Hace tiempo que deseábamos publicar entrevistas en Seguridad a lo Jabalí y es Un lujo iniciar esta sección con Yago Jesús de Security byDefault.
Lo primero gracias por tu
tiempo Yago Jesús, eres una referencia en seguridad informática dentro y fuera
de nuestras fronteras para los despistados cuéntanos un poco tu historia. ¿Cómo
empezaste, carrera profesional, donde trabajas actualmente, en que proyectos
participas?
WoW ! Vaya introducción!
No creo que sea para tanto, yo creo que he tenido la suerte de conocer a gente
muy muy buena de la que he intentado aprender y he tratado de ser todo lo
inquieto que he podido.
A nivel profesional me he movido
por muchos perfiles del mundo seguridad, he hecho pentest, he hecho forense, en
la época de los IDS, muchos proyectos de IDSs, también de PKI ...
PatriotNG, Unhide,
Autodnie, Dnie TrojanKit, Web Sellada una larga lista de herramientas muy
diversas que junto con tus compañeros de Security by Default aportáis a la
comunidad ¿Cómo surge la idea de estos proyectos? ¿Desde que surge la idea como
es el proceso hasta que la publicáis?
Espero que la
respuesta no decepcione pero, en realidad no existe una metodología formal, en
muchas ocasiones estamos escribiendo posts y lo que empieza con 'un pequeño
script para...' termina convertido en una herramienta digna de estar en el
repo.
En el caso de mis
herramientas, a Patriot le tengo un especial cariño, fue un proyecto que empecé
en el 2003 y tengo en la memoria algunas noches de insomnio total 'debuggeando'
memory leaks que asocio inevitablemente a personas que hoy día no están entre
nosotros.
Esa herramienta ha
funcionado muy bien a nivel descargas, en su momento recuerdo que muchas revistas
tipo PC Actual la distribuyeron en los típicos CDs con los que venían.
Unhide tal vez sea la
herramienta con más difusión internacional a raíz de que está incluida en la
mayoría de distribuciones Linux del mercado.
No todas han funcionado
igual de bien, por ejemplo, SSLCop que en su momento me pareció un concepto muy
innovador ha tenido una repercusión muy moderada.
En SbD se reúnen una enorme
cantidad de talentos, José Antonio, Alex, Lorenzo la calidad de vuestros
artículos es excelente, ahora que lleváis un tiempo cuéntanos algún secretillo
¿Qué es lo que más te gusta de cada compañero? ¿El proyecto de SbD es como
empezó, mantenéis los mismos hábitos o hay diferencias en las ideas, de
organizaros?
Puedo decir
abiertamente que si, seguimos siendo exactamente los mismos de cuando
empezamos, no hay jerarquías, no hay temas-de-uno y temas-de-otro ni nada
parecido. Cada uno escoge su tema
libremente.
Respecto a mis compañeros,
son los primeros de quien aprendo, todos son extraordinarios tanto a nivel
profesional como personal. Es una gozada poder colaborar con ellos.
Chema Alonso escribe: Me
supera infinitamente esa amplitud de visión del mundo de la tecnología e
intento aprender de las cosas que veo y me cuenta un "amigo común"
que de vez en cuando me cuenta algo como: Yago es la polla, se le ha
ocurrido que...
¿Qué opinas del Maligno? ¿Para cuándo un libro de Yago en
Informatica64?
De Chema opino que
ha sido el 'Paul Gasol' de la seguridad, ha sido pionero en hacerse un nombre
en conferencias internacionales y gracias a él, otros muchos han podido entrar
en esos circuitos.
Lo cierto es que he tenido
varias tentativas de escribir un libro para I64, había llegado a escribir el
índice de dos posibles libros 'pki demystified' y 'detección de intrusos' Aun
no tengo claro cuál de los dos escribir, aprovecho esta entrevista para pedir
feedback :)
La seguridad es uno de los
campos más amplios de la informática y evoluciona a velocidad de vértigo,
profesionales se especializan en auditoría, forense, ingeniería inversa o
auditoría web ¿Cómo ves el panorama laboral, recomendarías a los que comienzan
mantener un perfil amplio o especializarse en menos disciplinas y profundizar
más?
Es complejo diseñar
un perfil único para una profesión tan amplia, si tengo que contestar en un
plano más generalista, yo diría que son básicos estos puntos:
1- Aprender un lenguaje de
scripting, da igual que sea Perl, que Python o Ruby, pero es básico tener una
buena soltura con un lenguaje que te permita 'prototipear' cosas en un espacio
de tiempo corto.
2- Dominar cuantos más
sistemas operativos mejor, no hacer ascos a nada y no caer en 'talibanismos'
tipo 'Yo solo uso Linux / Mac / Windows', hay que tener una visión lo mas
agnóstica posible de la informática.
3- Estar al día de lo que
sucede en tu ámbito de actuación: Twitter es una gran herramienta, también hay
blogs y en menor medida, listas de correo. Las CONs como Rootedcon o NcN son un
buen lugar donde ver 'el estado del arte'.
En cualquiera de los casos
hay que dedicar horas, es difícil entender como gestionáis el tiempo: trabajo,
mantenerse actualizado, investigar, publicar artículos, conferencias además de
proyectos y software ¿pretendéis desmoralizar a los que somos humanos? ¿Tenéis
algún secreto? ¿Cómo es un día habitual de Yago?
Imagino que cada uno
tiene su forma de hacer las cosas y lo que funciona con uno no tiene que
funcionar con otra persona. Personalmente me planteo las cosas a modo de
'franjas de productividad'. La franja más productiva es aquella en la que estoy
lo más offline posible: no Gtalk, no twitter, no webs. El resto de franjas son más
laxas con respecto a distracciones incorporando twitter, Gtalk etc, etc.
Con la masificación de las
comunicaciones, todo el mundo tiene dos o tres dispositivos, utiliza varias
aplicaciones, comparte, sube… una de las cosas que sorprende cuando aprendes
seguridad es lo mal que esta todo y no parecía. ¿Nos vamos a cargar la Red?
¿Perderemos “la libertad” en defensa de la seguridad con restricciones y
sistemas más cerrados?
Hace un tiempo me
entrevistaban para una revista y ante una pregunta similar mi respuesta fue:
Creo que en la red tiene que haber el suficiente control como para que quien
haga una estafa se le pueda rastrear y detener y la suficiente libertad como
para que 'affaires' como el tema del Rey y los Elefantes se puedan difundir con
total libertad.
Portales y blogs dedicados
a seguridad, también a los usuarios menos técnicos, se reportan
vulnerabilidades y se publican los grandes “FAIL”, muchas de estas intrusiones
no son técnicamente espectaculares, pero la impresión que llega al público es
otra. ¿A la gente no le importa la seguridad? ¿Estamos pagando la herencia del
underground? ¿En ciertos entornos (con mucha pasta) es más rentable culpar al
hacker que invertir en desarrollo de sistemas sólidos y profesionales de
seguridad? ¿Qué se está haciendo mal?
Yo creo que no es
que se esté haciendo algo en concreto mal, es que creo que toda la problemática
es inherente al ser humano y al medio del que estamos hablando (la red). No
creo que haya soluciones mágicas al respecto.
Pasa en todos los ámbitos
de la vida: nunca erradicaremos la pobreza, la delincuencia, las drogas, etc.
El ser humano es asi.
Creo que la única forma de
'sobrevivir' es tratar de estar lo más al día posible y que no te pillen
desprevenidos los cambios. Internet ha supuesto un cambio de paradigma que ha
dejado 'fuera de juego' a mucha gente. Dentro de X años surgirá otra cosa, el
reto es saber estar ahí para cuando suceda y ser pionero en conocerlo.
Términos como hacker o
hacktivismo son noticia últimamente, asociado a delincuencia en muchos casos,
hay muchas definiciones sobre el término pero ¿Qué es para ti un hacker? ¿A
favor o en contra del término? ¿Es Yago Jesús un hacker?
Yo creo que Hacker
tiene un origen romántico, así que cualquier persona con inquietudes y una
cierta dosis de altruismo puede ser un Hacker (aunque no sea necesariamente por
algo relacionado con la informática), hay Hackers en la medicina, en la arquitectura...
hasta en el mundo financiero !
Yago agradecerte por esta
entrevista y para terminar algo un poco más personal, en conversaciones
sociales (fuera de entornos laborales) en la pregunta de ¿En que trabajas?
¿Cómo te presentas: informático, seguridad, evitas el tema? ¿Y en las
conversaciones de “expertos no técnicos” sobre el titular de la ultima
intrusión?
Es una pena pero
'informático' es una palabra tan denostada que intento evitarla. Para la gente
ajena al mundo técnico suelo decir que trabajo en 'nuevas tecnologías' aunque
en muchas ocasiones su respuesta es: 'vamos, que haces páginas web’:P
Y así quedo la primera entrevista de este blog. Espero que os haya gustado...
Seguridad a lo Jabalí para Todos!!
Genial! Ha estado muy bien, ¿quién será el amigo común? :O
ResponderEliminarMuchas gracias Alejandro, jajaja¿el amigo no se? ;D
EliminarPD:Cualquier día te envio las preguntas para una interviú.
EXCELENTE entrevista :) le di una pasada en un dos por tres y toca leerla luego..
ResponderEliminarSALUDOS
gracias amigo, me encantaron las respuestas de Yago, un crack!!
EliminarGracias, y más,por favor más entrevistas.
ResponderEliminarSì esas entrevistas las pasáis a mp3 ya sería la po...
Lo escucharía mientras conduzco mi camión.
Un saludo.
Jajajaja lo del MP3 de momento lo veo dificil, pero te recomiendo los podcast de Daboblog, son geniales XD
EliminarYa que pides (me permito el trato de tu a tu) feedbacks sobre el posible libro para I64, ahí va el mío: detección de intrusos.
ResponderEliminarGracias tanto a entrevistador como a entrevistado.
Un cordial saludo
Muchas gracias por comentar, un saludo XD
Eliminaryago, un libro de deteccion de intrusos no edtaria mal !!!
ResponderEliminarXD
EliminarMuy muy buena entrevista!! me ha encantado :D
ResponderEliminarEso si, me estais pisando a los entrevistados jajajaja :P
En serio, muy chula y Yago excelente
Gracias akil3s, en las entrevistas por mail yo opino que depende mucho de lo que se implique el entrevistado, en este caso Yago lo hace de Lujo, estoy muy contento de como salio!!
EliminarMuy interesante la entrevista.
ResponderEliminarEs un placer leerla
saludos.
muchas gracias Betsa,un abrazo ;D
EliminarFelicidades por la entrevista ;). Me ha encantado leerla.
ResponderEliminarPara Yago: De los 2 libros que comentas, y al pedir feedback, creo que 'detección de intrusos' bien orientado, puede ser algo magnifico.
gracias WINSoCk, yo la verdad que tampoco quiero perderme un libro de Yago sobre PKI, va a tener que escribir los dos!!!
EliminarMuy chula y cercana la entrevista, me ha gustado mucho.
EliminarYo me sumo a la plataforma para pedir dos libros de Yago, porque ya veo que voy a ser minoría pidiendo el de PKI ;-).
Definitivamente tendra que escribir los dos otra no queda!! jajaja muchas gracias por el comentario ramandi XD
EliminarDetección de intrusos Yago. Enhorabuena por la entrevista y la pagina
ResponderEliminarMuchas gracias XD
EliminarMuy buena entrevista. Hay un hacker en cada sector... Me encanta eso¡ Gracias a ambos.
ResponderEliminarYago es muy majo!! gracias Kino
EliminarMuy bien la entrevista y aquí se puede ver todo lo que Yago va aportando a lo largo de estos años ;)
ResponderEliminardpkg -l | grep -i unhide
ii unhide 20100201-1 Forensic tool to find hidden processes and ports
Un abrazo !
Gracias por pasarte Dabo, ¿y para cuando un podcast con Yago? ;D
ResponderEliminarPues cualquier día de estos, Yago da para mucho ;)
ResponderEliminarUn abrazo !
Yago es un crack. Gran profesional, mejor persona.
ResponderEliminarCoincido en sugerir "Detección de intrusos".
Creo que estamos todos de acuerdo akae ahora solo nos queda esperar que nos escriba el libro o bueno los dos libros jejejeje.
Eliminar