martes, enero 25, 2011

Entrevista a Lorenzo de SecurityByDefault

Lorenzo Martinez es otro descubrimiento vía mi "enamigo" Dab. Lo descubrí leyendo sus artículos antes de ponerle cara y sonrisa - Lorenzo siempre se está riendo, es una cara amiga en cualquier sitio -. Cuando lo conocí en persona y le vi con traje y corbata me dije "no puede ser, este tipo no puede ser el freak este que me tira los posts con los scripts", pero sí, resultó ser él. Un consultor-preventa-freak enamorado de la tecnología, divertido y que lo mismo te monta un firewall que te hackea la aspiradora.


Lorenzo Martínez, sonriendo, como siempre };)

Escribe en SecurityByDefault desde el principio, ya que es uno de los que se montó en proyecto junto a Yago, Dab y Guachi, y tenía una deuda moral conmigo que me obligaba a hacerle una entrevista que me permitiera saber mucho más de él ya que me sorporendió mucho verle la dedicación que el puso en la BlackHat Europa 2010.

Allí, mientras yo me afanaba por hacer una fiesta con los guiris llegados de ultramar, el se twitteo todas las charlas e hizo un reporte que aún uso de apuntes para buscar las herramientas y los conceptos de las presentaciones que ví yo. Es incansable. Puedes seguir a Lorenzo en Twitter.

Lorenzo, gracias por someterte a esta entrevista y sigue haciéndolo tan bien como lo haces siempre.

Saludos Malignos!

1.- Vale, ¿no es estar muy enfermo meterse a hackear una aspiradora?

La culpa es de mi médico que creía que la dosis de las pastillas para mi tratamiento estaba bien dimensionada. ¡Por lo visto no era así y tuve una recaída! :D Hablando más en serio, desde pequeño me gustó conocer el funcionamiento interno de las cosas. Quizá mi enfermedad sea integrar todo aquello que tengo en casa de manera que pueda ser gestionado de forma remota.

En el caso de la Roomba, mi idea es que en base a si estoy o no en casa, dentro de un horario aceptable para pasar la aspiradora, dependiendo de cuánto rato haya estado funcionando en el día, el estado de carga de la batería, etc,... sea mi casa quien le mande la orden a la Roomba de salir a dejarlo todo como una patena

Lo mismo me pasó con el aire acondicionado de casa, vía Internet puedo cambiar la temperatura de cada habitación e incluso temporizarlo para que mi robot de Gtalk sea quien se encargue de mantener una temperatura adecuada para cuando vuelva :D ¿Es grave esto doctor? No obstante, tengo pensada algún otro invento Macgyverano que espero poder publicar pronto.


2.- Cuéntanos, ¿quién es Lorenzo? ¿Qué has estudiado?

Lorenzo es principalmente un tío con gran curiosidad en el mundo de la seguridad informática y las redes. Soy ingeniero en informática por la Universidad de Deusto (ESIDE) que, como sé que te leen, aprovecho para mandarles un saludo desde aquí. Ya mi proyecto de fin de carrera fue enfocado a Seguridad y Redes. Con él vi que me gustaba, que se me daba bien, y tuve la suerte de empezar mi vida profesional en uno de los integradores más conocidos de seguridad del mercado español. Me dediqué a seguridad perimetral (cortafuegos, IDs, antivirus, VPNs, etc...), de ahí salté a ONO, donde tuve el placer de conocer y trabajar con Yago y empezó mi labor de dedicación a la consultoría de seguridad informática. Actualmente trabajo como preventa y responsable técnico para España y Portugal en un fabricante francés de cortafuegos de aplicaciones web o WAF (Web Application Firewalls).

3.- ¿Hay un freak dentro de ti? ¿Cuáles son tus hobbies?

¡Uy!, ¿pero después de lo de la aspiradora aún lo dudas? Aparte de la seguridad, me apasiona el mundo del motor, la velocidad, el sonido de cualquier cosa de más de 300 CVs gasolina me fascina. Así pues, no es de extrañar que en las tabs de mi Firefox (lo siento Chema ;D) se puedan ver varias tabs de foros de marcas de coches (antes Audi y ahora BMW) y en mi lector de RSS compartan escenario un montón de feeds de seguridad, tecnología e Internet, con otras de Fórmula 1, novedades y cotilleo de paddock. Otros hobbies en los que intento dejar el PC apagado y en casa es viajar, podrían contratarme para ser reportero de Callejeros Viajeros o Planeta Finito. ¡Cuando me voy de viaje a una ciudad, no puedo dejar ni una sola calle sin ver!

4.- ¿Cómo te involucraste con el proyecto de SecurityByDefault?

Pues todo empezó en una de esas veces que quedamos a cenar Yago y yo. Hablando de las cosas con las que nos tocaba pegarnos a diario, se me ocurrió decirle: "Este tipo de cosas deberíamos escribirlas en algún sitio...". A lo que él contestó: "Sí, ¡en un blog! Yo llevo dándole vueltas a eso hace tiempo y tengo hasta el nombre pensado: Security by Default". Y así fue cómo Yago lió también a grandes profesionales de la seguridad como Dab y Guachi para que empezásemos en esta loca aventura en la que ya llevamos casi 3 años.

5.- ¿Cuáles son los 3 posts de los que has escrito que más te gustan?

Si tuviese que elegir, supongo que me quedaría con:

* Hacking Roomba
* Experiencias graciosas de un consultor de seguridad
* ¿Conoces los límites de Twitter?


6.- Sé que eres lector, así que recomiéndanos 3 libros de ciencia ficción.

La verdad es que intento evadirme de lectura excesivamente técnica, aunque, como es normal, al final termino liándome con algún manual. Lo más cercano a la ciencia ficción que puedo decirte es que disfruté mucho con la saga de Crónicas Vampíricas de Anne Rice, pero realmente me gustan otro tipo de temáticas más ligeras, novelas de Katherine Neville, John Grisham o Dan Brown y me chiflan las de misterio como demuestra mi estantería repleta de novelas de Agatha Christie.

7.- ¿Qué sistema operativo usas y qué herramientas no faltan nunca en él? y ya que estamos... ¿qué teléfono móvil?

Pues desde el 2003, y fundamentalmente gracias a la ilusión y motivación que me dio Yago para ello, pasé de mi cómoda vida con Windows 2000 a saber qué está haciendo un sistema por debajo con Linux (Red Hat y Fedora en aquellos tiempos). Así estuve hasta que por 2008 hice un nuevo switch, esta vez a Mac OS X. Desde ese momento, he seguido con Mac y con CentOS en casa, y Windows en máquinas virtuales.

Herramientas que no me faltan, pues de gestión la suite de Mozilla: Thunderbird, Firefox (con un montón de extensiones típicas para auditoría web) y Sunbird; y como herramientas, utilizo distribuciones livecd en máquinas virtuales que llevo siempre listas (wifislax, mi Samurai-backtrackizada y otras con entornos web vulnerables como HacmeBank o Webgoat.

Móviles he tenido desde Nokias hasta un par de smartphones con Windows Mobile, incluso una Ipaq 5550 que migré a una Familiar Linux poniendo en riesgo su integridad, y actualmente como bien puedes imaginar, tengo un Iphone 4 (además de un 2G y un 3G firmado por Steve Wozniak)


8.- ¿A quién has conocido en este mundo de la seguridad informática que te haya impresionado?

A nivel nacional, a mucha gente interesante, empezando por mis propios compañeros de blog, Vierito5, Tuxed, Reversemode, Fermín Serna aka zhodiac, Jselvi, el Maligno!... (espera que miro el gtalk y te digo más :D)

Y a nivel internacional, fue un honor entrevistar a Joanna Rutkowska en la Campus Europe 2010 para TVE (una pena que la entrevista se perdiera en algún limbo y nunca la publicaran), irnos de cena con Stefano di Paola y Luca Carettoni, entrevistar a Steve Wozniak en Campus Party Valencia 2010, para un mac-ero convencido como yo, también fue algo muy emotivo, o Bruce Schneier en un Security Blogger Summit.

9.- ¿Qué blogs lees que te gusten?

Ejem ejem, pues intento tener todos aquellos que son conocidos en el mundo de la seguridad y que me pueden aportar conocimientos interesantes. No faltan en mi lista, Conexión Inversa, Kriptópolis, Seguridad Apple, Security Art Work, el blog de Sergio Hernando, 48bits, Spamloco, Hacktimes, Dragonjar, S21Sec, etc,... en inglés estoy suscrito al de Bruce Schneier, Praetorian Effect, Command line Kung fu, Countermeasures, Xeduced, TaoSecurity, and many more! ¿Me dejo alguno...? ay sí el de Spectra! Por supuesto que http://www.elladodelmal.com/es uno de los que no me faltan en la lista y que me hace, unas veces reír poco, otras mucho (Josemaricariño!) otras tomar nota y, en todas ellas, aprender de alguien que lleva tantos años al pie del cañón representando la seguridad nacional... española!

10.- Sé que has ido a muchas conferencias, ¿cuál te ha gustado mucho?

Tampoco te creas que he ido a tantas, unas veces por compromisos laborales, y otras por personales, pero sí que es verdad que intento moverme un poco en los diversos saraos. Por destacar alguna en que me lo he pasado genial: el Security Blogger Summit de 2009 y 2010 en el pude hablar directamente con Bruce Schneier, un tío bastante cercano, y en 2010 en el que puso la sal y el aceite mi compañero Yago. Por supuesto destacar el honor que fue ir a la BlackHat 2010 en Barcelona, en el que además coincidí con otros cuantos conocidos, ¿verdad Chema?

11.- Lorenzo, en SecurityBydefault, ¿os repartís los temas o simplemente surgen?

La verdad es que en SbD no tenemos ninguna directriz sobre qué temas tenemos permitidos y prohibidos cada uno. Todos intentamos aportar lo que sabemos, investigamos, opinamos, con toda la ilusión posible. Cierto es que, al ser los componentes del blog de perfiles diferentes, los posts suelen estar más centrados en aquello que cada uno se siente más cómodo o le gusta más. Como puedes observar, yo suelo hacer herramientas, scripts, y todo aquello que pueda ser Powered by Perl!

12.- Profesionalmente hablando, ¿en qué trabajas actualmente?

Mi puesto oficial actualmente es de responsable técnico preventa para DenyAll en España y Portugal. Mi misión es intentar concienciar a las empresas españolas que un Cortafuegos de Aplicaciones Web, a ser posible el que vende mi empresa, sería de gran ayuda para proteger sus páginas y servicios web, y que, si bien no va a garantizar al 100% que sus sistemas son in-hackeables, al menos supondrán una traba más y permitirán cerrar puertas a posibles atacantes.

13.- ¿Me ayudarías a convencer a Yago para que me escribiese un libro? ¿y para que dab termine el suyo?

¡Uy, las cosas que me pides! Yo estaría encantado de ver, comprar - ¡y hasta leer! - un libro escrito por Yago, y el que Dab tiene en proceso No obstante, cuándo quieras te ayudo a preparar una encerrona en la que no puedan escapar y te firmen la fecha en la que te entregan el primer draft cada uno.

14.- En tu opinión como experto... ¿cómo ves esto de la nube? ¿Te mola? ¿Te asusta? ¿Te pone contento?

Uhm, yo creo que la gente está cada vez más preparada para usar servicios en la nube. De hecho, todo aquel que tenga una cuenta Google, cuenta con una infraestructura gratuita en la que sus datos e información son accesibles desde cualquier parte, con cualquier dispositivo, sin importarme debajo cómo funcione. Desde una agenda, hasta documentos compartidos con un procesador de textos online.

Sin embargo, en España, y más claramente las empresas, no terminan de migrar a la nube con la celeridad esperable. Asustarme no me asusta en absoluto, es más, cualquier cosa "nueva", supondrá algo que será "rompible" y "protegible", por lo que nos garantiza trabajo en un entorno no explotado.


15.- ¿Qué le recomendarías a un chaval que quiera empezar en esto de la seguridad informática y el hacking?

En mi experiencia, aquellos locos que aún deseéis dedicaros a esto de las redes y la seguridad informática, yo creo que lo más importante es contar con bases sólidas. Para ello, pegaros con las cosas por vosotros mismos, entended el funcionamiento de las cosas, conceptos de redes, de routing, de TCP/IP,... por supuesto intentad estar al día mediante obligadas lecturas a blogs de seguridad, ejem ejem... intentad aprender de compañeros de trabajo y amigos que lleven más tiempo dedicándose a esto (¡¡recordad que más sabe el diablo por viejo que por diablo!!). Sin embargo, lo más importante es afrontar las cosas con ilusión y tenacidad. ¿Que algo no sale? ¿Que no eres capaz de romperlo? date una vuelta, coge aire, date una ducha y ¡siéntate de nuevo frente a ello a probar otra vez!

16.- ¿Crees que las empresas y la administración pública están tomándose en serio la seguridad en España?

Pienso que actualmente las empresas están un poco al ralentí, cumpliendo lo justo y necesario para que las cosas aguanten. Esto lo veo claramente representado cuando vas a contar tu rollo a las empresas y te cuentan que necesitan de tus productos para cumplir con determinada normativa. Mientras el objetivo no sea mejorar la seguridad de tus infraestructuras en lugar de contar con tecnología para que en la checklist puedas poner que sí tienes un WAF - ¡aunque lo tengas apagado! - creo que el enfoque no es el correcto.

17.- ¿Te animarás a dar alguna charla tú?

Mira que lo he pensado veces. Espero que en alguna de tantas que se organizan en las que van grandes profesionales como puede ser por ejemplo en Rooted, o un Security Blogger Summit, Campus Party, No Con Name, etc... pueda acceder algún día. Ciertamente es procastinación mía el no mandar un paper como Dios manda a alguna de ellas y esperar que me den el visto bueno en alguna, pero sí, está en mi To Do.

18.- ¿Has sido gamer? ¿Qué juego te ha quitado más horas de sueño?

La verdad es que no mucho. En mi época universitaria quizá tuve temporadas curiosas con el Heroes of Might and Magic I y con el III, y me encantó el juego español de guerra más famoso: Commandos. Pero los juegos, pese a lo que puedan decir mis padres, no han sido nunca la causa de mis horas perdidas delante de un PC.

19.- ¿Has hecho alguna vez algo de Black hacker que ya haya prescrito y se pueda contar?

La verdad es que tal cual están las leyes últimamente, cualquiera que incluso haya leído el correo de otra persona, su navegación, conversaciones de messenger, reventado una contraseña y accedido a la WiFi de un vecino, es ya un delincuente y merece penas de cárcel,... para cosas más gordas ya directamente son latigazos, viajes a Guantánamo y que te aten a una silla a ver toda la serie de Verano Azul de golpe, así que supongo que no, no han prescrito aún :D

20.- ¿A quién te molaría que entrevistara?

Estaría genial que tu próxima víctima... digoooooo candidato a una entrevista fuese alguien del otro lado del charco. Sorprende muchas veces que incluso hablando el mismo idioma, haya tan poca conexión entre los expertos en seguridad de América Latina y los del Viejo Continente. Así pues, creo que deberías tirarles la caña a Dragón de la comunidad Dragonjar, o Alejandro de Spamloco, que seguro que nos sorprenderían con sus motivaciones, fuentes de conocimiento y formas de hacer las cosas.

Saludos!

11 comentarios:

  1. Muy buena entrevista!! Lorenzo es todo un crac!!!!

    Un abrazo

    ResponderEliminar
  2. ¡¡Genial la entrevista!! Lorens es un fuera de serie.

    Un abrazote

    ResponderEliminar
  3. Lorenzo, genial, como siempre...
    Y ten cuidado con los "plugins" que le pones a tu aspiradora, que se te pueden quedar enganchados XD

    ResponderEliminar
  4. Mola la entrevista, una persona genial, en lo técnico y en lo personal :)

    Saludo!

    ResponderEliminar
  5. Gran entrevista. Y grande Lorenzo, ya no es solo lo de la aspiradora, que es memorable, es un tipo que escribe bien, con criterio y variado en sus temas, como el resto de la comunidad SbD.

    Un abrazo!

    ResponderEliminar
  6. Buena entrevista, y un crack lorenzo!!!

    ResponderEliminar
  7. Unos fenómenos, los dos, Lorenzo y Maligno...

    ResponderEliminar
  8. si, muy buena entrevista, y que bueno lo de twitter!
    besos

    ResponderEliminar
  9. Tuve el placer de conocerlo hará un par de años si no me equivoco en la feria sitiASLAN en Madrid. Siempre con una sonrisa y muy bromista :P
    Muy buen tio :D y genial la entrevista!
    Un abrazo Lorenzo ;-)

    ResponderEliminar
  10. No entiendo como Lorenzo no da esas charlas de una vez. Con todo lo que sabe y lo majo que parece, seguro que se sale por los bordes.

    ResponderEliminar
  11. Muy interesante la entrevista que el maligno le hace a Lorenzo, un excelente profesional que nos regala siempre sus conocimientos en pequeñas porciones llamadas post, quedé realmente sorprendido con la recomendación que hace sobre la entrevista, muchas gracias por tenerme en cuenta, por mi no hay ningún problema en realizarla para El Lado del Mal y sus lectores.

    Muchas gracias por todo.

    Pd. dentro de poco entro a la vida marital, tratare de conseguir que nuestra roomba, que ademas de ahorrarme peleas por la limpieza de la casa, seguro que logro programarla para hacer algunas cosas extra.

    ResponderEliminar