viernes, enero 13, 2012

Entrevista a Didider Stevens

Didier Stevens es uno de los buenos en esto de la seguridad informática. Su blog es uno de esos de referencia para muchos de nosotros, en el que en cada post te sorprende con algo distinto. Sus trabajos con  el malware, los PDF o con las macros en Excel han sido base de otras muchas investigaciones en el mundo de la seguridad y el hacking. Belga, afincado en Bruselas, y premiado por Microsoft como MVP debido a su innegable impacto en la comunidad de seguridad informática. Puedes seguir el trabajo de Didier Stevens en su blog, y sus pensamientos en Twitter @didierstevens

Didier Stevens "luchando" en Montserrat (Barcelona)

El pobre inocente se prestó amablemente a sufrir una de mis entrevistas, y con paciencia me contestó a las veinte preguntas que las componen.... y de forma más que interesante. Aquí os la dejo traducidas al español y en V.O.

Saludos Malignos!

1) If you need to introduce yourself to people who didn´t know about you... what were your speech?

I've been programming for 30+ years, and I'm an active blogger on IT security for 5 years now. I tend to focus on defense rather then offense, but I've been known to developed new offensive techniques to test and improve defensive techniques. An example of this is is my work with Software Restriction Policies/AppLocker and Excel macros. I also develop some forensic techniques.

1) Si tuvieras que presentarte a gente que no supiera nada de ti... ¿cuál sería tu discurso?

He estado programando más de 30 años, y ya llevo 5 años de activo blogger en Seguridad IT. Tiendo a focalizarme en defensa mas que en ataque, pero he estado aprendiendo a desarrollar nuevas técnicas de ataque para probar y mejorar las técnicas defensivas. Un ejemplo de esto es mi trabajo con Software Restriction Policies/AppLocker y las macros de Excel. También trabajo en algunas técnicas forenses.

2) Didier, you have been working in PDF, Excel, malware, etc... in which are you working right now?

Right now I'm looking into Cisco IOS forensics. There's not much info on the Internet about this subject, and I'd like to expand this.

2) Didier, has estado trabajando en PDF, Excel, malware, etc... ¿En que estás trabajando ahora mismo?

Ahora mismo estoy profundizando en forense en Cisco IOS. No hay mucha información en Internet sobre esta materia, y me gustaría expandirla.

3) And.. .how was at the begin? I mean, how did Didier get involved in computer security?

I got involved in IT security in the eighties, at the university. Before I entered university, I was very familiar with personal computers like the Apple II. These were single user/single task computers without any security. But at the university, I started to use and program a Unix computer (Linux didn't exist yet back then). Unix is multi-user/multi-task, and needs security to manage this properly. It was my first encounter with IT security and I experimented a lot with it on this Unix machine.

3) Y... ¿cómo fue al principio? Quiero decir, ¿cómo Didier se vio envuelto en seguridad informática?

Me vi envuelto en seguridad IT en los años 80, en la universidad. Antes de que entrara en la universidad, estaba muy familiarizado con computadores personales como el Apple II. Eran computadores mono-usuario y mono-tarea sin ninguna medida de seguridad. Unix es multi-usuario/multi-tarea, y necesita medidas de seguridad para gestionar esto de forma apropiada. Ese fue mi primer encuentro con la seguridad IT y experimenté un montón con ella sobre esta máquina Unix.

4) What was your first computer?

I was 12 when I programmed my first computer. My parents bought our first game console, the Philips Videopac G7000. It used cartridges to play games, and I had asked for a computer programming cartridge. This cartridge used a virtual assembly language, and I started to write small programs with simple animations and sounds, but I soon ran into the limits of this platform (memory and no way to save the programs).

4) ¿Cuál fue tu primera computadora?

Tenía 12 años cuando hice mi primer programa para una computadora. Mis padres compraron nuestra primera consola de juegos, la Philips Videopac G7000. Utilizaba cartuchos para los juegos, y yo había preguntado por un cartucho para programar computadoras. Este cartucho usaba un lenguaje de ensamblador virtual, y comencé a escribir pequeños programas con animaciones sencillas y sonidos, pero pronto llegué a los límites de esta plataforma (memoria y no poder guardar los programas)

5) And now, talking about security, who had impressed you?

Mark Russinovich and Bruce Schneier, because they are very technical people but are also active on a very high conceptual level.

5) Y ahora, hablando en términos de seguridad, ¿quién te ha impresionado?

Mark Russinovich y Bruce Schneier, porque son gente muy técnica pero son también activos a un nivel muy alto de conceptos.

6) Most of people reminds your work with PDF documents, ... was it the key for getting the MVP Award from Microsoft or not? In which area were you awarded by Microsoft?

I don't think it was important. Of course, I've no details on what motivated Microsoft to award me an MVP (twice now), but I believe it's because of my blogging and defensive security tools, like by Safe Mode fixes.

6) La mayoría de la gente te recuerda por tu trabajo con los documentos PDF,... ¿fue eso la clave para obtener el premio como MVP por Microsoft?

No creo que fuera importante. Por supuesto, no tengo los detalles de qué motivó a Microsoft premiarme como un MVP (dos veces ya), pero creo que es por mis publicaciones en el blog y las herramientas de seguridad defensiva, como los parches de Safe Mode.

7) This is a question people had asked to me lot of times, so I am going to reuse it. How did someone get to be an MVP? 

There are many ways to achieve this, and I believe the key is to be very active in the community and be a technical expert.

7) Esta es una pregunta que me han preguntado muchas veces, así que voy a reutilizarla. ¿Cómo consigue alguien ser un MVP?

Hay muchas formas de conseguir esto, y creo que la clave es ser muy activo en la comunidad y ser un técnico experto.

8) Have you been a gamer? The game that stole the most time of your life were....

I've been when I was a kid and I owned an Apple II. I spend most of my time playing the Ultima games. Lord British...

8) ¿Has sido gamer? El juego que te robó el mayor tiempo de tu vida fue...

Lo he sido cuando era un niño y tenía un Apple II. Pasé la mayor parte de mi tiempo jugando a los juegos de Ultima. Lord British...

9) In Windows Vista/Seven Microsoft introduced ASLR, MIC, UIPI, etc.. as security protections. Then after, EMET appeared with new ones, and now Windows 8 is coming on. What do you expect or what would you like to be introduced in Windows 8 in terms of new security protections?

Under pressure of the music industry, Microsoft introduced Protected Processes with the Windows Vista kernel. A non-admin account can still do whatever it wants with its own processes. Every account can read/write the memory of all its processes, start new threads, ... But not with Protected Processes. Protected Processes still run under your user account, but you have no rights to read from or write to the memory of a Protected Process. The music industry wanted this so that it can protected media being played by a media player as a Protected Process. What I consider to be very shameful, is that Microsoft only allows the "music industry" to create Protected Processes. To create a Protected Process, the executable file needs to be signed using a special cross certificate that Microsoft only issues to developers for the music industry.

In other words, you and I can't create our own programs running as Protected Processes. And I want Microsoft to change this policy. I want everybody to be able to benefit from Protected Processes. The technology is already there in WIndows, but it's being vastly underused because of politics...

9) En Windows Vista/7 Microsoft introdujo ASLR, MIC, UIPI, etc.. como protecciones de seguridad. Después, EMET apareció con nuevas y ahora está apareciendo Windows 8. ¿Qué esperas o qué te gustaría que fuera introducido en Windows 8 en términos de nuevas protecciones de seguridad?

Bajo la presión de la industria de la música, Microsoft introdujo Protected Process con el kernel de Windows Vista. Un cuenta no administrativa puede aún hacer lo que quiera con sus propios procesos. Cada cuenta puede leer/escribir la memoria de todos sus procesos, lanzar nuevos hilos, ... pero no con Protected Processes. Protected Processes aunque corren bajo tu cuenta de usuario, tú no tienes privilegios para leer o escribir en la memoria de proceso protegido. La industria de la música quería esto para poder proteger el contenido siendo ejecutado con un reproductor que corriera como un proceso protegido. Lo que yo considero como algo muy vergonzoso es que Microsoft solo permite a la "industria de la música" crear procesos protegidos. Para crear un proceso protegido, el fichero ejecutable necesitar estar firmado por un certificado cruzado que Microsoft solo emite para desarrolladores de la industria de la música.

En otras palabras, tu y yo no podemos crear nuestros propios programas corriendo como procesos protegidos. Y yo quiero que Microsoft cambie esta política. Yo quiero que todo el mundo sea capaz de beneficiarse de los Protected Processes. La tecnología está allía en Windows, pero esta mayoritariamente infra-utilizada por culpa de los políticos...

10) What software is running on your machine? And your favorite tools?

I run Windows 7 on my main laptop. The tools I use most for my research are UltraEdit, 010 Editor and programming languages C and Python.

10) ¿Qué software está corriendo en tu máquina? ¿Y cuáles son tus herramientas favoritas?

Corre un Windows 7 en mi equipo principal. Las herramientas que utilizo para mi investigaciones son UltraEdit, 010 Editor y los lenguajes de programación C y Python.

11) Nowadays there are a lot of security/hacking conferences around the world. What is your favorite one and why?

Brucon, but I'm biased ;-) Brucon is a local conference for me, and I'm heavily involved. The beauty of Brucon is that it is a single track conference, and that the speakers are very accessible to the public. Hack.lu is the same. I tend to prefer smaller conferences, because speakers are more accessible. That's why I attend Black Hat in Europe and not in Las Vegas.

11) Hoy en día hay un montón de conferencias de seguridad/hacking por todo el mundo. ¿Cuál es tu favorita y por qué?

Brucon, pero soy parcial en esto ;-) Brucon is una conferencia local para mí, y estoy fuertemente implicado. La belleza de Brucon es que es una conferencia de un solo track, y que los speakers son muy accesibles para el público. Hack.lu es lo mismo. Suelo preferir conferencias más pequeñas, porque los speakers son más accesibles. Eso es por lo que yo asisto a BlackHat Europa y no a Las Vegas.

12) Have you been visiting Spain any time of your life?

We love Spain: the people, the food, the climate, ... I think I've been around 10 times in Spain now. I don't speak Spanish, but I can understand quite a bit and I get around in restaurants and hotels with simple words. Un jerez muy seco, por favor ;-)

12) ¿Has estado visitando España alguna vez en tu vida?

Amamos España: la gente, la comida, el cliam... creo que he estado como unas 10 veces en España hasta ahora. No hablo español, pero puedo entender algo y defenderme en restaurantes y hoteles con palabras sencillas. "Un jerez muy seco, por favor ;-)"

13) Sometimes, when I interview people like you, some of the youngest readers feel that working in security is too far away from their possibilities. What would you recommend to them?

Persistance. You may think it's to difficult for you, but approach it step by step. I've had to tackle several problems that I considered too difficult to solve, but still I started step by step, and in the end I solved the problem. But sometimes you have to backtrack. In this step by step approch, you will learn new things with each step, and sometimes this will make you review previous steps. For example when you try to code a solution to a problem you don't understand initially, you will eventually understand the problem. But you may have to throw your code away and start anew, because of the new insights into the problem you gained.

13) Algunas veces, cuando hago una entrevista a gente como tú, algunos de los lectores más jóvenes sienten que trabajar en seguridad está demasiado lejos de sus posibilidades. ¿Qué les recomendarías?

Perseverancia. Tal vez pienses que es muy difícil para ti, pero acércate poco a poco. Yo he tenido que superar varios problemas que consideraba demasiado difíciles de solucionar, pero aún así comencé paso a paso, y al final lo solucioné. Pero a veces tienes que desandar el camino. En esta aproximación paso a paso, aprenderás nuevas cosas con cada paso, y algunas veces esto hará que revises tus pasos previos. Por ejemplo cuando intentas codificar una solución a un problema que y no comprendes incialmente, al final entenderás el problema. Tal vez incluso tengas que tirar tu código y comenzar de nuevo debido a los nuevos descubrimientos obtenidos del problema.

14) Three "must read" books

"Compilers: Principles, Techniques, and Tools", a.k.a. "The Dragon Book", has been very influential on my coding style. "Windows Internals" is one of the best books on how Windows operates. And finally, out of respect for the late Dennis Ritchie: "The C Programming Language".

14) Tres libros de obligada lectura

"Compilers: Principles, Techniques, and Tools", a.k.a. "The Dragon Book", ha sido muy influyente en mi estilo de programa. "Windows Internals" es uno de los mejores libros sobre como funciona Windows. Y finalmente, con todo el respeto, Dennis Ritchie: "The C Programming Language"

15) What is the work that you've done that makes you feel the most proud of it?

Fixing the Safe Mode problem. In 2006 I discovered malware that deletes the SafeBoot registry keys. These keys are necessary to boot into Safe Mode. Without these keys, you can't boot into Safe Mode. Malware often deletes these keys to prevent you from booting into Safe Mode to start cleaning up the infection. I've released tools to restore and protect the SafeBoot keys. These tools have been downloade 50.000+ times.

15) ¿Cuál es el trabajo de los que has hecho que te hace sentir más orgulloso?

Arreglar el problema del Safe Mode. En el año 2006 descubrí malware que borra las claves del registro del SafeBoot. Esas claves son necesarias para arrancar en Safe Mode. Sin ellas, tu no puedes arrancar en Safe Mode. El malware a menudo las borra para evitar que arranques en Safe Mode para limpiar la infección. He publicado unas herramientas para restaurar las claves de SafeBoot y han sido descargadas más de 50.000 veces.

16) And the funniest security vulnerability you discovered?

"Look Mommy, No Hands" or how to trigger a PDF vulnerability without any user interaction, but by relying on the Windows Indexing Service. 

16) ¿Y la vulnerabilidad más divertida que has descubierto?

"Look Mommy, No Hands", o como disparar un vulnerabilidad PDF sin ninguna interacción con el usuario, pero usando el Servicio de Indexación de Windows.

17) Apple is on fire, what do you think about the security protections in iOS or OSX Lion?

 I don't know. I've a limited understanding of iOS.

17) Apple está de moda, ¿qué piensas de las medidas de seguridad en iOS o en OSX Lion?

No lo sé. Tengo conocimientos limitados de iOS.

18) Tell us about your sources. What are the three blogs that you like the most and you read everyday?

Bruce Schneier's and Mark Russinovich's blogs. And XKCD ;-)

18) Háblanos de tus fuentes. ¿Cuáles son los tres blogs que más te gusta y que lees a diario?

Los blogs de Bruce Schneir y Mark Russinovich. Y XKCD ;-)

19) A difficult question: Anonymous, Lulzsec, Stuxnet, Wikileaks. Choose one of them and tell us what Didier thinks about it.

I find it criminal how less consideration the states that sponsored Stuxnet gave to civilians. It's appalling how much collateral damage they inflicted to hit their target.

19) Un pregunta difícil: Anonymous, Lulzsec, Stuxnet, Wikileaks. Elije uno de ellos y dinos que piensa Didier sobre ello.

Encuentro criminal la poca consideración que mostraron los estados que apoyaron Stuxnet hacia sus ciudadanos. Es vergonzoso cuanto daño colateral infligieron con tal de golpear sus objetivos.

20) The last one, if you were the king of the world, and you can change something about Internet... what would it be?

Free, wireless universal worldwide Internet access. Realize how much the Internet has had a positive effect on Western Society. Then think how much it can have on defavoritized regions, like Africa. When I hear people say that everybody is online nowadays, I always think of the billions of people who have no access...

20) La última, si tu fueras el rey del mundo y pudieras cambiar algo en Internet... ¿Qué seria?

Acceso wireless universal y gratuito a Internet por todo el mundo. Date cuenta de cuánto de positivo ha sido el efecto que ha tenido Internet en la sociedad occidental. Entonces piensa cuánto puede hacer en las regiones más desfavorecidas como África. Cuando oigo a la gente decir que todo el mundo está conectado hoy en día, siempre pienso en los billones de personas que no tienen acceso...

5 comentarios:

  1. @Maligno: en la pregunta de si "has sido gamer", que se las ha hecho a todos (creo), esta gente, no juega ni a los sudokus, ahora dale un programa en C que no compile ... . No es por nada, pero que jugar no va en contra de ser un maquinón. Además yo creo que adquieres habilidades nuevas como creatividad, reflejos ... .Pero para gustos colores (y supongo tambien que cuanto mas viejos menos jugones).


    PD: O les da vergüenza admitir que juegan al WoW.

    ResponderEliminar
  2. me ha encantado el ultimo comentario/respuesta.
    Cuan cierto... algunos vivimos permanentemente conectados, otros inevitablemente desconectados...

    Ayer un compañero de trabajo de unos 50 y pico me comentaba, tu no eres consciente del cambio aportado por "internet" al mundo. En mi epoca, cuando kerias saber/consultar algo para un trabajo o investigacion, debias desplazarte a las bibliotecas y buscar ahi, entre centenares de libros y páginas... ahora, te sientas delante del PC y haciendo click llegas casi donde quieras, sabes el beneficio puro que representa este cambio?

    Debo decir que yo si viví los finales de ese periodo y los inicios de otro, tengo 31 y en mi "juventud" aun ibamos a buscar info a las enciclopedias escritas y las bibliotecas, pero me dio que pensar el comentario, que quizá antes que yo muchisimas personas vieron mermada su "productividad" debido al coste de busqueda y comparticion de la imformacio, que a dia de hoy en algunas partes del mundo, tenemos a un solo click de distancia, en zapatillas, desde el salon de casa...

    Q.

    ResponderEliminar
  3. Que grande este tipo!

    ResponderEliminar
  4. Gracias por la traduccion para paletos como yo xD

    ResponderEliminar
  5. Está muy bien.
    Lo único un par de comentarios:

    1.-Respecto a Internet, o como como acabe esto en el futuro:
    El viernes echaron un reportaje sobre Etiopía en la 2. Cuando las necesidades básicas no están cubiertas es difícil pensar que les sea útil Internet.

    2.-Respecto a lo que tiene que ser un sistema operativo:
    Tiene que servir como capa de abstracción para facilitarnos la vida y que los usuarios no tengamos que pensar en el hardware. O sea, el S.O. convierte los hierros en una máquina que hace apenas 40 años se consideraría mágica. Si MS se despista y en lugar de pensar en los usuarios empieza a priorizar otros objetivos que ni le van ni le vienen, los usuarios puede que dejen de utilizar MS y se decanten por otras alternativas.

    Ese es el motivo lógico de MS.

    ResponderEliminar