sábado, enero 26, 2019

Un informático en el lado del mal: Un proyecto personal de 13 años [Parte 1: 2006 a 2011]

Me gusta recordar los aniversarios de los proyectos. El aniversario de cuándo comenzamos Informática 64, el de cuándo comenzamos con ElevenPaths, el de mi primera charla en BlackHat, el de la publicación de un libro, el de comienzo de 0xWord como empresa, o el de LUCA, o la presentación inicial de AURA en el MWC del 2017, el del lanzamiento de Movistar Home en Octubre del año pasado, o el del primer Security Innovation Day con la presentación de Latch.

Figura 1: Un informático en el lado del mal:
Un proyecto personal de 13 años
[Parte 1: 2006 a 2011]

Recordar esas fechas, y tenerlas en mi cabeza, es una prueba de la pasión y el cariño que le pongo a todos los proyectos en los que me embarco. Me acuerdo del primero día de presentación de WordPress in Paranoid Mode o de Sappo o de DirtyTooth porque iban asociados a un Deadline de un evento. Y lo mismo con casi todas las cosas que hago. Busco asociar eventos importantes para mí como Mobile World Congress, RootedCON, BlackHat, DefCON, OpenExpo, Security Innovation Day, la Ekoparty antaño, LUCA Innovation Day o algún evento puntual para presentar un proyecto. Es una forma chula no solo de cumplir mi libreto de Deadlines, Delivery & Difusión sino de recordar siempre la fecha en la que nació algo.


Figura 2: Movistar Home en MWC 2018

Este blog no nació de esa forma. No recuerdo el día por que hubiera nada especial. Simplemente había estado escribiendo un e-mail a una lista de amigos y un día decidí dar el salto y convertirlo en un blog. Un día como hoy, hace exactamente 13 años. No sabía dónde me iba a llevar, y por supuesto era una persona totalmente diferente a la que soy ahora. Pero sí sabía que tener un blog es un proyecto personal a largo plazo. No quería abrir un blog que se cerrase al cabo de unos meses por simple inactividad de los dueños o porque se movieron a otros barrios cuando llegaron cosas más cool como las redes sociales.

Hay un sencillo test psicológico que plantea una bonita disyuntiva entre tener un éxito pequeño a corto, o un gran éxito a largo. El test suele ser del tipo "100.000 € ahora o 1.000.000 dentro de 10 años". Supongo que cada uno elegiría un camino, y el test supone que dará muestra de tu personalidad. Supuestamente, si eliges los 100.000 ahora eres una persona de aprovechar el momento y no tener paciencia para alcanzar el gran éxito. Mientras que si eliges el 1.000.000 € dentro de diez años es que eres capaz de ser paciente para alcanzar el éxito.

Y sí, puede ser que el test funcione mida la paciencia, pero no nada más. Yo me considero un hombre paciente, pero elegiría sin dudarlo los 100.000 € ahora. No porque desprecie el 1.000.000 € o no sea paciente, sino porque ese dinero lo emplearía en hacer algo ahora mismo algún nuevo proyecto para divertirme trabajando. Y quién sabe, tal vez en 10 años gane más o menos, pero eso es lo divertido de los proyectos. Hacerlos. No se trata de llegar a ningún sitio, sino de divertirte haciéndolo. Y este es el caso de mi proyecto blog.

Abrí "Un informático en el lado del mal" hace ya trece años. Y durante todo este tiempo ha sido mi deadline personal diario. De lunes a domingo. Pero también ha sido muchas cosas. Ha sido mi medio de comunicación. Ha sido mi calma. Ha sido mi redención. Ha sido mi forma de llegar a ti. Ha sido mi memoria personal. Mi cuaderno de notas que sabe más que yo. Ha sido mi amigo, mi refugio y mi forma de salir del escondite. Ha sido todo aquello que es un amigo que te quiere y te dice la verdad. O que te anima y te dice que tú puedes. Que no estás sólo. Ha sido un rincón en Internet que se puso en el centro de la red para mí. Una pestaña siempre abierta en el navegador. Un tapete en el que jugar con los amigos. Un sito al que volver. Del que siempre puedes huir y al que siempre puedes regresar. Tan duro como correr, y tan difícil de abandonar como un amor imposible. 

Ha sido un bonito proyecto personal con mucho pasado, y espero que mucho futuro. 

En él he publicado reflexiones en forma de artículos. Tutoriales míos y de compañeros en forma de enseñanza. Cuentos y relatos que forman parte de mi ocio. Fotografías y convocatorias de eventos, conferencias y charlas a forma de recuerdo. Comentarios sobre noticias de actualidad. Críticas feroces a cosas que estaban pasado. Detalles insignificantes que recordar o investigar. Hay páginas de libros completas escritas día a día. Como una larga marathon. Como un rally por el desierto en un autobús donde yo llevo el volante pero se han subido muchos compañeros y amigos a lo largo de todos estos años.

Y hoy, como homenaje personal a este proyecto personal de trece años, lo que voy a hacer es dejaros por aquí algunos post que me gustan de todos estos años o me traen recuerdos de una parte de mi vida. No son los mejores. No son los peores. No son de un tema concreto. Son solo un número de veces que hice "Post" en el botón del blog de una manera particular, que ha hecho que vuelva a leerlo muchas veces. Y como son muchos, vamos a ir en tres partes.
[2006] Fue el primer año del blog, y aún no me había auto-impuesto muchas normas. Escribía de vez en cuando y sobre cosas muy diversas pero malvadas. Me quedo con las bromas de los Técnicoless: Estructura ectoplasmática. La definición "oficial" no la publicaría hasta llegado 2007, pero es una buena muestra de lo que era este blog en su inicio. Ganas de ser peleón e irreverente.
[2007] En este año comencé a sacar los Retos Hacking que utilicé como parte de mis investigaciones. De todos estos retos y posts me quedo con el artículo de Blind LDAP Injection Attacks. Este fue el primer paper que me llevó a BlackHat. Este texto es muy embrionario, pero fue la primera referencia de Blind LDAD Attacks pública, y tenía por detrás un reto hacking muy chulo de los que hacía por el blog. Recoge una parte de la esencia de este blog: Hacking, investigación, y hacer cosas con gente en retos o conferencias.
[2008] Durante este año es cuando el blog se comenzó a convertir en algo más serio. Ya escribía todos los días y con mucha dedicación. Pero también hacía muchas cosas. Giras, conferencias, vídeos, etc... Me quedo en primer lugar con el post de Time-Based Blind SQI Injection using Heavy Queries. Esta investigación sería la primera que me llevaría a DefCON y marcaría mucho trabajo con SQL Injection que está dentro del libro de Hacking de Aplicaciones Web: SQL Injection que publicamos en 0xWord.
Durante mucho tiempo el SQL Injection sería mi tema favorito - teniendo en cuenta que venía del mundo Oracle y de las Bases de Datos fue una buena entrada en el hacking por aquí -. Ese año también nacieron los "No Lusers" y Josemaricariño cuando estaba viviendo en Londres. Me encantaba la "e" de Internet Explorer en el pecho que tenía vida propia.
Figura 3: Viñeta 3 del No Lusers 2
Pero también con la historia de Entiéndeme tú a mí [Parte II] [Parte III] de la obra de teatro en la que Eloy Arenas puso al protagonista mi nombre. Le tengo un cariño especial. El vídeo de la obra lo tienes aquí debajo.

Figura 4: Chema Alonso y ROM
[2009] Este año el blog ya estaba a plena marcha. Publiqué un primer manual de usuario de la FOCA porque este fue el año de los metadatos y la FOCA. Me llevó a Defcon y BlackHat. No acabé el manual completo nunca, y hubo que esperar a que escribiera el libro de "Pentesting con FOCA". Es verdad, que el proyecto FOCA lo había empezado en el año 2008 y lo dejé en el post de "Criando una FOCA". 
Figura 5: Hablando de FOCA por primera vez en 2008
Pero también fue el año de Connection String Attacks. Es imposible no elegir este artículo de los Connection String Attacks que darían lugar a las técnicas de Connection String Parameter Pollution. De ella hablaría en la Ekoparty del 2009 y en la DefCON al año siguiente. Le tengo mucho cariño porque sacamos un buen número de 0days y de lecciones aprendidas que saqué de esa línea de investigación. En la Eko conocería a Moxie Marlinspike ese año y viviríamos más aventuras por otros lugares del mundo.

Figura 6: Charla de Connection String Attacks en la Ekoparty 2009
[2010] Este año ya estaba yo dando vueltas por todo el mundo. Entre charlas técnicas, conferencias de hacking y congresos académicos era como una pelota botando por el mundo. Tengo cariño a este Blind XPath Injection Attacks. Estaba en pleno trabajo de mi doctorado, y dándole vueltas y vueltas al tema del Blind XPath Injection. Luego sacaríamos el libro de Hacking Web Technologies y lo continuaría. Este post es un pequeño resumen de los cabezazos que me tuve que pegar en el camino de sacar el doctorado. 
También un cariño especial a la segunda edición del Calendario Tórrido en la que protagonicé la portada y conseguí reunir a hackers luciendo palmito por una buena causa. No puedo olvidarme de esto. 
[2011] Este año fue la primera vez que comencé a meter relatos. Están 1997 que es un relato de lo que era Chema Alonso jugando con Rodol por Internet al Quake II en ese año de 1.997 o "Un día cualquiera" que narra un sueño y una realidad en mi vida como ponente dando charlas por el mundo.
También este año es el de Dust: Tu feed RSS es tuyo. Con Annoymous, los ciberataques, y la ciberguerra entrando en las portadas de todo el mundo me metí a perseguir una idea mía que llevaba P2P + PGP. Le tengo mucho cariño a este proyecto que presenté en RootedCON y en DefCON.
Figura 7: No Lusers 116 (viñeta 1) El resto en el post
Y ya el blog se había convertido en un collage de mil cosas. Ese año fue un año donde hice muchos dibujos de No Lusers mezclando mis aventuras con superhéroes. Os dejo éste con Spiderman y el Castigador de tres viñetas
Podía estar seleccionando muchas más cosas de cada año, pero para muestra es más que suficiente. Ya os pondré la segunda y la tercera parte de este repaso a trece años de historia de "Un informático en el lado del mal" y si hay algún post que te guste mucho de estos años dime cuál es que tal vez se me pase a mí. Aquí tienes la segunda parte del repaso, con los años 2012 a 2015.

Saludos Malignos!

3 comentarios:

anso dijo...

Gracias. Tu afición te lo agradece, el estar ahí dale que te pego. O:)

Unknown dijo...

Gracias Chema, para todos los que el trabajo es como una losa que sólo nos permite pagar la hipoteca y nuestros hobbies, tu blog es como un rayo de esperanza de que todavía se puede disfrutar trabajando.

Gracias Chema por ser el líder de los Caballeros de los Hackers Engorrados contra el lado gris de la empresa, tú eres nuestro Luke Skywalker para los telefónicos.

Gracias Chema, a por otros 13 años más, y May the 4th Be with you...

Unknown dijo...

Y como no hay cumpleaños que se tercie sin regalito, comprueba tu correo corporativo esta noche a ver si han compartido contigo una sorpresa que incluye algunos de los hitos que rememoras en tu post ...

Enjoy it!

LuiChi

Entrada destacada

Seis recomendaciones personales de libros de @0xWord para disfrutar y aprender

Este verano pude disfrutar de la lectura de un libro que me encantó. El libro de Factfulness que me había regalado mi compañera Beatriz Ce...

Entradas populares