Entrevista a Bernardo Quintero de Hispasec Sistemas
Si hay que hacer un top ten con los más influyentes en la seguridad de este país sin duda Bernardo estaría en esa lista. Hace ya más de diez años empezó a enseñarnos a muchos de nosotros temas de seguriad informática y digo enseñarnos porque yo recuerdo que la mayoría de mis primeras aproximaciones al mundo de la seguridad pasaban por referencias de Bernardo Quintero, una-al-día e Hispasec sistemas.
Con Bernardo siempre he tenido una sensación curiosa cuando hablas con él. He tenido la suerte de reirme y charlar con él durante alguna que otra comida o cena y siempre que le miro a los ojos puedo ver los leds parpadeando, como si indicaran que el cerebro está currando. Es de esas personas que ejercita más el microprocesador que el subsistema de E/S, de tal manera que sin ningún esfuerzo, sin solicitar una prioridad especial, cuando dice algo los demás escuchamos. Al estilo del gran Silent Bob.
El gran "B"
Bernardo es una persona excepcional a todos los niveles, como amigo, como ser humano y como técnico y quiero darles desde aquí las gracias públicamente porque sin su trabajo previo a lo mejor yo no hubiera tirado por la parte de seguriad informática y tal vez seguiría hoy en día con los Oracles y los Solaris... (¡de buena me libré!)
Disfrutad la entrevista que es verdad eso de que el sentido del humor denota inteligencia... ;)
Saludos Malignos!
1.- Venga, vamos con la publicidad al principio. Danos tres razones para comprar el libro que ha escrito "pajarraco" de los santos.
Tres son demasiadas, no voy a encontrar tantas. La única que se me ocurre es por compasión con Sergio de los Santos, el pobre se tiró dos meses amargado escribiendo porque, como suele pasar en Hispasec, siempre vamos mal de tiempo y tenía que tenerlo para la fecha del décimo aniversario. Ya en serio, le ha quedado muy apañao, me ha sorprendido el resultado. La idea de empezar cada capítulo/año con noticias y anécdotas no-informáticas está muy bien, es como si estuvieras leyendo el NODO, engancha. Particularmente lo que más me ha gustado son las entrevistas, siempre es más interesante leer las opiniones de Schneider o Kaspersky que las de nosotros mismos.
2.- Muchos de nosotros somos algo enfermos, pero... ¿cómo es posible que me contestes un mail de curro a las 4 de la mañana de un miercoles?
Mira quién habla, el que se levanta para escribir en el blog cuando yo aun ando durmiendo. Lo de trasnochar puede que sea una costumbre, una-al-día e Hispasec nacieron así, a esas horas donde nada bueno se puede hacer. En 1998 me levantaba a las 5:30 de la mañana para ir a un centro de disminuidos psíquicos. No es que estuviera ya tan mal, el centro me había tocado de prestación social sustitutoria como objetor de conciencia... vamos, que no quise hacer el servicio militar. Salía del centro a las 8:30 para entrar en mi trabajo (informática de gestión, nada excitante), salía a las 15:00 de trabajar, almorzaba algo, volvía a las 17:30 al centro de disminuidos, regresaba a casa a las 22:00 para cenar y... cuando ya no me sostenía en pie, me conectaba al IRC para hablar con Ropero a ver que sacábamos esa noche en una-al-día.
Vale, te dejo que me llames enfermo o masoca. Pero que conste en acta que soy un dormilón, me encanta... ahora comprenderás porque siempre tengo cara de sueño o de zombi.
3.- Cuando empezó una-al-día no había demasiada información con respecto a seguridad. ¿Cómo te dio por ahí?
Porque alguien dijo que no se podía hacer. En mi caso es como enseñarle a un toro un trapo rojo (en ese ejemplo yo soy el toro, prohibido chistes con la temática cuernos). una-al-día nació en una lista de discusión privada que compartíamos gente que escribía sobre seguridad en distintas revistas informáticas. Las editoriales de las revistas eran competencia entre ellas, pero nosotros no nos sentíamos compentencia, al contrario, compartíamos conocimientos. En esa lista se discutió un día sobre lo complicado que sería tener una sección fija de seguridad en una revista, dada la escasez de contenidos. A mí no se me ocurrió otra cosa que decir que era capaz de escribir una noticia por día. Se rieron.
Al día siguiente, casi de coña, envié a esa lista un mensaje con el asunto una-al-día y la primera noticia. Volví a hacerlo una segunda vez y a continuación, el tercer día, hizo lo propio Antonio Ropero sin yo haberlo pedido. A partir de ahí, como si de un pique se tratara, Ropero y yo nos íbamos turnando. Más tarde la gente se enteró de lo que estábamos haciendo y pidió recibir la una-al-día, así que decidimos hacerlo público para que cualquiera pudiera suscribirse y creamos el portal web hispasec.com.
A día de hoy se asocia mucho el nacimiento de una-al-día conmigo, pero realmente el mérito es de Ropero. En sus comienzos, cuando era más complicado, él fue mucho más constante que yo. Estoy seguro que Ropero podría haber hecho una-al-día en solitario, yo no hubiera durado ni una semana.
4.- Vale, ahora en serio. ¿qué habéis hecho con Jcea? ¿Quién lo mató y porqué nadie denuncia su desaparición a los cuerpos de seguridad?
Se rumorea que Jesús Cea es, en realidad, un ente. Aunque no lo veas, puedes sentir su presencia. Vale, de los cuatro socios de Hispasec es tal vez al que menos se le ve el pelo, pero yo siempre lo tengo a mano cuando lo necesito. Da mucha tranquilidad tener un oráculo técnico en casa, al mismo tiempo puede llegar a ser odioso. De verdad, no es posible que alguien siempre tenga respuesta para todo, sabe de todo, lo mismo te lo encuentras un día diseñando circuitos que otro te enteras que está en el equipo de desarrollo del lenguaje python, que asco de tío... (vale, lo reconozco, será envidia).
5.- ¿Qué estudiaste o en que trabajaste antes de Hispasec?
Si digo "informática" la respuesta no va a tener mucha gracia, pero es la verdad. Por alargarla un poquito me remontaré a mis orígenes y te contaré que yo iba camino de ser un caso típico de eso que llaman "fracaso escolar". La cosa pintaba mal cuando a los 3 años me diagnosticaron autismo leve, porque no hablaba nada (ahora tampoco es que hable mucho, ya sabes). Un día en casa mis padres andaban buscando un documento importante y no lo encontraban, entonces yo, que nunca había dicho una palabra, dije "está en lo alto de ese mueble". Se quedaron con cara de pasmaos, de no decir una palabra había soltado una frase (no lo recuerdo, cuando me lo cuentan bromeo diciendo que lo mismo no tuve nada importante que decir hasta aquel día). En el parvulario, a los 5 años, la cosa seguía bastante mal. Cuentan que tenían que llevarme arrastrando al colegio y, una vez allí, me negaba a hacer nada, tiraba las sillas e incluso una vez bloqueé la puerta de la clase, tuviendo que sacar a mis compañeros por la ventana. Así que me tenían al fondo del aula, medio olvidado.
El caso es que a los 6 años llegué a primero de EGB sin saber nada, ni las vocales ni un número. Afortunadamente cambié de maestra y me tocó una que apodaban la "hippy" porque era nueva y bastante moderna para aquella época, en todos los aspectos. Mi padre fue un día al colegio, a principio de curso, para hablar con la maestra a ver si yo tenía arreglo. Antes de entrar me vió por la ventana del aula desde el pasillo, estaba de espaldas sentado en las rodillas de la maestra. debió pensar: "ya la habrá vuelto a liar y ha tenido que cogerlo". Cuando entró en el aula vio que efectivamente estaba sentado en las rodillas de la maestra, pero trasteando con algo extraño. Estaba explicándole como resolver un cubo de rubick que ella había traido a clase. No se si llevó el cubo de rubick a conciencia, ni recuerdo porqué ni como empecé a resolverlo, el caso es que ella logró integrarme en el sistema y desde entonces no volví a tener ningún problema escolar, más bien al contrario. Por ejemplo, en COU, como la nota para entrar en informática en la universidad estaba un tanto alta y no las tenía todas conmigo, me dió por estudiar un poco y lo saqué con matrícula de honor. Realmente no tiene mérito, la gracia hubiera sido hacerlo sin haber estudiado.
Le estoy muy agradecido a aquella maestra "hippy". Como anécdota, a mi niña de 3 años le gusta resolver puzzles grandes, se los zampa de 60 piezas o más. Tranquilo, afortunadamente no se parece a mí en nada, es infinitamente más guapa, muy cariñosa y casca por los codos, como la madre. El caso es que en el último cumpleaños de la niña su abuelo le hizo un regalo que, al abrirlo, mi mujer se me quedó mirando con una expresión que venía a decir "tu padre no está bien de la cabeza". Él y yo nos cruzamos una mirada y sonreimos. Le había regalado un cubo de rubick.
6.- Venga, anima a la gente... ¿Es dificil analizar un malware hoy en día o lo puede hacer hasta de los Santos?
Es fácil, como casi todo en esta vida es cuestión de ganas y tiempo. Por supuesto hay distintos niveles, tanto de dificultad del malware motivo del examen como de destreza técnica y profundidad del análisis por parte de quién lo estudia. Pero, en general, yo diría que ahora es más fácil que hace unos años cuando empezaron a circular los primeros virus, entonces era todo muy artesanal. Y cuando digo todo me estoy refiriendo tanto a los creadores de virus como al trabajo de los analistas antivirus, al menos para los amateurs como yo (que conste que era analista amateur, ¡no creador!).
Recuerdo que en primero de universidad lidié con un virus y para estudiarlo tuve que infectar mi Amstrad PC-1512 a conciencia (afortunadamente no tenía disco duro, así que sólo infectaba disquetes de forma controlada). Si me preguntas que herramienta utilicé para el análisis, te diré una que aun debes tener en tu sistema Windows: el DEBUG.EXE de Microsoft. En mi caso fue el DEBUG.COM de un MS-DOS 3.2. Conté algo sobre esa anécdota hace tiempo en el blog (http://blog.hispasec.com/laboratorio/63). Ahora tienes el IDA y tropecientas herramientas más, máquinas virtuales, etc., se ha perdido un poco el romanticismo de aquella época. No significa que la nueva generación de analistas y reversing sea peor, al contrario, conozco a gente joven del mundillo con los que se me cae la baba, me dan mil vueltas... a mis treinta y pico años yo ya soy un fósil.
7.- ¿Se puede tener vida analizando malware?
Se puede tener vida y, además, te puedes ganar la vida analizando malware. Es una salida profesional muy interesante, en Hispasec nos cuesta encontrar a gente con este perfil para contratarlos, no abundan. En general cualquier especialización relacionada con la seguridad informática tiene salida, hay mucha necesidad de profesionales técnicos del sector en el mercado laboral. Aunque debo decir que yo nunca me gané la vida analizando malware, de hecho, incluso a día de hoy, a principio de cada año ya tengo planificado 6 meses con auditorías y test de penetración que aun sigo haciendo, fue por ahí por donde nos entraron los primeros ingresos en Hispasec. Para mí analizar malware siempre fue un hobby, sacaba algunas pelas publicando en revistas y tal, pero poco más. A día de hoy sí que tenemos negocio relacionado con el análisis de malware en Hispasec, es un área tan interesante como productiva.
Volviendo a la vida, hasta los creadores de virus tienen vida más allá del malware. Recuerdo que hace muchos años tuve la oportunidad de acudir a la primera (y creo que última) quedada internacional del mítico grupo 29A, que se celebró en Madrid. Por descontado yo no pertenecía a 29A, aunque hubiera sido un chico malo creo que nunca hubiera sido admitido, había demasiado nivel allí. Fui invitado por el grupo porque les gustaban mis análisis y descripciones de sus virus que hacía para la revista PC-Actual, así que no desaproveché la ocasión de poder saber más sobre todo lo que rodea a ese mundillo y los conocí en persona.
Compartí con ellos todo un día, fue una experiencia interesante. Recuerdo que durante el almuerzo, en un restaurante, comentaban trozos de código en ensamblador que escribían e intercambiaban en las servilletas de papel. O que mientras esperábamos en una cola, para subir a la montaña rusa en el parque de atracciones, dos de ellos se pusieron a interpretar directamente el volcado en hexadecimal de un virus que otro llevaba impreso en la espalda de su camiseta. Pero ese tipo de anécdotas no fue lo que me sorprendió, al fin y al cabo es lo que te puedes esperar, sino lo heterogéneo del grupo en cuanto a personalidades. Uno tiene una imagen de los creadores de virus alimentada por estereotipos que nada tiene que ver con la realidad. Resultaron ser gente muy diversa, extrovertida, lo mismo estudiantes que profesionales exitosos en sus trabajos, y no todos informáticos: desde gente que habían estudiado carreras de letras a ciencias naturales. Al fin y al cabo, gente normal y corriente, con su propia vida más allá del malware.
8.- ¿Filete con patatas o Cordero al horno con patatas panaderas?
Ésta es fácil: filete con patatas, siempre. En su defecto, si estamos en Málaga, podemos cambiar el filete con patatas por pescaito frito. Que no se diga que no tengo variedad gastronómica :p
9.- Esto.. si alguien quiere entrar a trabajar en Hispasec... ¿le haces tú la entrevista o la hace Roman siguiendo "sus criterios habituales"?
Si es chica y opta para puestos de administración o comercial, entonces puede que Román aplique sus criterios. Pero si quiere entrar en el laboratorio (donde realmente se trabaja, dicho sea de paso :p) entonces puedo hacer yo la entrevista, a no ser que se adelanten Santos o Julio... sin olvidarme de Sergio, que oficialmente le vamos a dar el puesto de director de RR.HH. (¡es un acaparador!).
Trabajar en el laboratorio de Hispasec es fácil, simplemente busco gente mejor que yo (y no es coña). No es complicado llevar un grupo de trabajo. Sólo tienes que buscar gente buena y facilitarles el trabajo. Mi única preocupación es que ellos estén a gusto y tengan los recursos que necesitan, y repartir problemas para que los resuelvan. Es importante ser consciente de que la gente que trabaja contigo puede hacer las cosas mejor que tú, el error más típico de un jefecillo es decir cómo se tienen que hacer o resolver las cosas. En trabajos técnicos la gracia está en plantear problemas y retos a tu equipo, es mucho más motivamente para todos y terminarán sorprendiendote. En el laboratorio tenemos una jerarquía muy plana o casi inexistente, según el proyecto yo puedo estar en uno o varios escalones por debajo ayudando a alguien o al menos intentando no estorbar mucho. El jefe que considere que es mejor que la gente con la que trabaja o es un necio, o hace mal su trabajo cuando recluta gente, o ambas cosas.
10.- Venga, ahora una pregunta que no te han hecho nunca... ¿Cuál es el mejor antivirus y por qué?
Tú eres un tío original, no te pega esta pregunta. No se si ser malvado y decir alguna cosa relacionada con la elección del sistema operativo... seré bueno y sacaré mi lado torero, ahí va: el mejor antivirus es el que mejor te protege adaptándose a tus circunstancias concretas. Puede sonar a obviedad, pero fíjate que no he dicho que el mejor antivirus es el que más malware detecta. Y es que algunos fabricantes antivirus tienen un problema de raíz, aun no se han enterado de que además de detectar malware el antivirus debe permitir trabajar al PC y al usuario con otros programas. Así que dependiendo de los recursos de tu sistema tal vez el mejor antivirus sea el A o el B, que no tienen porque ser el que más detecta. Por otro lado, si aceptas "sentido común" como antivirus, también se llevaría bastantes puntos en mi ranking. Tengas el antivirus que tengas siempre existe una ventana de infección más grande o pequeña y, en última instancia, el único que puede evitar la infección es el que está sentado frente al ordenador.
11.- Este año te nombraron MVP en Spectra en el área de Seguridad... ¿qué has hecho con todos los millones de dolares que te han dado?
De momento ingeniería financiera, a ver si consigo que no me haga mucha pupa en la declaración de hacienda :p
Te voy a contestar en serio a continuación. Que conste que no recuerdo exactamente el NDA que me hicieron firmar, así que lo mismo cometo algún disclosure ilegal con tu pregunta y me retiran el MVP, en cualquier caso tu habrás sido el culpable de que me lo dieran y que me lo quiten.
Vamos con el disclosure. Me enviaron a casa un paquete azul, muy bonito, que contenía: un diploma de MVP, un pin de MVP, una tarjeta de MVP (de visita, no se puede sacar dinero de los cajeros, ya les vale), la opción de suscribirme por un año al MSDN o TechNet, acceso a grupos de noticias MVP, programa de licencias de código fuente MVP y cosas así por el estilo, la opción de que algún cargo gordo de Microsoft envíe 4 "cartas de reconocimiento ejecutivo" a quién yo quiera, un obsequio "geek" consistente en unos cascos de audio muy monos con tecnología bluetooth y 150 dólares en créditos para gastar en la tienda de merchandising de Microsoft, donde te puedes comprar unas camisetas monísimas con el logotipo de Windows Vista. Por cierto, compré unos baberos con el logo de MS, la primera ropa para nuestra segunda segunda niña que tenemos encargada para el año que viene. Sospecho que sólo se hacer niñas, lo cual no es malo... seguiré investigando.
Tú que tienes más experiencia, ¿a quién hay que reclamar el tema de los millones?
12.- ¿Tendrá grelos el próximo lacon?
lacon'2008 fue una iniciativa de 48bits.com a la que se unió alguna gente de los sexy.pandas.es y demás mafia relacionada (saludos a los Tarasco y Romansoft por si me están leyendo). Básicamente un congreso de seguridad, bastante cerrado (de 20 a 30 personas), que nació más como excusa para verse las caras mientras bebían alcohol. La participación de Hispasec fue más por motivos logísticos que otra cosa, ya que sabiamente decidieron celebrarlo en Torre del Mar, lugar que está bajo nuestros dominios. La verdad es que quedó muy profesional, unas charlas con un nivel impresionante. Para el 2009 se prevé abrir la participación, ya que me consta que se quedaron gente con ganas de asistir.
Aprovechando la coyuntura, espero que podamos ver alguna charla tuya para lacon'2009... si te lo permite tu agenda o tu agente, después de la blackhat y la defcon lo mismo no te deja ir a eventos menores :p
13.- Virus Total es la caña, ¿Cual es la infraestructura para que funcione eso? ¿Cuantos equipos? ¿quién lo mantiene? ¿cuantos ficheros recibe al día?
Si a mí se me otorga la paternidad por haber tenido la idea y ser el precursor, la madre se llama Julio Canto (sin mariconadas). Julio lo empezó desde cero, diseñó y programó toda la parte del núcleo, las tripas de VT. La gracia está en que comenzó siendo una sóla máquina y ya entonces lo diseñó de forma muy modular y distribuida, de forma que con pocos cambios ha ido escalando muy bien a lo que es ahora, un cluster de máquinas.
El desarrollo web y temas de infraestructura de comunicaciones, redes, etc. depende de Francisco Santos, nuestro sysadmin (quinta persona en entrar en Hispasec después de los 4 socios, tiene mérito todo lo que nos ha aguantado). Desde hará un año Julio cuenta con la ayuda en programación de Alejandro Bermudez, más conocido como "Alex el playboy" por otra de sus aficiones, y desde hace un tiempo también está echando una mano Emiliano Martinez, que ha diseñado la nueva base de datos de VT y está aportando otras cosas muy interesante alrededor. Para colmo ahora se ha puesto también Victor Alvárez a hacer experimentos bastante chulos, que pronto se incorporarán, y en el último mes se ha unido al equipo Ero Carrera, al que hemos nombrado Chief Research Officer de VirusTotal. Es lo bonito de VirusTotal, todo el mundo puede aportar su granito de arena, incluido la gente que no está en Hispasec mediante traducciones, herramientas, ideas, etc., es un proyecto totalmente colaborativo.
Para mí es como un juguete, lo disfruto mucho. Intento no estorbar, pero de vez en cuando no puedo repremirme y me pongo a probar hardware o trastear con algún algoritmo nuevo, siempre pensando en temas para aumentar la velocidad de análisis (es una de mis obsesiones que Julio soporta estóicamente, yo voy rompiendo cosas y él arreglándolas). VirusTotal tiene mucho de bricolaje, tanto hardware como software, la verdad es que es muy entretenido verlo crecer.
Sobre números, ahora suele rondar los 50.000 ficheros análizados al día, lo que supone al mes cerca de 1 millón de muestras de malware recolectadas.
14.- ¿Qué sistema operativo usas en tu máquina?
Mi máquina principal es un portátil en la que paso el 90% del tiempo, y tiene un Windows XP. De sobremesa en casa tengo un Pentium 4 con un linux pero no interactúo mucho con él (tengo cosas que necesito correr 24x7, máquinas virtuales, algunas utilidades para auditorías remotas que no he visto portadas a Windows, aparte de las cosas importantes como el cliente P2P). Pero si me dieran a elegir, soy de Windows, siempre he desarrollado para plataformas Microsoft. Si encima me gustaba analizar bichos... es lógico ;)
15.- A ver... Explicanos lo de que en Hispasec se usa Ay!fon y Asterix, que son cosas muy graciosas juntas.
No puedo explicarlo, yo sólo los sufro en silencio. Lo del iPhone es cosa de Román, que nos encasquetó a todos uno, está muy bien para cualquier cosa que se te ocurra hacer, menos como teléfono, que es una castaña. Y el Asterix es cosa de Sergio, está enamorao de su "negrita", la máquina donde lo tiene corriendo y de la que está muy orgulloso porque lleva un par de años de uptime (ya caerá, cualquier día me tropiezo en el CPD). Si me pides buscar alguna relación de las dos cosas juntas, sólo se me ocurre decir que el dinero que gastamos de más con el iPhone nos lo ahorramos con el Asterix.
16.- Hispasec ha hecho 10 años, pero me imagino que no ha sido un camino de rosas... ¿Has pensado alguna vez en dedicarte a otra cosa?
Sinceramente, no. Tenemos que reconocer que gente como tú o como yo somos unos privilegiados en ese aspecto, hemos hecho de nuestro hobby nuestro trabajo y viceversa. Por decir algo que contraste... me interesa la historía e incluso más atrás, la prehistoria. Con 16 años ya ejercía de forma activa esa afición, iba con mi vespino y una botella con gasolina recorriendo los campos de la Axarquía buscando yacimientos vírgenes. Tengo una colección privada bastante interesante de herramientas del paleolítico y el calcolítico, estoy deseando que mi niña empiece a estudiar esas cosas para que pueda tocar y explicarle en vivo que es un núcleo y las lascas, un rascador, un perforador, cuchillos de pedernal, etc.
17.- Si no hubieras sido informático ... ¿a que te hubieras dedicado?. Venga, recomiendanos un libro de lectura no técnica.
Por ser consecuentes con la respuesta anterior tendría que recomendarte alguno de prehistoria, pero voy a ser más malo y recomendar uno sobre un problema de matemáticas: El enigma de Fermat. Que conste que no es una novela de ficción de Dan Brown, de esas que le encantan a Sergio, sino que es un libro de los que se podría catalogar de divulgación científica. Aunque odies las matemáticas, recomendable, Simon Singh tiene un arte especial para hacer atractivo temas en teoría duros, y consigue engancharte con la historia de como resolvió Andrew Wiles un problema que durante más de 300 años tuvo en jaque a los matemáticos. Eso es un hacker y lo demás tonterías.
18.- ¿A quién has conocido en este mundo que te haya impresionado?
¿Aparte de a tí? Tienes que reconocer que, cuando menos, impresiona ver a alguien dando una charla de seguridad disfrazado de guerrero enano del señor de los anillos. La verdad es que admiro cualidades de mucha gente. Si observas el tiempo suficiente, todo el mundo tiene algo bueno de lo que puedes aprender, y no tiene porque ser un crack de este mundillo.
Como anécdota, volviendo a mi experiencia en el centro de disminuidos psíquicos durante la prestación social sustitutoria, tuve la enorme suerte de conocer a Raúl, un chico interno. Era un adolescente, según su ficha psiquiátrica era autista, paranóico y muy agresivo, doy fe de ello porque tuve más de un incidente con él los primeros días. Los cuidadores me advirtieron que no debía intentar interactuar con él, que los psiquiatras lo habían dejado como caso perdido, que era imposible que aprendiera nada.
La historia es muy larga, como para escribir un libro, y me llevé bastantes traspiés. Pero nueve meses después Raúl había aprendido a leer y escribir, y la parte más importante se basó en una pizarra, dibujos a tiza y el juego del ahorcado, al que dedicábamos una hora todas las mañanas después de desayunar. Llegó al extremo de que no jugaba al ahorcado como es normal, intentando averiguar letra a letra, sino que intentaba resolver las palabras a la primera, del tirón. ¡Terminó ganándome!. Cuando alguien me dice que no dedique tanto tiempo seguido a algo, que duerma, o que no me caliente tanto la cabeza intentando resolver algún problema, se me viene la imagen de Raúl pegándose pequeños golpes con la cabeza en la pizarra, podía pasar de minutos a horas así, susurrando como si estuviera rezando, y finalmente escribía la solución. Puede que yo enseñara a Raúl algo, que no creo, más bien canalicé lo que probablemente ya sabía de alguna forma. Pero yo si aprendí mucho, le estoy muy agradecido, para mí es un referente de valores como la constancia o el trabajo duro.
19.- ¿Qué cojones haces leyendo esta entrevista en domingo?
Ni idea, hace tiempo que no diferencio los días de la semana.
20.- ¿Qué le recomendaría alguien como tú que quiera aprender Seguridad Informática? Recomiendanos también un libro técnico.
Curiosidad, ganas y dedicarle muchas horas. El libro ya no hace falta (cuando yo empecé "mataba" por poder leer libros de la temática), ahora tenemos la suerte de tener a mano una cosa que se llama google.
Con Bernardo siempre he tenido una sensación curiosa cuando hablas con él. He tenido la suerte de reirme y charlar con él durante alguna que otra comida o cena y siempre que le miro a los ojos puedo ver los leds parpadeando, como si indicaran que el cerebro está currando. Es de esas personas que ejercita más el microprocesador que el subsistema de E/S, de tal manera que sin ningún esfuerzo, sin solicitar una prioridad especial, cuando dice algo los demás escuchamos. Al estilo del gran Silent Bob.
El gran "B"
Bernardo es una persona excepcional a todos los niveles, como amigo, como ser humano y como técnico y quiero darles desde aquí las gracias públicamente porque sin su trabajo previo a lo mejor yo no hubiera tirado por la parte de seguriad informática y tal vez seguiría hoy en día con los Oracles y los Solaris... (¡de buena me libré!)
Disfrutad la entrevista que es verdad eso de que el sentido del humor denota inteligencia... ;)
Saludos Malignos!
1.- Venga, vamos con la publicidad al principio. Danos tres razones para comprar el libro que ha escrito "pajarraco" de los santos.
Tres son demasiadas, no voy a encontrar tantas. La única que se me ocurre es por compasión con Sergio de los Santos, el pobre se tiró dos meses amargado escribiendo porque, como suele pasar en Hispasec, siempre vamos mal de tiempo y tenía que tenerlo para la fecha del décimo aniversario. Ya en serio, le ha quedado muy apañao, me ha sorprendido el resultado. La idea de empezar cada capítulo/año con noticias y anécdotas no-informáticas está muy bien, es como si estuvieras leyendo el NODO, engancha. Particularmente lo que más me ha gustado son las entrevistas, siempre es más interesante leer las opiniones de Schneider o Kaspersky que las de nosotros mismos.
2.- Muchos de nosotros somos algo enfermos, pero... ¿cómo es posible que me contestes un mail de curro a las 4 de la mañana de un miercoles?
Mira quién habla, el que se levanta para escribir en el blog cuando yo aun ando durmiendo. Lo de trasnochar puede que sea una costumbre, una-al-día e Hispasec nacieron así, a esas horas donde nada bueno se puede hacer. En 1998 me levantaba a las 5:30 de la mañana para ir a un centro de disminuidos psíquicos. No es que estuviera ya tan mal, el centro me había tocado de prestación social sustitutoria como objetor de conciencia... vamos, que no quise hacer el servicio militar. Salía del centro a las 8:30 para entrar en mi trabajo (informática de gestión, nada excitante), salía a las 15:00 de trabajar, almorzaba algo, volvía a las 17:30 al centro de disminuidos, regresaba a casa a las 22:00 para cenar y... cuando ya no me sostenía en pie, me conectaba al IRC para hablar con Ropero a ver que sacábamos esa noche en una-al-día.
Vale, te dejo que me llames enfermo o masoca. Pero que conste en acta que soy un dormilón, me encanta... ahora comprenderás porque siempre tengo cara de sueño o de zombi.
3.- Cuando empezó una-al-día no había demasiada información con respecto a seguridad. ¿Cómo te dio por ahí?
Porque alguien dijo que no se podía hacer. En mi caso es como enseñarle a un toro un trapo rojo (en ese ejemplo yo soy el toro, prohibido chistes con la temática cuernos). una-al-día nació en una lista de discusión privada que compartíamos gente que escribía sobre seguridad en distintas revistas informáticas. Las editoriales de las revistas eran competencia entre ellas, pero nosotros no nos sentíamos compentencia, al contrario, compartíamos conocimientos. En esa lista se discutió un día sobre lo complicado que sería tener una sección fija de seguridad en una revista, dada la escasez de contenidos. A mí no se me ocurrió otra cosa que decir que era capaz de escribir una noticia por día. Se rieron.
Al día siguiente, casi de coña, envié a esa lista un mensaje con el asunto una-al-día y la primera noticia. Volví a hacerlo una segunda vez y a continuación, el tercer día, hizo lo propio Antonio Ropero sin yo haberlo pedido. A partir de ahí, como si de un pique se tratara, Ropero y yo nos íbamos turnando. Más tarde la gente se enteró de lo que estábamos haciendo y pidió recibir la una-al-día, así que decidimos hacerlo público para que cualquiera pudiera suscribirse y creamos el portal web hispasec.com.
A día de hoy se asocia mucho el nacimiento de una-al-día conmigo, pero realmente el mérito es de Ropero. En sus comienzos, cuando era más complicado, él fue mucho más constante que yo. Estoy seguro que Ropero podría haber hecho una-al-día en solitario, yo no hubiera durado ni una semana.
4.- Vale, ahora en serio. ¿qué habéis hecho con Jcea? ¿Quién lo mató y porqué nadie denuncia su desaparición a los cuerpos de seguridad?
Se rumorea que Jesús Cea es, en realidad, un ente. Aunque no lo veas, puedes sentir su presencia. Vale, de los cuatro socios de Hispasec es tal vez al que menos se le ve el pelo, pero yo siempre lo tengo a mano cuando lo necesito. Da mucha tranquilidad tener un oráculo técnico en casa, al mismo tiempo puede llegar a ser odioso. De verdad, no es posible que alguien siempre tenga respuesta para todo, sabe de todo, lo mismo te lo encuentras un día diseñando circuitos que otro te enteras que está en el equipo de desarrollo del lenguaje python, que asco de tío... (vale, lo reconozco, será envidia).
5.- ¿Qué estudiaste o en que trabajaste antes de Hispasec?
Si digo "informática" la respuesta no va a tener mucha gracia, pero es la verdad. Por alargarla un poquito me remontaré a mis orígenes y te contaré que yo iba camino de ser un caso típico de eso que llaman "fracaso escolar". La cosa pintaba mal cuando a los 3 años me diagnosticaron autismo leve, porque no hablaba nada (ahora tampoco es que hable mucho, ya sabes). Un día en casa mis padres andaban buscando un documento importante y no lo encontraban, entonces yo, que nunca había dicho una palabra, dije "está en lo alto de ese mueble". Se quedaron con cara de pasmaos, de no decir una palabra había soltado una frase (no lo recuerdo, cuando me lo cuentan bromeo diciendo que lo mismo no tuve nada importante que decir hasta aquel día). En el parvulario, a los 5 años, la cosa seguía bastante mal. Cuentan que tenían que llevarme arrastrando al colegio y, una vez allí, me negaba a hacer nada, tiraba las sillas e incluso una vez bloqueé la puerta de la clase, tuviendo que sacar a mis compañeros por la ventana. Así que me tenían al fondo del aula, medio olvidado.
El caso es que a los 6 años llegué a primero de EGB sin saber nada, ni las vocales ni un número. Afortunadamente cambié de maestra y me tocó una que apodaban la "hippy" porque era nueva y bastante moderna para aquella época, en todos los aspectos. Mi padre fue un día al colegio, a principio de curso, para hablar con la maestra a ver si yo tenía arreglo. Antes de entrar me vió por la ventana del aula desde el pasillo, estaba de espaldas sentado en las rodillas de la maestra. debió pensar: "ya la habrá vuelto a liar y ha tenido que cogerlo". Cuando entró en el aula vio que efectivamente estaba sentado en las rodillas de la maestra, pero trasteando con algo extraño. Estaba explicándole como resolver un cubo de rubick que ella había traido a clase. No se si llevó el cubo de rubick a conciencia, ni recuerdo porqué ni como empecé a resolverlo, el caso es que ella logró integrarme en el sistema y desde entonces no volví a tener ningún problema escolar, más bien al contrario. Por ejemplo, en COU, como la nota para entrar en informática en la universidad estaba un tanto alta y no las tenía todas conmigo, me dió por estudiar un poco y lo saqué con matrícula de honor. Realmente no tiene mérito, la gracia hubiera sido hacerlo sin haber estudiado.
Le estoy muy agradecido a aquella maestra "hippy". Como anécdota, a mi niña de 3 años le gusta resolver puzzles grandes, se los zampa de 60 piezas o más. Tranquilo, afortunadamente no se parece a mí en nada, es infinitamente más guapa, muy cariñosa y casca por los codos, como la madre. El caso es que en el último cumpleaños de la niña su abuelo le hizo un regalo que, al abrirlo, mi mujer se me quedó mirando con una expresión que venía a decir "tu padre no está bien de la cabeza". Él y yo nos cruzamos una mirada y sonreimos. Le había regalado un cubo de rubick.
6.- Venga, anima a la gente... ¿Es dificil analizar un malware hoy en día o lo puede hacer hasta de los Santos?
Es fácil, como casi todo en esta vida es cuestión de ganas y tiempo. Por supuesto hay distintos niveles, tanto de dificultad del malware motivo del examen como de destreza técnica y profundidad del análisis por parte de quién lo estudia. Pero, en general, yo diría que ahora es más fácil que hace unos años cuando empezaron a circular los primeros virus, entonces era todo muy artesanal. Y cuando digo todo me estoy refiriendo tanto a los creadores de virus como al trabajo de los analistas antivirus, al menos para los amateurs como yo (que conste que era analista amateur, ¡no creador!).
Recuerdo que en primero de universidad lidié con un virus y para estudiarlo tuve que infectar mi Amstrad PC-1512 a conciencia (afortunadamente no tenía disco duro, así que sólo infectaba disquetes de forma controlada). Si me preguntas que herramienta utilicé para el análisis, te diré una que aun debes tener en tu sistema Windows: el DEBUG.EXE de Microsoft. En mi caso fue el DEBUG.COM de un MS-DOS 3.2. Conté algo sobre esa anécdota hace tiempo en el blog (http://blog.hispasec.com/laboratorio/63). Ahora tienes el IDA y tropecientas herramientas más, máquinas virtuales, etc., se ha perdido un poco el romanticismo de aquella época. No significa que la nueva generación de analistas y reversing sea peor, al contrario, conozco a gente joven del mundillo con los que se me cae la baba, me dan mil vueltas... a mis treinta y pico años yo ya soy un fósil.
7.- ¿Se puede tener vida analizando malware?
Se puede tener vida y, además, te puedes ganar la vida analizando malware. Es una salida profesional muy interesante, en Hispasec nos cuesta encontrar a gente con este perfil para contratarlos, no abundan. En general cualquier especialización relacionada con la seguridad informática tiene salida, hay mucha necesidad de profesionales técnicos del sector en el mercado laboral. Aunque debo decir que yo nunca me gané la vida analizando malware, de hecho, incluso a día de hoy, a principio de cada año ya tengo planificado 6 meses con auditorías y test de penetración que aun sigo haciendo, fue por ahí por donde nos entraron los primeros ingresos en Hispasec. Para mí analizar malware siempre fue un hobby, sacaba algunas pelas publicando en revistas y tal, pero poco más. A día de hoy sí que tenemos negocio relacionado con el análisis de malware en Hispasec, es un área tan interesante como productiva.
Volviendo a la vida, hasta los creadores de virus tienen vida más allá del malware. Recuerdo que hace muchos años tuve la oportunidad de acudir a la primera (y creo que última) quedada internacional del mítico grupo 29A, que se celebró en Madrid. Por descontado yo no pertenecía a 29A, aunque hubiera sido un chico malo creo que nunca hubiera sido admitido, había demasiado nivel allí. Fui invitado por el grupo porque les gustaban mis análisis y descripciones de sus virus que hacía para la revista PC-Actual, así que no desaproveché la ocasión de poder saber más sobre todo lo que rodea a ese mundillo y los conocí en persona.
Compartí con ellos todo un día, fue una experiencia interesante. Recuerdo que durante el almuerzo, en un restaurante, comentaban trozos de código en ensamblador que escribían e intercambiaban en las servilletas de papel. O que mientras esperábamos en una cola, para subir a la montaña rusa en el parque de atracciones, dos de ellos se pusieron a interpretar directamente el volcado en hexadecimal de un virus que otro llevaba impreso en la espalda de su camiseta. Pero ese tipo de anécdotas no fue lo que me sorprendió, al fin y al cabo es lo que te puedes esperar, sino lo heterogéneo del grupo en cuanto a personalidades. Uno tiene una imagen de los creadores de virus alimentada por estereotipos que nada tiene que ver con la realidad. Resultaron ser gente muy diversa, extrovertida, lo mismo estudiantes que profesionales exitosos en sus trabajos, y no todos informáticos: desde gente que habían estudiado carreras de letras a ciencias naturales. Al fin y al cabo, gente normal y corriente, con su propia vida más allá del malware.
8.- ¿Filete con patatas o Cordero al horno con patatas panaderas?
Ésta es fácil: filete con patatas, siempre. En su defecto, si estamos en Málaga, podemos cambiar el filete con patatas por pescaito frito. Que no se diga que no tengo variedad gastronómica :p
9.- Esto.. si alguien quiere entrar a trabajar en Hispasec... ¿le haces tú la entrevista o la hace Roman siguiendo "sus criterios habituales"?
Si es chica y opta para puestos de administración o comercial, entonces puede que Román aplique sus criterios. Pero si quiere entrar en el laboratorio (donde realmente se trabaja, dicho sea de paso :p) entonces puedo hacer yo la entrevista, a no ser que se adelanten Santos o Julio... sin olvidarme de Sergio, que oficialmente le vamos a dar el puesto de director de RR.HH. (¡es un acaparador!).
Trabajar en el laboratorio de Hispasec es fácil, simplemente busco gente mejor que yo (y no es coña). No es complicado llevar un grupo de trabajo. Sólo tienes que buscar gente buena y facilitarles el trabajo. Mi única preocupación es que ellos estén a gusto y tengan los recursos que necesitan, y repartir problemas para que los resuelvan. Es importante ser consciente de que la gente que trabaja contigo puede hacer las cosas mejor que tú, el error más típico de un jefecillo es decir cómo se tienen que hacer o resolver las cosas. En trabajos técnicos la gracia está en plantear problemas y retos a tu equipo, es mucho más motivamente para todos y terminarán sorprendiendote. En el laboratorio tenemos una jerarquía muy plana o casi inexistente, según el proyecto yo puedo estar en uno o varios escalones por debajo ayudando a alguien o al menos intentando no estorbar mucho. El jefe que considere que es mejor que la gente con la que trabaja o es un necio, o hace mal su trabajo cuando recluta gente, o ambas cosas.
10.- Venga, ahora una pregunta que no te han hecho nunca... ¿Cuál es el mejor antivirus y por qué?
Tú eres un tío original, no te pega esta pregunta. No se si ser malvado y decir alguna cosa relacionada con la elección del sistema operativo... seré bueno y sacaré mi lado torero, ahí va: el mejor antivirus es el que mejor te protege adaptándose a tus circunstancias concretas. Puede sonar a obviedad, pero fíjate que no he dicho que el mejor antivirus es el que más malware detecta. Y es que algunos fabricantes antivirus tienen un problema de raíz, aun no se han enterado de que además de detectar malware el antivirus debe permitir trabajar al PC y al usuario con otros programas. Así que dependiendo de los recursos de tu sistema tal vez el mejor antivirus sea el A o el B, que no tienen porque ser el que más detecta. Por otro lado, si aceptas "sentido común" como antivirus, también se llevaría bastantes puntos en mi ranking. Tengas el antivirus que tengas siempre existe una ventana de infección más grande o pequeña y, en última instancia, el único que puede evitar la infección es el que está sentado frente al ordenador.
11.- Este año te nombraron MVP en Spectra en el área de Seguridad... ¿qué has hecho con todos los millones de dolares que te han dado?
De momento ingeniería financiera, a ver si consigo que no me haga mucha pupa en la declaración de hacienda :p
Te voy a contestar en serio a continuación. Que conste que no recuerdo exactamente el NDA que me hicieron firmar, así que lo mismo cometo algún disclosure ilegal con tu pregunta y me retiran el MVP, en cualquier caso tu habrás sido el culpable de que me lo dieran y que me lo quiten.
Vamos con el disclosure. Me enviaron a casa un paquete azul, muy bonito, que contenía: un diploma de MVP, un pin de MVP, una tarjeta de MVP (de visita, no se puede sacar dinero de los cajeros, ya les vale), la opción de suscribirme por un año al MSDN o TechNet, acceso a grupos de noticias MVP, programa de licencias de código fuente MVP y cosas así por el estilo, la opción de que algún cargo gordo de Microsoft envíe 4 "cartas de reconocimiento ejecutivo" a quién yo quiera, un obsequio "geek" consistente en unos cascos de audio muy monos con tecnología bluetooth y 150 dólares en créditos para gastar en la tienda de merchandising de Microsoft, donde te puedes comprar unas camisetas monísimas con el logotipo de Windows Vista. Por cierto, compré unos baberos con el logo de MS, la primera ropa para nuestra segunda segunda niña que tenemos encargada para el año que viene. Sospecho que sólo se hacer niñas, lo cual no es malo... seguiré investigando.
Tú que tienes más experiencia, ¿a quién hay que reclamar el tema de los millones?
12.- ¿Tendrá grelos el próximo lacon?
lacon'2008 fue una iniciativa de 48bits.com a la que se unió alguna gente de los sexy.pandas.es y demás mafia relacionada (saludos a los Tarasco y Romansoft por si me están leyendo). Básicamente un congreso de seguridad, bastante cerrado (de 20 a 30 personas), que nació más como excusa para verse las caras mientras bebían alcohol. La participación de Hispasec fue más por motivos logísticos que otra cosa, ya que sabiamente decidieron celebrarlo en Torre del Mar, lugar que está bajo nuestros dominios. La verdad es que quedó muy profesional, unas charlas con un nivel impresionante. Para el 2009 se prevé abrir la participación, ya que me consta que se quedaron gente con ganas de asistir.
Aprovechando la coyuntura, espero que podamos ver alguna charla tuya para lacon'2009... si te lo permite tu agenda o tu agente, después de la blackhat y la defcon lo mismo no te deja ir a eventos menores :p
13.- Virus Total es la caña, ¿Cual es la infraestructura para que funcione eso? ¿Cuantos equipos? ¿quién lo mantiene? ¿cuantos ficheros recibe al día?
Si a mí se me otorga la paternidad por haber tenido la idea y ser el precursor, la madre se llama Julio Canto (sin mariconadas). Julio lo empezó desde cero, diseñó y programó toda la parte del núcleo, las tripas de VT. La gracia está en que comenzó siendo una sóla máquina y ya entonces lo diseñó de forma muy modular y distribuida, de forma que con pocos cambios ha ido escalando muy bien a lo que es ahora, un cluster de máquinas.
El desarrollo web y temas de infraestructura de comunicaciones, redes, etc. depende de Francisco Santos, nuestro sysadmin (quinta persona en entrar en Hispasec después de los 4 socios, tiene mérito todo lo que nos ha aguantado). Desde hará un año Julio cuenta con la ayuda en programación de Alejandro Bermudez, más conocido como "Alex el playboy" por otra de sus aficiones, y desde hace un tiempo también está echando una mano Emiliano Martinez, que ha diseñado la nueva base de datos de VT y está aportando otras cosas muy interesante alrededor. Para colmo ahora se ha puesto también Victor Alvárez a hacer experimentos bastante chulos, que pronto se incorporarán, y en el último mes se ha unido al equipo Ero Carrera, al que hemos nombrado Chief Research Officer de VirusTotal. Es lo bonito de VirusTotal, todo el mundo puede aportar su granito de arena, incluido la gente que no está en Hispasec mediante traducciones, herramientas, ideas, etc., es un proyecto totalmente colaborativo.
Para mí es como un juguete, lo disfruto mucho. Intento no estorbar, pero de vez en cuando no puedo repremirme y me pongo a probar hardware o trastear con algún algoritmo nuevo, siempre pensando en temas para aumentar la velocidad de análisis (es una de mis obsesiones que Julio soporta estóicamente, yo voy rompiendo cosas y él arreglándolas). VirusTotal tiene mucho de bricolaje, tanto hardware como software, la verdad es que es muy entretenido verlo crecer.
Sobre números, ahora suele rondar los 50.000 ficheros análizados al día, lo que supone al mes cerca de 1 millón de muestras de malware recolectadas.
14.- ¿Qué sistema operativo usas en tu máquina?
Mi máquina principal es un portátil en la que paso el 90% del tiempo, y tiene un Windows XP. De sobremesa en casa tengo un Pentium 4 con un linux pero no interactúo mucho con él (tengo cosas que necesito correr 24x7, máquinas virtuales, algunas utilidades para auditorías remotas que no he visto portadas a Windows, aparte de las cosas importantes como el cliente P2P). Pero si me dieran a elegir, soy de Windows, siempre he desarrollado para plataformas Microsoft. Si encima me gustaba analizar bichos... es lógico ;)
15.- A ver... Explicanos lo de que en Hispasec se usa Ay!fon y Asterix, que son cosas muy graciosas juntas.
No puedo explicarlo, yo sólo los sufro en silencio. Lo del iPhone es cosa de Román, que nos encasquetó a todos uno, está muy bien para cualquier cosa que se te ocurra hacer, menos como teléfono, que es una castaña. Y el Asterix es cosa de Sergio, está enamorao de su "negrita", la máquina donde lo tiene corriendo y de la que está muy orgulloso porque lleva un par de años de uptime (ya caerá, cualquier día me tropiezo en el CPD). Si me pides buscar alguna relación de las dos cosas juntas, sólo se me ocurre decir que el dinero que gastamos de más con el iPhone nos lo ahorramos con el Asterix.
16.- Hispasec ha hecho 10 años, pero me imagino que no ha sido un camino de rosas... ¿Has pensado alguna vez en dedicarte a otra cosa?
Sinceramente, no. Tenemos que reconocer que gente como tú o como yo somos unos privilegiados en ese aspecto, hemos hecho de nuestro hobby nuestro trabajo y viceversa. Por decir algo que contraste... me interesa la historía e incluso más atrás, la prehistoria. Con 16 años ya ejercía de forma activa esa afición, iba con mi vespino y una botella con gasolina recorriendo los campos de la Axarquía buscando yacimientos vírgenes. Tengo una colección privada bastante interesante de herramientas del paleolítico y el calcolítico, estoy deseando que mi niña empiece a estudiar esas cosas para que pueda tocar y explicarle en vivo que es un núcleo y las lascas, un rascador, un perforador, cuchillos de pedernal, etc.
17.- Si no hubieras sido informático ... ¿a que te hubieras dedicado?. Venga, recomiendanos un libro de lectura no técnica.
Por ser consecuentes con la respuesta anterior tendría que recomendarte alguno de prehistoria, pero voy a ser más malo y recomendar uno sobre un problema de matemáticas: El enigma de Fermat. Que conste que no es una novela de ficción de Dan Brown, de esas que le encantan a Sergio, sino que es un libro de los que se podría catalogar de divulgación científica. Aunque odies las matemáticas, recomendable, Simon Singh tiene un arte especial para hacer atractivo temas en teoría duros, y consigue engancharte con la historia de como resolvió Andrew Wiles un problema que durante más de 300 años tuvo en jaque a los matemáticos. Eso es un hacker y lo demás tonterías.
18.- ¿A quién has conocido en este mundo que te haya impresionado?
¿Aparte de a tí? Tienes que reconocer que, cuando menos, impresiona ver a alguien dando una charla de seguridad disfrazado de guerrero enano del señor de los anillos. La verdad es que admiro cualidades de mucha gente. Si observas el tiempo suficiente, todo el mundo tiene algo bueno de lo que puedes aprender, y no tiene porque ser un crack de este mundillo.
Como anécdota, volviendo a mi experiencia en el centro de disminuidos psíquicos durante la prestación social sustitutoria, tuve la enorme suerte de conocer a Raúl, un chico interno. Era un adolescente, según su ficha psiquiátrica era autista, paranóico y muy agresivo, doy fe de ello porque tuve más de un incidente con él los primeros días. Los cuidadores me advirtieron que no debía intentar interactuar con él, que los psiquiatras lo habían dejado como caso perdido, que era imposible que aprendiera nada.
La historia es muy larga, como para escribir un libro, y me llevé bastantes traspiés. Pero nueve meses después Raúl había aprendido a leer y escribir, y la parte más importante se basó en una pizarra, dibujos a tiza y el juego del ahorcado, al que dedicábamos una hora todas las mañanas después de desayunar. Llegó al extremo de que no jugaba al ahorcado como es normal, intentando averiguar letra a letra, sino que intentaba resolver las palabras a la primera, del tirón. ¡Terminó ganándome!. Cuando alguien me dice que no dedique tanto tiempo seguido a algo, que duerma, o que no me caliente tanto la cabeza intentando resolver algún problema, se me viene la imagen de Raúl pegándose pequeños golpes con la cabeza en la pizarra, podía pasar de minutos a horas así, susurrando como si estuviera rezando, y finalmente escribía la solución. Puede que yo enseñara a Raúl algo, que no creo, más bien canalicé lo que probablemente ya sabía de alguna forma. Pero yo si aprendí mucho, le estoy muy agradecido, para mí es un referente de valores como la constancia o el trabajo duro.
19.- ¿Qué cojones haces leyendo esta entrevista en domingo?
Ni idea, hace tiempo que no diferencio los días de la semana.
20.- ¿Qué le recomendaría alguien como tú que quiera aprender Seguridad Informática? Recomiendanos también un libro técnico.
Curiosidad, ganas y dedicarle muchas horas. El libro ya no hace falta (cuando yo empecé "mataba" por poder leer libros de la temática), ahora tenemos la suerte de tener a mano una cosa que se llama google.
16 comentarios:
Un placer de entrevista, felicidades a los dos!
Peazo entrevista. Vaya pareja !!
Bernardo, totalmente de acuerdo con Chema. Has influido mucho mas de lo que te imaginas en el desarrollo de la seguridad informática en España y en muchos de sus profesinales.
Pero por encima de eso, eres un tipo con el que da gusto reunirse y charlar (aunque sea poco ;-)).
ha sido un gran placer leer esta entrevista, me habéis alegrado el día, gracias!
Este tío suena brillante.
Lo de que ejercita menos el subsistema de E/S, si lo sacas de contexto, suena hasta guarro ;)
Da gusto leer cosas así, estoy empezando en el mundo de la seguridad y motiva bastante.
Un saludo a todos!
El mejor post en mucho tiempo.
Un abrazo a ambos.
Que genio.
¡Por fin un "leak" de una foto de Bernardo! Lo que no consiga este "maligno"...
Me ha gustado la entrevista, enhorabuena, Bernardo. Ah y me lo pasé muy bien en la lacon (los de hispasec son para verlos: parecen la "brigada del botellón" -afectuosamente hablando-).
-r
Sí, ha estado muy bien.
:-)
off-topic...
Por cierto, el libro que recomienda es buenísimo. Es una pasada lo que le pasó a Andrew Wiles.
Imaginaros la presión. Un montón de años trabajando en secreto (justo lo que no hay que hacer en matemáticas), la gente pensaba que era un figura venido a menos, una promesa que no era tan brillante, pero él seguía rompiendose la cabeza sin decirle nada ni siquiera a su mujer.
Después de años presenta un paper del montón para un concreso, asiste y para la sorpresa del público presenta la resolución del teorema de Fermat (realmente no era teorema sino conjetura).
Un par de meses después otro experto conocido suyo le informa de que hay un error en una parte de la demostración. Ha hecho público todo el camino desarrollando un montón de matemáticas nuevas, pero no ha conseguido demostrar la conjetura.
Al final, su colega le ayudó y en conjunto resolvieron la parte de la demostración que era erronea. Pero Wiles estuvo al borde del suicidio.
pd: no hagas este tipo de cosas.
Resulta realmente productivo y satisface mucho leer entevistas como estas. Enhorabuena a los dos.
Muy buena entrevista chicos :).
Antes no me salía el término adecuado para esta entrevista...
Buen karma es lo que transmite.
Chema lo has bordado, me he reido, y me he culturizado.
Que personaje sera el siguiente?.
El PadreParada?
Muy buena entrevista.
Saludos!
Hola Chema, genial la entrevista, personalmente me quedo con el punto 9, que suerte tienen algunos :-(
Y aprovechando que hoy hay tanta gente de Microsoft por aquí, puede alguien aclarar/desmentir/admitir esto:
http://www.blackhat-forums.com/index.php?showtopic=7472
El post de hoy me ha alegrado la semana :)
Un saludo.
Hermosa entrevista, gracias por compartirla
Leo la entrevista y determino que es muy satisfactorio aprender de profesionales en su trabajo como ustedes, siempre es bueno aprender de los aportes de los mejores.
Gracias por compartirlo.
Publicar un comentario