderEliminar
  6. Fuente inagotable de conocimientos, todo un crack y excelente persona donde las haya, sí señor!

    @maligno: A ver para cuándo esa interesante entrevista a las "páginas amarillas", que seguro que tampoco tiene desperdicio, jajaja ;-)

    Saludos!

    ResponderEliminar
  7. Ese peazo Dreyer!! Aunque no me acostumbro a ver pandas sin censura ;D

    Por cierto Chema, ¿el bulto del pantalón es el móvil o que te alegrabas de ver a Dreyer?

    ResponderEliminar
  8. Vamos Dreyer, que la siguiente es vuestra!

    ResponderEliminar
  9. Interesante entrevista!
    Los pandas como siempre, galacticos! :)

    ResponderEliminar
  10. Hola, me gustaría contactar con el administrador del blog, ¿Alguien sería tan amable de darme su correo electrónico? Soy ingeniero informático y me ha fascinado el contenido, un saludo y gracias, moztruoz que zoiz unoz moztruoz...

    ResponderEliminar
  11. @Windgate: Creo que el mail de Chema es de dominio público, debe recibir una cantidad de pornaca y v14agr4 al día impresionante :D

    ResponderEliminar
  12. Jodeeeeer, regalazo de Dreyer!!! Gracias por la lista de suscripciones.
    Chema: a ver si te marcas el mismo detalle! };-)
    FFF!

    ResponderEliminar
  13. ¿Quiénes es/son las "paginas amarillas"?

    ResponderEliminar
  14. De vez en cuando te leo y te busco.nos cruzamos en la Universidad y tus palabras y conocimiento me impresionó. Sin palabras.

    ResponderEliminar