lunes, septiembre 21, 2009

Entrevista a Andrés Riancho de w3af

En la Ekoparty se encargó de realizar el CTF Pre-Ekoparty y el CTF de la misma, pero Andrés Riancho es un tipo que un día dijo: "OK, me voy a programar una herramienta que me ayude a detectar y explotar las vulnerabilidades conocidas en páginas web". Y lo hizo. Así debió de nacer w3af. Una herramienta que ha ido creciendo. La primera vez que conocí la herramienta y Andrés Riancho fue en el CIBSI 2007 en Mar del Plata. Desde ese momento w3af ha entrado en el repositorio de Debian, ha crecido en número de vulnerabilidades detectadas y explotadas y hasta ha adquirido un entorno gráfico, programado por Ulises, para hacer la vida más cómoda a los amantes de los Botones.


Andrés Riancho controlando el CTF en la Ekoparty

En la ekoparty le asalté y le pedí una entrevista y esto es lo que le pregunté y lo que él me contestó.

Saludos Malignos!

1.- Vale, venga, asústanos, ¿cuántas líneas de código tiene w3af?

Esa es una pregunta que me hacen bastante seguido, y ya que esta vez va a quedar impreso, me tome el tiempo para utilizar cloc [0] y darte una respuesta exacta:

Lenguaje: Python
Archivos: 380
Líneas en blanco: 14189
Líneas de comentarios: 6443
Líneas de código: 52716

Algo muy importante en mi opinión en este proyecto, es la documentación y claridad del código, y parece que esto se ha logrado, ya que podemos ver que cada 8 líneas de código hay 1 comentario que explica que es lo que se está haciendo.

[0]http://cloc.sourceforge.net/


2.- ..Y ¿quién es Andrés Riancho? ¿De dónde eres y cómo te dio por acabar rompiendo webs?

Andrés Riancho es ahora un profesional de seguridad informática, dedicado de pleno a la seguridad en las aplicaciones Web. Llegué a esto luego de muchos años de estudiar, leer, aprender e informarme de los temas que siempre me han apasionado. La seguridad informática tiene "ese no sé que" para mí, que hace que a uno le apasione y quiera siempre saber más, lo que me ha llevado a pasar por varios empleos, hasta fundar mi propia empresa: Bonsai Information Security [1].

[1] http://www.bonsai-sec.com/


3.- Me ha llamado la atención descubrir que aquí en Argentina, entre los que se dedican a la seguridad informática no hay tanta afición al futbol, pero… ¿en tu caso es así o eres un forofo de algún equipo?

Creo que en Argentina todos son fanáticos de un equipo, eso no quiere decir que vayamos a la cancha, o veamos todos los partidos! Pero cuando vemos que ese equipo que nos gusta va a jugar contra su rival clásico de todos los tiempos, siempre queremos que nuestro equipo gane. En mi caso soy de Boca Juniors, afición pasada a mí por mi tío, quien es realmente el fanático de la familia =)

4.- RoMaNSoFt me va a matar si no le llevo su regalito por el CTF previo a la Ekoparty. ¿Cuánto tiempo ha llevado preparar el CTF que estáis realizando?

El CTF que estamos realizando en conjunto con Juliano Rizzo de Netifera [2] nos ha llevado desarrollar algo así como 4 semanas de trabajo (2 cada uno). Es un juego bastante complejo, en el cual cada usuario tiene una cuenta en un banco central, y existen bancos más pequeños que poseen las vulnerabilidades a explotar. Una vez que has encontrado una vulnerabilidad, tienes la posibilidad de transferir dinero a tu cuenta del banco central, para así subir en la tabla de posiciones.

En el caso de Ekoparty, el juego fue apasionante, y hubo mucho revuelo debido a que un equipo pudo robarle dinero al resto de los equipos (cosa que estaba permitida), y así ganar el juego.

[2] http://www.netifera.com/


5.- ¿Por qué aquí le llaman doblebetresaefe si tu programa es uvedobletresaefe?

Hehehe, es que la "w" en Argentina se dice "doble b", no "uve doble" ;)

6.- ¿Qué ha estudiado Andrés Riancho para aprender Seguridad Informática? ¿Qué les recomendarías a los jóvenes que quieran aprender?

¡Qué preguntón! Para aprender seguridad informática he leído todo lo que se me ha pasado por las manos. Cualquier paper, nota o blog post que me ha interesado, y fue publicado en security-focus, packetstorm, milw0rm, full-disclosure, etc.

Creo que más allá de las fuentes de información que he mencionado, lo más importante es tener amigos, conocidos y contactos que estén en el mismo tema, para intercambiar información y experiencias.


7.- ¿Quién te ha impresionado y te ha servido de guía en este mundo de seguridad informática?

En realidad no he identificado nunca una persona como mi modelo a seguir, más bien tomo lo mejor de cada una de ellas e intento crear mi propio estilo.

8.- Has dado la vuelta al mundo dando conferencias… ¿cuál ha sido la que más te ha gustado? ¿Cuál no debe perderse uno?

Hace poco estuve en CONFidence, Krakow, Polonia. Una gran conferencia, muy bien organizada y con alrededor de 400 asistentes. La ciudad de Krakow es hermosa, la gente es muy amistosa, y la conferencia estuvo excelente. Creo que una de las razones por la que la disfrute mucho, es que no tuve que dar una charla ;)

9.- ¿Has sido gamer? ¿Cuál es el juego que más te ha enganchado?

¡Sí! Por supuesto que pase por la etapa de gamer, en su momento jugaba mucho al Counter Strike y al Quake III. Creo que era bastante bueno... un tiempo después de no jugar pude comprobar que todavía tenía mis skills cuando le gané a un amigo y ex-compañero de trabajo al Quake III manejando el mouse con l mano izquierda ;)

10.- ¿Qué sistema operativo corre en tu máquina? ¿Un Windows Vista tal vez?

Desde hace un par de años que estoy corriendo Ubuntu. Todavía no he tenido la oportunidad de probar un Windows Vista, pero no creo que lo haga, las prestaciones que me proveen las herramientas Open Source incluidas en Ubuntu superan mis necesidades.

11.- ¿Qué ventajas tiene w3af respecto a otros escáneres de vulnerabilidades?

Es fácilmente extensible, es Open Source y posee una comunidad que te dará soporte cuando lo necesites.

12.- ¿Cómo fueron tus orígenes con la informática? ¿Qué recuerdos guardas de tus primeros ordenadores?

Mi familia es dueña de una Imprenta, y el primer ordenador con el cual tuve contacto fue el que compraron para realizar el manejo de los clientes de la empresa. Recuerdo mi abuela diciéndome que no debería usar la computadora para otras cosas que no fuesen ese sistema, ya que la iba a romper, lo cual si mal no recuerdo sucedió. Un tiempo después tuve una 286 en mi hogar, con la cual jugaba como cualquier niño =)

13.- ¿Qué tiene que saber un gallego que visite argentina para no cagarla?

No mucho, simplemente absténganse de usar la palabra "coger", ya que nosotros aquí la utilizamos como "tener sexo" y suena muy gracioso cuando alguien dice: "Me voy a coger un taxi"! jajajaj.

14.- ¿Has estado en España? ¿Qué es lo que más te ha gustado?

No, no he tenido la oportunidad de estar en España, pero si alguien me quiere invitar a una conferencia por allí, con todo gusto me hago el viaje.

15.- ¿Crees que llegará un día en que no haya páginas web con SQL Injection?

Yo creo que sí, pero esos tiempos no están cerca. Algunos pasos en la dirección correcta han sido tomados por los desarrolladores de HDIV [3], pero el framework todavía permite al usuario cometer errores e introducir vulnerabilidades de inyección SQL.

Es un cambio radical, pero creo que la única manera de lograr que las aplicaciones Web no tengan inyecciones SQL es que los lenguajes de desarrollo eliminen todas las librerías que interactúen de manera directa con la base de datos, y dejen a los desarrolladores solamente con prepared statements como opción a la hora de realizar un query a la base de datos.

[3] http://www.hdiv.org/


16.- ¿Dónde trabaja ahora Riancho? ¿Qué estás haciendo ahora mismo?

Desde inicios de este año he comenzado con mi propio emprendimiento, Bonsai Information Security [0], una empresa focalizada en la seguridad en las aplicaciones Web. Desde Bonsai proveemos de servicios de consultoría y educación a clientes de todo el mundo que aprecian la calidad del trabajo que realizamos y nuestra pasión por la seguridad informática.

17.- ¿A quién te gustaría conocer porque lo admiras?

Ahora que he fundado mi propia empresa, he comenzado a leer otro tipo de libros y a interesarme en otros ámbitos de la vida además de los técnicos. Me gustaría conocer a emprendedores como Steve Jobs, Linus Torvalds y Bill Gates. Creo que mis posibles charlas con ellos no serían sobre aspectos técnicos, pero sí sobre cómo llevar adelante un negocio y como invertir.

18.- Es difícil detectar las nuevas vulnerabilidades, ¿Cómo lo haces? ¿Qué lees para estar al día de ellas?

Sí, es bastante complicado mantenerse al día de todo lo que está sucediendo en el ambiente de la seguridad informática, por eso es que me estoy focalizando principalmente en la seguridad en las aplicaciones Web, en donde me siento más cómodo y puedo hablar con la mayoría de los investigadores que encuentran nuevos tipos de vulnerabilidades de manera directa en conferencias o por IRC.

19.- ¿Qué tres herramientas nunca faltan en tu ordenador?

1. Python
2. nmap
3. w3af


20.- ¿Te irías a vivir a otro país por trabajo o aquí estás bien?

Argentina tiene muchos problemas, pero también tiene a mis amigos de toda la vida. No sé si me iría a vivir a otro país... es algo que me he planteado un par de veces, pero todavía sigo aquí!

5 comentarios:

  1. Muy buena la entrevista.
    Saludos!

    ResponderEliminar
  2. Una entrevista muy interesante ;)

    Y otra cosa, si no existieran vulnerabilidades Web, infraestructuras no seguras..., no tendría trabajo, así que espero que sigan existiendo vulnerabilidades :D

    Un saludo!

    ResponderEliminar
  3. Hola!

    Excelente. A Andrés no lo conozco mucho, aunque sí un poco y desde la primera vez me pareció de esas personas que enseguida se le nota sus capacidades, inteligencia y humildad (lo que aumenta las dos anteriores).

    SuMMuN, disculpa mi intromisión pero estoy seguro que Andrés tendría trabajo de todas formas, aunque haciendo otra cosa. ;-)

    ResponderEliminar
  4. Excelente entrevista Andy. Te mando un saludo nene. Nos vemos en el siguiente asado ex-compañero.

    Salute

    ResponderEliminar
  5. Excelente entrevista, todo un "Behind the w3af" jajaja... solo una cosa cuando se refirio a la "W" seguramente es por la "v" y no la "b" jeje. Saludos!

    ResponderEliminar