sábado, enero 17, 2009

Entrevista a Alejandro Ramos, el “dab”

Desde el primer momento que le conocí se me vino a la cabeza una frase de un colega de Móstoles de cuando los tiempos adolescentes… “¡Qué hijoputa más salao!”. Estar charlando con él supone un reto mental, porque sus neuronas y su sentido del humor funcionan más rápidamente que los de la mayoría de la gente que conozco. Es ácido, mordaz, inteligente y hábil. Con él he aprendido a estar siempre alerta y durante unos meses escribí el blog sabiendo que me iba a revisar todas las comas, todas las capturas de pantalla y todos los datos para darme caña. Y luego hablábamos por teléfono para comentarlo. Eso sí, siempre en privado, no fueran a enterarse sus amigos y los míos que manteníamos ningún contacto…


Alejandro Ramos en una de esas "redes sociales"

Dab lleva años en esto de la seguridad informática, tanto, que si no fuera como es, podríamos decir que "peina canas" en el mundo de la seguridad informática. Conoce a casi todos los buenos y a casi todos los malos y las historias contables de lo que ha pasado (que publica en SecurityByDefault) y las no contables (que cuenta a los colegas con una cerveza descojonao).

Dirige el TigerTeam en SIA (es el del Excel y la repartición del curro), ha publicado “sus cosillas” en Unsec, en 514 y ahora, como superblogger 2.0 en SecurityByDefault.

Disfruta de la entrevista, que, para que haya polémica HE CENSUDARO.

Saludos Malignos!

1.- Tú que de pasta estás bien enterado...¿se gana pasta siendo pentester...o son cacahuetes comparada con la pasta que se levantan los responsables de cuentas?

Depende de lo bueno que seas en cada uno de los trabajos. La respuesta rápida es: estudia para comercial. La larga es que un buen-buen ¿pentester? puede cobrar más sueldo fijo que un comercial, pero estos tienen comisiones que pueden llegar a ser superiores al sueldo bruto anual de un técnico.

2.- ¿Qué es más chungo el Metasploit o las pivot tables de Excel?

Desde luego, trabajar con un excel de 1.048.577 filas.

3.- ¿Te dejaste perilla porque te confundían con el cantante de Celtas Cortos o por hacer contraste con el peinado?

Me la recomendó (ordenó) mi asesor personal de imagen. Vamos, la señora. Asi que es una guerra perdida, mejor hacer caso.

4.- Durante estos años en el "underground" (y tú tienes ya una edad) has visto mil y una peleas de hackers...¿qué es más dificil, sobrevivir a una guerra nuclear o a las putadas que te puede hacer un colega?

Nunca he presenciado una guerra nuclear, me faltan datos para responder. Lo que está claro es que los puteos hackerianos que se hacian unos a otros son siempre divertidos. Solo hay que seguir el "Hola" de los hackers, que viene siendo Full-Disclosure y esperar que gente como PHC o Perl-Underground haga de las suyas.

5.- ¿Qué putadas os habéis hecho en SIA?

Siempre que entra alguien nuevo al TigerTeam el resto del equipo trata de liarle alguna, son miticas entre otras: un phishing mediante pharming a la página de la intranet para pillar la passwd de la pki, el uso de una contraseña que alguién metió en linea de comando de un "Net use" en un servidor al que teniamos todos acceso o algunos tcpkills al MSN...

6.- Ahora en Securitybydefault estáis escribiendo periodicamente sobre hackeos memorables...¿cuál es el que más te llamó la atención?

La verdad es que muchos de los que ya hay ya publicados son impresionantes, el de Apache.org siempre lo cuento en mis clases para llegar a las conclusiones de siempre: ingenio, creatividad, suma de errores humanos, etc. Pero hay muchos otros que tenemos pendientes por publicar y que no dejarán a nadie indiferente.

7.- Tú que manejas los diagramas de “Ganz” y el “exzel” en muchos proyectos de seguridad informática... ¿se podrá ganar pasta con esto en el 2009 o la crisis nos mandará al garete?

Ganz? como el anime? ¬¬. Bueno, yo para el 2009 me estoy haciendo un curso de papiroflexia y haremos combates de aviones en papel. No, en serio, creo que se presenta un reto interesante y que una vez más los Gantt y todo lo que se genere tendrá que tener más valor que el de la competencia para seguir vendiendo como hasta ahora.

8.- Entre RoMaNSoFt y tú creo que conocéis a casi todos los que trabajan en seguridad informática en este país... ¿quiénes son los que más te han impresionado?

Lo curioso de todo esto es que impresionan muchísimas personas, no hace falta ni que trabaje en seguridad. La realidad es que todo el mundo tiene algo que aportar. Es impresionante todo lo que aprendo a diario con los compañeros del TigerTeam de SIA. Históricamente, leer código o hablar con ellos no deja indiferente, gente como ICEHOUSE, Pci, dreyer, Jfs, |savage|, ilo--, y algunos cientos más. Sin olvidar, que nunca olvidaremos, a Doing.

9.- Cuando entrevistas a alguien para entrar a trabajar en el departamento de seguridad y pentesting... ¿qué es en lo primero que te fijas?

En la prueba técnica que hacen y me dan antes de entrar a la entrevista. Luego realmente con 4-5 preguntas es suficiente para saber si es bueno o forma parte del vaporware. Realmente siempre se busca gente con ganas, capacidades y aptitudes, que sepa hablar delante de un cliente, y no el masca autista con camiseta de rootshell.com y que programa en ensamblador mientras defeca. Eso ya se lo enseñamos nosotros.

10.- ¿cómo empezaste en la seguridad informática?

Por temas de warez acabé en IRC, allí donde más gente había era en canales como sexo o hackers, y en ese momento como era un pipiolo me atrajo más lo menos obvio. Luego vas conociendo gente que ya vienen de vuelta y bueno... a base de tortas, algunas muy dolorosas.

11.- 514 se fue y apareció Securitybydefault a lo grande. Bots en Msn, Bots para Google, SBD en Facebook, ¿para cuándo una Securitybydefauzzzz en ay!fon?

Ojo, no me considero iDork para nada. además con los navegadores móviles de hoy en día, lectores de noticias como el que ofrece Google Reader (y que ya ofrece facilidades móviles) no creo que esta sea una prioridad.

12.- ¿Qué es lo que menos te gusta de los blogs en España?

Los colores.

13.- Hace algo más de un año apareció por Internet rulando un home perdido... ¿Nos cuentas la historia?

Pufff, como no seas más concreto... Si te refieres al de Mitnick tenias que haberle preguntado a él cuando vino a España :D

14.- Algo menos polémico... ¿Linux o Windows?

Me faltan datos para responder, ¿estación de trabajo u ofrecer servicios? Si es estación de trabajo: ¿qué sistemas componen la red? ¿qué aplicaciones se pretenden utilizar, ofimática, diseño gráfico, programación? ¿Si es para un servidor, ¿qué servicios? una página web. ¿en qué lenguaje está programada, en php, en asp, en jsp? Podría seguir mucho más, pero como no tengo respuestas, me llevaría demasiado ponerlas todas. Imagino que esperas más bien que uso yo, como estación de trabajo un Vista, eso sí, tengo un servidor dedicado al que tengo permanentemente un ssh lanzado y con el que hago el 50% de las tareas y es una Fedora.

15.- ¿Qué le recomendarías a alguien que quiera empezar en seguridad informática?

Lo típico: empeño, estudiar, borrar el WoW y esas cosas.

16.- ¿Vives enganchado a Internet o eres de esos afortunados que tienen Sexo?

Tengo sexo, previo pago mediante paypal en webs que generalmente son filtradas por los proxy de inspección de contenido.

17.- Ahora que no nos oye nadie... ¿A quién (exceptuándome a mi) le quitarías el carné de blogger?

Creo que a nadie, con poder elegir no leerlo me conformo. Lo que si me gustaría es que hubiera un enlace bajo algunas entradas donde te pudieran devolver el tiempo perdido leyendo eso. Lo siento Chema, no voy a decir [*CENSORED*], aunque sé que te gustaría.

18.- ¿Hay que dedicarle muchas horas a la seguridad informática para estar al día?

No, con 25 al día es suficiente. Aunque es cierto que hay gente que con sus 8 horas laborales les llega.

19.- Tú que eres otro de esos afortunados que se ha visto completa la serie de Los Soprano... ¿quién está más buena, Adriana, la novia Yonki que se echa Christopher o la vendedora de coches que se cepilla (en sentido figurado) Tony?

Adriana haciendo de la hermana golfa en el spinoff de Friends "Joey", que ya se había puesto las peras.

20.- Respuesta libre (3 puntos): La seguridad informática es...

Aquí cito una frase de mi amigo Crg: "Lo que hace que tarde 15, en vez de 5 minutos en petarte tu pc".

17 comentarios:

  1. Aquí cito una frase de mi amigo Crg: "Lo que hace que tarde 15, en vez de 5 minutos en petarte tu pc".

    Esa frase me ha llegado Alejandro :)

    Muy buena entrevista, sigue así con SbD, estais haciendo un gran trabajo

    Un saludo

    ResponderEliminar
  2. Muy buena la entrevista.
    Saludos!

    ResponderEliminar
  3. Muy bueno me reído mucho con esta entrevista

    ResponderEliminar
  4. "15.- ¿Qué le recomendarías a alguien que quiera empezar en seguridad informática?

    Lo típico: empeño, estudiar, borrar el WoW y esas cosas."

    Me siento identificado! :P

    ResponderEliminar
  5. No hace falta borrar el WoW para dedicarse a esto ¬¬....

    \o/ dab FTW

    ResponderEliminar
  6. Un tipo muy cool

    ResponderEliminar
  7. Gran entrevista.

    P.D: pierde 5 minutillos y mirate esto noubuntu.org
    No tiene desperdicio, eso si que es generar comentarios!! :)

    ResponderEliminar
  8. Benditas actualizaciones... Es lo que tiene usar software legal

    /T.Sur

    ResponderEliminar
  9. Joder, ahora que me iba a instalar el WoW :( .

    Buena entrevista chicos :).

    /OzoNe

    ResponderEliminar
  10. Yo creo que dijo [*CENSORED*], ouch.

    ResponderEliminar
  11. Mi XP es totalmte ilegal y está actualizado de este Martes.

    Estos de microsoft son unos salaos. :)

    Ahh... ¿Hay particulares que pagaron por XP? Y no me refiero a "comprarlo" con equipos nuevos :D

    ResponderEliminar
  12. A3, telemadrid, blogs 2.0 ... jolibud te espera :P

    ResponderEliminar
  13. Don Alejandro, un JRANDE.

    Tuve el honor de conocerle en SIA, y, verdaderamente, es un gran profesional encerrado en una gran persona.

    ResponderEliminar
  14. @frame, digo @anónimo, A3 no, que no se cuantas veces decirtelo, salvo que yo no me haya enterado }:> eso si, yo me iba a jolivuz encantado.

    @Il Venturetto, muchas gracias!! un abrazo muy fuerte.

    ResponderEliminar
  15. No lo comprometiste para comentar sobre su libro Chema!

    buen tio el Alejandro.

    ResponderEliminar
  16. Me suenan varios nicks de canales del hispano unos cuantos años atrás. Genial entrevista!

    ResponderEliminar