Desde el primer momento que le conocí se me vino a la cabeza una frase de un colega de Móstoles de cuando los tiempos adolescentes… “¡Qué hijoputa más salao!”. Estar charlando con él supone un reto mental, porque sus neuronas y su sentido del humor funcionan más rápidamente que los de la mayoría de la gente que conozco. Es ácido, mordaz, inteligente y hábil. Con él he aprendido a estar siempre alerta y durante unos meses escribí el blog sabiendo que me iba a revisar todas las comas, todas las capturas de pantalla y todos los datos para darme caña. Y luego hablábamos por teléfono para comentarlo. Eso sí, siempre en privado, no fueran a enterarse sus amigos y los míos que manteníamos ningún contacto…
Alejandro Ramos en una de esas "redes sociales"
Dab lleva años en esto de la seguridad informática, tanto, que si no fuera como es, podríamos decir que "peina canas" en el mundo de la seguridad informática. Conoce a casi todos los buenos y a casi todos los malos y las historias contables de lo que ha pasado (que publica en SecurityByDefault) y las no contables (que cuenta a los colegas con una cerveza descojonao).
Dirige el TigerTeam en SIA (es el del Excel y la repartición del curro), ha publicado “sus cosillas” en Unsec, en 514 y ahora, como superblogger 2.0 en SecurityByDefault.
Disfruta de la entrevista, que, para que haya polémica HE CENSUDARO.
Saludos Malignos!
1.- Tú que de pasta estás bien enterado...¿se gana pasta siendo pentester...o son cacahuetes comparada con la pasta que se levantan los responsables de cuentas?
Depende de lo bueno que seas en cada uno de los trabajos. La respuesta rápida es: estudia para comercial. La larga es que un buen-buen ¿pentester? puede cobrar más sueldo fijo que un comercial, pero estos tienen comisiones que pueden llegar a ser superiores al sueldo bruto anual de un técnico.
2.- ¿Qué es más chungo el Metasploit o las pivot tables de Excel?
Desde luego, trabajar con un excel de 1.048.577 filas.
3.- ¿Te dejaste perilla porque te confundían con el cantante de Celtas Cortos o por hacer contraste con el peinado?
Me la recomendó (ordenó) mi asesor personal de imagen. Vamos, la señora. Asi que es una guerra perdida, mejor hacer caso.
4.- Durante estos años en el "underground" (y tú tienes ya una edad) has visto mil y una peleas de hackers...¿qué es más dificil, sobrevivir a una guerra nuclear o a las putadas que te puede hacer un colega?
Nunca he presenciado una guerra nuclear, me faltan datos para responder. Lo que está claro es que los puteos hackerianos que se hacian unos a otros son siempre divertidos. Solo hay que seguir el "Hola" de los hackers, que viene siendo Full-Disclosure y esperar que gente como PHC o Perl-Underground haga de las suyas.
5.- ¿Qué putadas os habéis hecho en SIA?
Siempre que entra alguien nuevo al TigerTeam el resto del equipo trata de liarle alguna, son miticas entre otras: un phishing mediante pharming a la página de la intranet para pillar la passwd de la pki, el uso de una contraseña que alguién metió en linea de comando de un "Net use" en un servidor al que teniamos todos acceso o algunos tcpkills al MSN...
6.- Ahora en Securitybydefault estáis escribiendo periodicamente sobre hackeos memorables...¿cuál es el que más te llamó la atención?
La verdad es que muchos de los que ya hay ya publicados son impresionantes, el de Apache.org siempre lo cuento en mis clases para llegar a las conclusiones de siempre: ingenio, creatividad, suma de errores humanos, etc. Pero hay muchos otros que tenemos pendientes por publicar y que no dejarán a nadie indiferente.
7.- Tú que manejas los diagramas de “Ganz” y el “exzel” en muchos proyectos de seguridad informática... ¿se podrá ganar pasta con esto en el 2009 o la crisis nos mandará al garete?
Ganz? como el anime? ¬¬. Bueno, yo para el 2009 me estoy haciendo un curso de papiroflexia y haremos combates de aviones en papel. No, en serio, creo que se presenta un reto interesante y que una vez más los Gantt y todo lo que se genere tendrá que tener más valor que el de la competencia para seguir vendiendo como hasta ahora.
8.- Entre RoMaNSoFt y tú creo que conocéis a casi todos los que trabajan en seguridad informática en este país... ¿quiénes son los que más te han impresionado?
Lo curioso de todo esto es que impresionan muchísimas personas, no hace falta ni que trabaje en seguridad. La realidad es que todo el mundo tiene algo que aportar. Es impresionante todo lo que aprendo a diario con los compañeros del TigerTeam de SIA. Históricamente, leer código o hablar con ellos no deja indiferente, gente como ICEHOUSE, Pci, dreyer, Jfs, |savage|, ilo--, y algunos cientos más. Sin olvidar, que nunca olvidaremos, a Doing.
9.- Cuando entrevistas a alguien para entrar a trabajar en el departamento de seguridad y pentesting... ¿qué es en lo primero que te fijas?
En la prueba técnica que hacen y me dan antes de entrar a la entrevista. Luego realmente con 4-5 preguntas es suficiente para saber si es bueno o forma parte del vaporware. Realmente siempre se busca gente con ganas, capacidades y aptitudes, que sepa hablar delante de un cliente, y no el masca autista con camiseta de rootshell.com y que programa en ensamblador mientras defeca. Eso ya se lo enseñamos nosotros.
10.- ¿cómo empezaste en la seguridad informática?
Por temas de warez acabé en IRC, allí donde más gente había era en canales como sexo o hackers, y en ese momento como era un pipiolo me atrajo más lo menos obvio. Luego vas conociendo gente que ya vienen de vuelta y bueno... a base de tortas, algunas muy dolorosas.
11.- 514 se fue y apareció Securitybydefault a lo grande. Bots en Msn, Bots para Google, SBD en Facebook, ¿para cuándo una Securitybydefauzzzz en ay!fon?
Ojo, no me considero iDork para nada. además con los navegadores móviles de hoy en día, lectores de noticias como el que ofrece Google Reader (y que ya ofrece facilidades móviles) no creo que esta sea una prioridad.
12.- ¿Qué es lo que menos te gusta de los blogs en España?
Los colores.
13.- Hace algo más de un año apareció por Internet rulando un home perdido... ¿Nos cuentas la historia?
Pufff, como no seas más concreto... Si te refieres al de Mitnick tenias que haberle preguntado a él cuando vino a España :D
14.- Algo menos polémico... ¿Linux o Windows?
Me faltan datos para responder, ¿estación de trabajo u ofrecer servicios? Si es estación de trabajo: ¿qué sistemas componen la red? ¿qué aplicaciones se pretenden utilizar, ofimática, diseño gráfico, programación? ¿Si es para un servidor, ¿qué servicios? una página web. ¿en qué lenguaje está programada, en php, en asp, en jsp? Podría seguir mucho más, pero como no tengo respuestas, me llevaría demasiado ponerlas todas. Imagino que esperas más bien que uso yo, como estación de trabajo un Vista, eso sí, tengo un servidor dedicado al que tengo permanentemente un ssh lanzado y con el que hago el 50% de las tareas y es una Fedora.
15.- ¿Qué le recomendarías a alguien que quiera empezar en seguridad informática?
Lo típico: empeño, estudiar, borrar el WoW y esas cosas.
16.- ¿Vives enganchado a Internet o eres de esos afortunados que tienen Sexo?
Tengo sexo, previo pago mediante paypal en webs que generalmente son filtradas por los proxy de inspección de contenido.
17.- Ahora que no nos oye nadie... ¿A quién (exceptuándome a mi) le quitarías el carné de blogger?
Creo que a nadie, con poder elegir no leerlo me conformo. Lo que si me gustaría es que hubiera un enlace bajo algunas entradas donde te pudieran devolver el tiempo perdido leyendo eso. Lo siento Chema, no voy a decir [*CENSORED*], aunque sé que te gustaría.
18.- ¿Hay que dedicarle muchas horas a la seguridad informática para estar al día?
No, con 25 al día es suficiente. Aunque es cierto que hay gente que con sus 8 horas laborales les llega.
19.- Tú que eres otro de esos afortunados que se ha visto completa la serie de Los Soprano... ¿quién está más buena, Adriana, la novia Yonki que se echa Christopher o la vendedora de coches que se cepilla (en sentido figurado) Tony?
Adriana haciendo de la hermana golfa en el spinoff de Friends "Joey", que ya se había puesto las peras.
20.- Respuesta libre (3 puntos): La seguridad informática es...
Aquí cito una frase de mi amigo Crg: "Lo que hace que tarde 15, en vez de 5 minutos en petarte tu pc".
Alejandro Ramos en una de esas "redes sociales"
Dab lleva años en esto de la seguridad informática, tanto, que si no fuera como es, podríamos decir que "peina canas" en el mundo de la seguridad informática. Conoce a casi todos los buenos y a casi todos los malos y las historias contables de lo que ha pasado (que publica en SecurityByDefault) y las no contables (que cuenta a los colegas con una cerveza descojonao).
Dirige el TigerTeam en SIA (es el del Excel y la repartición del curro), ha publicado “sus cosillas” en Unsec, en 514 y ahora, como superblogger 2.0 en SecurityByDefault.
Disfruta de la entrevista, que, para que haya polémica HE CENSUDARO.
Saludos Malignos!
1.- Tú que de pasta estás bien enterado...¿se gana pasta siendo pentester...o son cacahuetes comparada con la pasta que se levantan los responsables de cuentas?
Depende de lo bueno que seas en cada uno de los trabajos. La respuesta rápida es: estudia para comercial. La larga es que un buen-buen ¿pentester? puede cobrar más sueldo fijo que un comercial, pero estos tienen comisiones que pueden llegar a ser superiores al sueldo bruto anual de un técnico.
2.- ¿Qué es más chungo el Metasploit o las pivot tables de Excel?
Desde luego, trabajar con un excel de 1.048.577 filas.
3.- ¿Te dejaste perilla porque te confundían con el cantante de Celtas Cortos o por hacer contraste con el peinado?
Me la recomendó (ordenó) mi asesor personal de imagen. Vamos, la señora. Asi que es una guerra perdida, mejor hacer caso.
4.- Durante estos años en el "underground" (y tú tienes ya una edad) has visto mil y una peleas de hackers...¿qué es más dificil, sobrevivir a una guerra nuclear o a las putadas que te puede hacer un colega?
Nunca he presenciado una guerra nuclear, me faltan datos para responder. Lo que está claro es que los puteos hackerianos que se hacian unos a otros son siempre divertidos. Solo hay que seguir el "Hola" de los hackers, que viene siendo Full-Disclosure y esperar que gente como PHC o Perl-Underground haga de las suyas.
5.- ¿Qué putadas os habéis hecho en SIA?
Siempre que entra alguien nuevo al TigerTeam el resto del equipo trata de liarle alguna, son miticas entre otras: un phishing mediante pharming a la página de la intranet para pillar la passwd de la pki, el uso de una contraseña que alguién metió en linea de comando de un "Net use" en un servidor al que teniamos todos acceso o algunos tcpkills al MSN...
6.- Ahora en Securitybydefault estáis escribiendo periodicamente sobre hackeos memorables...¿cuál es el que más te llamó la atención?
La verdad es que muchos de los que ya hay ya publicados son impresionantes, el de Apache.org siempre lo cuento en mis clases para llegar a las conclusiones de siempre: ingenio, creatividad, suma de errores humanos, etc. Pero hay muchos otros que tenemos pendientes por publicar y que no dejarán a nadie indiferente.
7.- Tú que manejas los diagramas de “Ganz” y el “exzel” en muchos proyectos de seguridad informática... ¿se podrá ganar pasta con esto en el 2009 o la crisis nos mandará al garete?
Ganz? como el anime? ¬¬. Bueno, yo para el 2009 me estoy haciendo un curso de papiroflexia y haremos combates de aviones en papel. No, en serio, creo que se presenta un reto interesante y que una vez más los Gantt y todo lo que se genere tendrá que tener más valor que el de la competencia para seguir vendiendo como hasta ahora.
8.- Entre RoMaNSoFt y tú creo que conocéis a casi todos los que trabajan en seguridad informática en este país... ¿quiénes son los que más te han impresionado?
Lo curioso de todo esto es que impresionan muchísimas personas, no hace falta ni que trabaje en seguridad. La realidad es que todo el mundo tiene algo que aportar. Es impresionante todo lo que aprendo a diario con los compañeros del TigerTeam de SIA. Históricamente, leer código o hablar con ellos no deja indiferente, gente como ICEHOUSE, Pci, dreyer, Jfs, |savage|, ilo--, y algunos cientos más. Sin olvidar, que nunca olvidaremos, a Doing.
9.- Cuando entrevistas a alguien para entrar a trabajar en el departamento de seguridad y pentesting... ¿qué es en lo primero que te fijas?
En la prueba técnica que hacen y me dan antes de entrar a la entrevista. Luego realmente con 4-5 preguntas es suficiente para saber si es bueno o forma parte del vaporware. Realmente siempre se busca gente con ganas, capacidades y aptitudes, que sepa hablar delante de un cliente, y no el masca autista con camiseta de rootshell.com y que programa en ensamblador mientras defeca. Eso ya se lo enseñamos nosotros.
10.- ¿cómo empezaste en la seguridad informática?
Por temas de warez acabé en IRC, allí donde más gente había era en canales como sexo o hackers, y en ese momento como era un pipiolo me atrajo más lo menos obvio. Luego vas conociendo gente que ya vienen de vuelta y bueno... a base de tortas, algunas muy dolorosas.
11.- 514 se fue y apareció Securitybydefault a lo grande. Bots en Msn, Bots para Google, SBD en Facebook, ¿para cuándo una Securitybydefauzzzz en ay!fon?
Ojo, no me considero iDork para nada. además con los navegadores móviles de hoy en día, lectores de noticias como el que ofrece Google Reader (y que ya ofrece facilidades móviles) no creo que esta sea una prioridad.
12.- ¿Qué es lo que menos te gusta de los blogs en España?
Los colores.
13.- Hace algo más de un año apareció por Internet rulando un home perdido... ¿Nos cuentas la historia?
Pufff, como no seas más concreto... Si te refieres al de Mitnick tenias que haberle preguntado a él cuando vino a España :D
14.- Algo menos polémico... ¿Linux o Windows?
Me faltan datos para responder, ¿estación de trabajo u ofrecer servicios? Si es estación de trabajo: ¿qué sistemas componen la red? ¿qué aplicaciones se pretenden utilizar, ofimática, diseño gráfico, programación? ¿Si es para un servidor, ¿qué servicios? una página web. ¿en qué lenguaje está programada, en php, en asp, en jsp? Podría seguir mucho más, pero como no tengo respuestas, me llevaría demasiado ponerlas todas. Imagino que esperas más bien que uso yo, como estación de trabajo un Vista, eso sí, tengo un servidor dedicado al que tengo permanentemente un ssh lanzado y con el que hago el 50% de las tareas y es una Fedora.
15.- ¿Qué le recomendarías a alguien que quiera empezar en seguridad informática?
Lo típico: empeño, estudiar, borrar el WoW y esas cosas.
16.- ¿Vives enganchado a Internet o eres de esos afortunados que tienen Sexo?
Tengo sexo, previo pago mediante paypal en webs que generalmente son filtradas por los proxy de inspección de contenido.
17.- Ahora que no nos oye nadie... ¿A quién (exceptuándome a mi) le quitarías el carné de blogger?
Creo que a nadie, con poder elegir no leerlo me conformo. Lo que si me gustaría es que hubiera un enlace bajo algunas entradas donde te pudieran devolver el tiempo perdido leyendo eso. Lo siento Chema, no voy a decir [*CENSORED*], aunque sé que te gustaría.
18.- ¿Hay que dedicarle muchas horas a la seguridad informática para estar al día?
No, con 25 al día es suficiente. Aunque es cierto que hay gente que con sus 8 horas laborales les llega.
19.- Tú que eres otro de esos afortunados que se ha visto completa la serie de Los Soprano... ¿quién está más buena, Adriana, la novia Yonki que se echa Christopher o la vendedora de coches que se cepilla (en sentido figurado) Tony?
Adriana haciendo de la hermana golfa en el spinoff de Friends "Joey", que ya se había puesto las peras.
20.- Respuesta libre (3 puntos): La seguridad informática es...
Aquí cito una frase de mi amigo Crg: "Lo que hace que tarde 15, en vez de 5 minutos en petarte tu pc".
Aquí cito una frase de mi amigo Crg: "Lo que hace que tarde 15, en vez de 5 minutos en petarte tu pc".
ResponderEliminarEsa frase me ha llegado Alejandro :)
Muy buena entrevista, sigue así con SbD, estais haciendo un gran trabajo
Un saludo
Muy buena la entrevista.
ResponderEliminarSaludos!
Muy bueno me reído mucho con esta entrevista
ResponderEliminar"15.- ¿Qué le recomendarías a alguien que quiera empezar en seguridad informática?
ResponderEliminarLo típico: empeño, estudiar, borrar el WoW y esas cosas."
Me siento identificado! :P
No hace falta borrar el WoW para dedicarse a esto ¬¬....
ResponderEliminar\o/ dab FTW
Un tipo muy cool
ResponderEliminarGran entrevista.
ResponderEliminarP.D: pierde 5 minutillos y mirate esto noubuntu.org
No tiene desperdicio, eso si que es generar comentarios!! :)
Maldito gusano!!! infecta Windows...
ResponderEliminarMala noticia.
Buena entrevista.
Benditas actualizaciones... Es lo que tiene usar software legal
ResponderEliminar/T.Sur
Joder, ahora que me iba a instalar el WoW :( .
ResponderEliminarBuena entrevista chicos :).
/OzoNe
Yo creo que dijo [*CENSORED*], ouch.
ResponderEliminarMi XP es totalmte ilegal y está actualizado de este Martes.
ResponderEliminarEstos de microsoft son unos salaos. :)
Ahh... ¿Hay particulares que pagaron por XP? Y no me refiero a "comprarlo" con equipos nuevos :D
A3, telemadrid, blogs 2.0 ... jolibud te espera :P
ResponderEliminarDon Alejandro, un JRANDE.
ResponderEliminarTuve el honor de conocerle en SIA, y, verdaderamente, es un gran profesional encerrado en una gran persona.
@frame, digo @anónimo, A3 no, que no se cuantas veces decirtelo, salvo que yo no me haya enterado }:> eso si, yo me iba a jolivuz encantado.
ResponderEliminar@Il Venturetto, muchas gracias!! un abrazo muy fuerte.
No lo comprometiste para comentar sobre su libro Chema!
ResponderEliminarbuen tio el Alejandro.
Me suenan varios nicks de canales del hispano unos cuantos años atrás. Genial entrevista!
ResponderEliminar