miércoles, febrero 12, 2020

Entrevista a Felix Brezo de @ElevenPaths

Durante estas navidades, Felix Brezo y Yaiza Rubio publicaron el "Manual de ciberinvestigación en fuentes abiertas: OSINT para analistas", y aprovechando esta ocasión he querido hacer una entrevista a Felix, con el que tengo la suerte de poder trabajar desde hace años en ElevenPaths, CDO y Telefónica. Felix es una mente inquieta.

Figura 1: Entrevista a Felix Brezo de ElevenPaths

Lo podrás ver dando una conferencia, escribiendo un libro, discutiendo en un bar de ideologías o resolución de problemas en el mundo, apoyando a un proyecto de software libre o haciendo campaña por la liberación del código fuente de cualquier proyecto. Es un luchador con mucha guerra dentro.

Figura 2: Contactar con Felix Brezo con MyPublicInbox

Y si pones a uno del Athletic de Bilbao, brillante intelectualmente, luchador, y enreda en una única persona, te sale alguien tan insólito y único como Felix Brezo. Como ves, también puedes contactar con él a través de su buzón público en MyPublicInbox.

Saludos Malignos!

Entrevista a Felix Brezo

1.- Vale, la primera de todas, hablemos de tu libro que habla de una disciplina de la que bebemos researchers, pentesters, analistas de malware o analistas de ciberseguridad, nuestro querido OSINT (Open Source INTelligence). ¿Qué es lo que comprende este libro que habéis publicado Yaiza y tu, titulado "Manual de Ciberinvestigación en Fuentes Abiertas?
El libro "Manual de Ciberinvestigación en Fuentes Abiertas: OSINT para Analistas" es una recapitulación de técnicas sobre una disciplina en la que venimos trabajando desde hace un montón de años: la investigación en fuentes abiertas. El libro no se limita a ser una recpitulación de herramientas de búsqueda, sino que pretende ayudar a los analistas a explotar los recursos que están a su disposición para sacarle el máximo partido a toda esa información que está ahí pero que a veces no caemos en que podemos recoger. 
Figura 3: Manual de Ciberinvestigación en Fuentes Abiertas: OSINT para Analistas
Esta es una disciplina no necesariamente reservada a los técnicos y de la que muchos ámbitos y profesionales pueden sacar partido en su día a día.
2.- Por supuesto, que sepas que te hago la entrevista solo porque sé que habéis hablado de mi FOCA, aunque yo sé que tú eres mucho más de GNU/Linux. ¿Cuáles son para ti las 5 herramientas que han cambiando la ciberinvestigación en los últimos años?
- Los metadatos siguen siendo un filón de fenómenos indiciarios. FOCA y Exiftool son dos herramientas de referencia en este ámbito que nos pueden dar muchas por error u omisión de quienes publican imágenes o PDF en situaciones de estrés.
Figura 4: Libro de Pentesting con FOCA
- El dominio de las búsquedas avanzadas (o el hacking con buscadores) es fundamental y ser capaz de ir aún más allá de Google (eligiendo Yandex o Baidu cuando el entorno lo requiere o acotando las buscadores con buscadores personalizados) es clave.
- El kit de herramientas que a mí me gusta llamar la "máquina del fango" de las redes sociales: la combinación de las páginas de archivado con las búsquedas ad hoc como las búsquedas avanzadas que permite Twitter combinando el from: y el to: en la búsqueda. Son un auténtico filón para buscar tweets controvertidos sobre personalidades públicas o para empezar a relacionar a personas, incluso sobre perfiles privados de quienes no puedes leer sus tweets pero sí lo que les escriben otras personas.
- La búsqueda inversa de imágenes y el Error Level Analysis a través de herramientas como Fotoforensics o Forensically nos ayudan a la hora de identificar imágenes que han podido ser manipuladas o publicadas en otro contexto.
- Las búsquedas por nombres de usuario y herramientas como Usufy (o Sherlock, Datasploit o SpiderFoot) intentan explotar nuestra falta de originalidad y ganas de mantener nuestra presencia online fácilmente identificable. Ahora algunos gobiernos empiezan a pedir este tipo de información a la hora de entrar a los países, pero las herramientas las tenemos a mano desde hace unos cuantos años y comprobar que existen, nos ayuda a tomar consciencia de nuestra exposición.
3.- Eres doctor por la Universidad de Deusto, y además en ciberseguridad. ¿De qué fue el trabajo de investigación en el que dedicaste tus años de doctorando?
En mi caso, tuve mucha suerte. El Dr. Pablo García Bringas - el mismo que tuviste en el tribunal de presentación de tu tesis doctoral, Chema ! -, entonces director del S3Lab de la universidad admitió en un mes de febrero en su equipo de investigación a un chaval de cuarto de carrera al que le quedaban quinto y sexto que entró preguntando por trabajo en materia de seguridad. 
Caí un equipo que entonces no era demasiado grande todavía y en el que ya estaban los dos Igor, Borja, Mikel, Carlos, Javi, Agustín y Sendoa que yo recuerde y a los que luego se sumaron muchos otros. Ahí ya aprendí las consecuencias de no bloquear el ordenador y los fundamentos de la modelización de datos, a programar en Python y las diferencias entre el aprenzidaje automático supervidado y no supervisado a base de muchos experimentos con Weka.
Fruto de ese trabajo, tuve la suerte de empezar a encarrilar mi trabajo de fin de carrera y de dar mi primera conferencia en un evento internacional (ESSOS 2010, en Pisa, probablemente la conferencia de la que menos orgulloso estaré en mi vida por culpa de lo nervioso que estaba) para luego orientar lo que había ido aprendiendo en distintos proyectos en los que iba colaborando a la detección de tráfico de control de botnets empleando modelos de aprendizaje automático. 
En pocas palabras, y con la ayuda incalculable de compañeros como Sete, empezamos a plantear una batería de muestras de tráfico benigno que anonimizamos y cruzamos con tráfico malicioso de diferentes botnets. Con sus limitaciones, la aproximación que se proponía era ser capaces de extraer patrones relevantes de ese tráfico malicioso para identificarlo entre muestras de tráfico legítimo.
4.- Señor Felix Brezo Fernandez, nacido en Santander, ¿de qué equipo de fútbol dices que eres?
Como dicen que los de Bilbao nacemos donde queremos, soy socio del Athletic Club desde el 7 de enero de 1988, 32 añitos ya. Eso sí, en este tiempo solo hemos levantado una Supercopa y algunos estamos deseando desempolvar la gabarra de una vez por todas. Los días grandes de partido, no es extraño verme también por Oeste 1 con el que es mi verdadero traje de los domingos, es decir, el de la camiseta del Athletic.
5- Este no es tu primer libro, también eres autor del libro de BitCoin & Blockchain de 0xWord. ¿Te vas a animar a seguir escribiendo?
Tengo varias ideas en la cabeza sobre temas relacionados con la impresión 3D y la seguridad física y otras más técnicas sobre desarrollo de plugins de navegador y extensiones. Entiendo que no son temas precisamente mainstream, pero mi idea es aprovechar para sintetizar cosas que me he ido haciendo por mi cuenta, completarlas y ordenarlas de una forma estructurada en que sí le pueda servir a otros. Me frustra bastante acumular documentos y ver que quedan en una carpeta perdida más y creo que esta es buena forma de darles salida.
6.- Y hablando de BitCoin y las Criptodivisas. ¿Crees que el mundo evolucionará hacia métodos de pago más privados basado en ellas o que por el contrario desaparecerá el dinero físico como dicen algunos y todas las transacciones serán controladas por el gobierno para acabar con el fraude?
Es la pregunta del millón y no tiene una respuesta sencilla. Los que creemos en la importancia de los servicios públicos somos conscientes de que estos hay que financiarlos con impuestos y la lucha contra el fraude es una herramienta fundamental. Mientras que el origen del dinero en efectivo es difícil de rastrear, parecía que el uso del dinero digital podría ayudar a la lucha contra el fraude a través de servicios más o menos de centralizados en torno al ecosistema bancario tradicional. Y eso asumiendo las concesiones en materia de privacidad ante los gestores de dichas operaciones.
Figura 5: BitCoin: La tecnología Blockchain y su investigación
Pero la llegada de las criptodivisas lanzaba nuevas posibilidades para presentar métodos de pago alternativos que no necesitan de entornos centralizados y que introducen la tecnología como una herramienta de pago anónima que puede escapar, si no se usa de acuerdo a la ley, a la vigilancia global. Esta cuestión tiene mucho que ver con uno de los debates de las próximas décadas acerca de cuál es el límite tolerable de intromisión de un estado democrático en nuestras vidas y cómo se gestiona esa información.
Y lo estamos viviendo ya. ¿Nos plantearíamos si es correcto el uso de la información de nuestros móviles para identificar posibles focos de infección por coronavirus y mitigar los riesgos? ¿Y el registro de todas nuestras operaciones financieras para combatir el fraude? ¿Es transparente y auditable el uso de esas tecnologías por ciudadanos anónimos para prevenir posibles abusos? Cada pregunta puede tener su propia respuesta pero todas ponen de manifiesto que los avances tecnológicos tienen que ir de la mano de valores éticos acorde con el uso que les queremos dar respetando, siempre, siempre, los derechos de las personas.
7.- ¿Eres de los que prefieres un mundo gratuito pagado con tus datos y tu tiempo, o pagar por tus servicios - todos ellos -?
Para mí es más una cuestión de soberanía que de modelos de financiación. A mi encantaría tener la información adecuada acerca del tratamiento que se da a mi información cuando no soy yo el que la gestiona. Puedo estar dispuesto a participar en ambos modelos, pero la prioridad pasa por estar bien informado sobre las consecuencias de cada uno de ellos para mis datos.
Desde el punto de vista de la soberanía, una de las cosas que más rabia me da son las trampas que hacen muchas organizaciones a la hora de facilitar el proceso de darse de baja o la gestión de los permisos en un servicio. Proyectos como justdelete.me (recomendable visita) recogen los enlaces para borrarse de diferentes plataformas, pero creo que ponen de manifiesto la falta de voluntad de muchas organizaciones a la hora de renunciar a nuestros propios datos.
En este sentido, en 2018 Yaiza y yo propusimos en un Internet Draft (en Github y en IETF) la creación de un fichero oblivion.txt a imagen y semejanza del robots.txt, del humans.txt o del security.txt en el que se recogiera de forma estructurada los enlaces para darse de baja, desactivar la cuenta o para recuperar el control de tus propios datos.
A veces tengo la sensación de que no hay una voluntad real de ofrecer ese derecho de verdad y, como reconozco que me enfada, me siento más cómodo con modelos que apuestan por soluciones libres y que huyen del modelo Service as a Software Substitute. ¡Quiero tener la opción de poderme complicar la vida gestionando mis servicios y mis plataformas!
8.- ¿League of Legends o Clash Royal? ¿Cuál prefieres? ¿Son gratuitos o de pago?
Yo soy de Clash Royale con un récord de copas de 6171 trofeos que es bastante digno pero del que uno no sabe si debería estar demasiado orgulloso. Son gratuitos pero tienen un modelo de micropagos por skins y boosteos para acelerar las subidas de nivel de cartas. Su éxito seguramente ha sido encontrar el equilibrio entre un modelo de micropagos y dando con la tecla para que personas de tu entorno puedan colaborar y jugar contigo y no contra ti sin sentirse frustrados. 
En PC, juego de vez en cuando al PUBG con algún compi y amiguetes a los que se les da mucho mejor que yo, pero con los que me lo paso bien jugando en equipo y comentando las noticias mientras jugamos. Y sí, uso Windows para el PUBG, el SAP (en la oficina me entenderán) y Microsoft Office. De la implementación de los estándares ISO para documentos ofimáticos o de los tipos de letra propietarios hablamos en otro post.
9.-Desde que te conozco eres una persona con muchas inquietudes en tu cabeza. Te encanta meterte en nuevos proyectos e ideas. ¿En qué andas pensado ahora?
Técnicamente, estoy bastante implicado con la descentralización. Últimamente estoy leyendo bastante sobre mesh networking (proyectos como Briar), herramientas F2F como Retroshare o Freenet y sistemas federados tipo Mastodon o Matrix.org. Todo lo desplegable y usable a priori apetece.
Figura 6: Deep Web: Privacidad y anonimato
A nivel personal, tengo un año y poco de la carrera de derecho y me gustaría encontrar este año tiempo para retomarla. Creo que es importante que los más técnicos nos impliquemos en la definición de las normas que van a regir las relaciones de las personas los próximos años y tenemos mucho que aportar para que quienes deciden se equivoquen lo menos posible. 
Además, muchos juristas comparten actitudes con quienes trabajan en la parte técnica cuando tratan de reversear las leyes y adecuarlas a cada caso. ¿O cómo podríamos llamar a la posibilidad de saltarnos los controles adicionales que establece el artículo 168 de la Constitución Española para la reforma de algunos artículos de especial protección cuando el título que otorga dicha protección no se protege a sí mismo? ¡Las leyes también pueden ser hackeadas y por eso hay que bastionar nuestros derechos!
10.- Recomiéndanos tres libros -no políticos- que hayan cambiando la forma de ver la vida o el mundo a Felix Brezo.
Más que de libros te hablaré de series y personajes. Uno de los que me despertó la curiosidad por el mundo de los detectives era el personaje de Flanagan, un chaval barcelonés que protagonizaba la serie de libros de detectives de Andreu Martín y Jaume Ribera. 
Ya algo más mayor, me enganché a la serie de libros del Capitán Alatriste. Esa España llena de claroscuros que empezaba a dejar de ser hegemónica para terminar con episodios casi decadentes pero a los que aún quedaba algo de brillo heroíco que sacar tiene un no sé qué romántico que me sigue llegando ("El honor era luchar, sin la esperanza de vencer...").
Figura 7: Obras completas de El Capitán Alatriste

Si un género me gusta es el del espionaje. Me trago todo. Si es ficción, me da casi igual que sea Tom Clancy o Le Carré, el nuevo Bond de Anthony Horowitz o el Criptonomicón de Neal Stephenson. Cuando está de por medio la criptografía y los secretos de estado y además se entremezcla con esas historias reales pero que parecen de película de la guerra fría ya me tienen ganado.

Figura 8: El criptonomicón
De todas formas, por quedarme con uno, lo haría con "El huevo del Cucko" de Clifford Stoll. Es una historia real sobre una intrusión que detectó por accidente en su laboratorio y sus primeros contactos con un organismo entonces bastante desconocido como la NSA. Se cuenta con lo que hoy parecería una ingenuidad casi infantil para muchos profesionales cómo se empiezan a valorar las vulnerabilidades en las aplicaciones y el rastreo de la identidad de la atacante y eso engancha aunque estén hablando de 1986.
11.- ¿Qué le recomendarías a jóvenes que comienzan su carrera profesional en el mundo de la tecnología?
Encontrar un ámbito en el que te sientes cómodo y sientes que haces cosas por los demás es importante porque te mantiene motivado. Los gustos de cada uno son muy personales pero la curiosidad y las ganas de leer y de buscar y de volver a buscar tienen que ir en el pack sí o sí.

Por incidir en otros aspectos que no son en absoluto técnicos y que muchas veces nos dan pereza pero que rentan a la larga: organizarse bien las tareas que tienes pendientes (checklists, apps, etc., hay de todo), hacer un verdadero esfuerzo por escribir bien tu idioma y documentar lo que haces para poder repetirlo cuando lo necesites y darle caña al inglés porque sigue siendo lengua vehicular en internet. Perdiendo el miedo a leer, entender y preguntar se hacen también relaciones.

No hay comentarios:

Publicar un comentario