Don José Selvi es un veterano en el mundo de la seguridad informática, y esta de celebración por el quinto cumpleaños de su niño el blog Pentester.es, donde va sacando todos sus trabajos periódicamente. José es instructor oficial de SANS, auditor e investigador de seguridad informática, y en su blog publica sus contribuciones constantes sobre temas muy diversos como la seguridad de WhatsApp, el uso de las herramientas de pentesting - aportando cambios a algunas de ellas como el módulo DNS de metasploit -, o el famoso jailownme que espero publique pronto.
Coincidiendo con tal fecha le propuse hacerle esta entrevista, y aquí os dejo las preguntas y respuestas para que podáis conocer un poco más a este valenciano ninja que tenemos el gusto de disfrutar por estos lares.
Saludos Malignos!
1) ¿Cuántos años dices que lleva Pentester.es?
La verdad es que ni me acordaba de cuanto tiempo llevaba el blog hasta que vi que en Security By Default celebraban su aniversario y me entró curiosidad a ver cuantos llevaba Pentester.Es ya. Miré el primer post y me di cuenta que este año haría 5 del primer post, así que decidí que para el 5º aniversario iba a intentar hacer una celebración por todo lo alto.
2) ¿Y por qué sacarse un blog y empezar a postear?
Fue un poco una manera de "devolver al mundo lo que coges de él". En elmomento que empecé con el blog llevaba mucho tiempo leyendo otros blogs y webs de otra gente de los que había sacado información buenísima, y me sentía como un "chupóptero", así que pensé en compartir yo también parte de las cosas que hacía. Es lo justo ¿no?
3) Vale, y ahora.. para los que no te conozcan, ¿quién es José Selvi?
Soy un apasionado de la seguridad informática que ha tenido la suerte de poderse dedicar a ella durante los últimos 10 años. Gran parte de estos años mi trabajo ha consistido en hacer Penetration Testing, que es migran pasión. De ahí el nombre de mi blog :)
Además de mi trabajo en S21Sec, soy Community Instructor del SANS Institute e imparto en España algunos de los cursos de Pentesting del SANS (SEC-560y, quizá el año que viene, SEC-660). También es fácil verme dando alguna charla por ahí en las diferentes conferencias Españolas.
4) ¿Y Cuántas certificaciones dices que tienes?
No es que tenga titulitis ni nada de eso, pero lo cierto es que a estas alturas he ido acumulando unas cuantas. De hecho mis compañeros de trabajo se cachondean de mi por la ristra de siglas que llevo en la firma de correo. Dicen que muchas veces mi firma es más larga que mis correos. Cabrones xD
Lo cierto es que empecé sacándome el CISA y el CISSP hace ya algunos años, y a partir de ahí probé una de las certificaciones del SANS y mevolví SANS-adicto, así que a lo largo de los años me he ido sacando varios certificados del SANS hasta hacer un total de 5, y durante el próximo año tengo planeado sacarme 3 más, incluido el GSE, del que tengo el examen teórico aprobado y me falta aprobar el laboratorio ¡Deseadme suerte!
5) ¿Vas a liberar el jailownme ese que hiciste para ownear iPhones?
¿No lo he liberado ya? Joder... como tengo la cabeza... (no es broma,pensaba que lo acabé publicando xD)Dicen que más vale tarde que nunca ¿no? ;)
6) ¿Es verdad que como la paella Valenciana no hay nada o te vendrías avivir bailando chotis a Madrid?
Valencia es una ciudad muy buena para vivir, tiene de casi todo y no tienes los problemas de tráfico que tienes en Madrid, pero lo cierto es que durante los años que viví en Madrid tampoco me pareció un mal sitio para vivir, simplemente hay que cambiar el chip en algunas cosas que llevamos en la cabeza los que estamos acostumbrados a ciudades no tan grandes. Por suerte hoy en día puedes tomarte una Paella Valenciana y llegar a Madrid a bailar Chotis antes de acabar de hacer la digestión.Luego faltaría aprender a bailar un Chotis xD
7) ¿Qué es lo más positivo que has sacado estos años en Pentester.es?
Muchas cosas. En primer lugar se aprende muchísimo cuando intentas explicar un concepto, ya que te obliga a mirártelo muy en profundidad para no meter la pata con nada. A mi me parece un muy buen ejercicio.Los comentarios también suelen plantearte dudas o aportaciones en lasque a lo mejor no habías caído. También proporciona contactos, te da a conocer y es un buen escaparate para mostrarte en el mundo.
8) ¿Y lo más negativo?
El tiempo que consume. A veces es un poco incompatible con hacer investigaciones largas, como por ejemplo el Doctorado, porque el blog es más de investigaciones cortas (un post cada semana o dos semanas, o incluso cada mes). Compatibilizar investigaciones cortas y largas al mismo tiempo es bastante difícil, por esa fea costumbre que tengo que querer dormir xD.
9) ¿Te quedan ganas para otros 5 años más?
Ganas... muchísimas! De hecho el Doctorado se ha comido mi tiempo libre del último año y pico, y el blog lo ha notado, porque he escrito muchísimo menos, pero ganas tengo todas las del mundo para seguir 5 o 50años más ;)
10) ¿Qué blogs sigues tú de seguridad que merezcan la pena seguir?
La verdad es que sigo una barbaridad de blogs, en ocasiones pienso que demasiados y que debería pegar un tijeretazo a algunos porque no doy abasto para leer todo lo que me gustaría, pero todos dicen cosas tan interesantes... Merecer la pena, muchos, y seguramente muchos de ellos son archiconocidos por los lectores de este blog (SecurityByDefault,Hacktimes, etc), así que casi prefiero decirte alguno que yo diría que son menos conocidos pero que me parece que aportan material bastante interesante:
Yo me quedo con los script de MultiRelay que hice para Meterpreter y que presenté en RootedCON'11. No fue mi presentación más vistosa (me dio unataque de tos), pero me dio bastante trabajo, tuve que leerme bastantes trozos de código fuente de Meterpreter, y bueno, digamos que dio bastante más trabajo de lo que parece :P
Otro que también me gustó fue el Jail0wnMe, porque por algún extraño motivo nadie se había puesto a intentar convertir el exploit (o eso creo). Luego me lo han pedido de forma privada varios compañeros del mundo de la seguridad que lo han usado para hacer PoC's y cosas así, lo cual me resulta muy gratificante porque veo que ha resultado útil.
12) ¿Quiénes son tus investigadores de seguridad o pentesters favoritosen el mundo?
Los Pentesters no se suelen hacer muy famosos a no ser que compatibilicen su trabajo con la investigación y salgan en conferencias,así que es frecuente encontrarte con Pentesters de los que nunca habías oído hablar, pero que tienen un nivel muy alto.
A mi me gustan bastante los Pentesters SANSeros como Ed Skoudis, Stephen Sims o Kevin Johnson (cada uno en su especialidad), porque creo que reflejan bastante bien el trabajo real de un Pentester. Hernan Ochoa también es un tío al que he tenido la suerte de conocer y que me parece un máquina. Luego hay equipos buenísimos y que además comparten las investigaciones y herramientas que hacen, como InGuadians, FoundStone,SensePost, TrustWave, ... Y seguro que hay muchos más muy buenos a los que aún no he tenido la oportunidad de conocer/leer.
13) Recomiéndanos tres libros para ser un buen pentester.
Para ser un buen pentester hay que leer muchísimo, pero para empezar por un buen camino, os dejo uno para descubrir objetivos, otro para aplicaciones web, y otro para explotar servicios:
Si le preguntas a mi mujer te dirá que SIEMPRE estoy pentesteando xDDDD La pobre la verdad es que tiene mucha paciencia, porque dedico bastante tiempo a leer cosas, a avanzar con mi Doctorado, y cosas así. Los fines de semana me socializo un poco más y casi parecemos una pareja normal xD Ahora estoy intentando terminar de aprender a patinar, que me quedé a mitad de aprender hace algunos años y es algo que tengo en el TODO desde entonces.
Una cosa que he dejado de hacer por problemas de espalda pero que MEAPASIONABA eran las Artes Marciales, que según creo es una afición que compartimos bastante gente de este mundillo. Espero poder volver algún día...
15) ¿Es el pentesting un arte o una ciencia?
Es ambas cosas. Lo que yo suelo hacer es empezarlo como una Ciencia:Sigo mi metodología y pongo encima de la mesa todo lo que he ido encontrando, y luego empieza el Arte: A ver con todo eso por donde me dice mi nariz que habría que rebuscar.
16) ¿Vas a seguir mejorando el módulo de DNS de Metasploit o ya está perfecto?
¿Alguna sugerencia de mejora? xD En realidad el módulo de DNS ya no es mío, quiero decir, que lo aporté a Metasploit y ahora mismo está en la rama oficial y cualquier persona puede hacer alguna otra aportación para mejorarlo. Me gusta hacerlo así, porque lo cierto es que ni tengo tiempo para mantener una herramienta ni tampoco es de las cosas que más me gustan. Prefiero desarrollar la primera versión, que es con lo que me divierto y aprendo, y luego soltarlo para que quede en manos de la comunidad.
17) ¿En qué conferencias te vamos a poder ver en breve?
Por el momento no he presentado propuesta de charlas a ninguna conferencia, por falta de tiempo, pero ahora mismo estoy jugueteando con unas cosas que creo que pueden ser interesantes. No he llegado a tiempo al CFP de NoConName y voy a ir justo para llegar al de RootedCON. A ver si en unos meses puedo hacerte "update" de esta respuesta ;)
18) ¿Qué le recomendarías a los jóvenes que comienzan en seguridad informática?
Que tengan paciencia y se tomen su tiempo para leer, para jugar, y sobretodo para divertirse. Este es un trabajo bastante exigente, al que hay que echarle muchas horas, así que al menos divirtámonos ¿no? Si no me lo pasara como un enano, creo que me volvería loco :P
19) ¿Qué características debe cumplir un buen pentester?
Ser metódico y a la vez imaginativo. Ser un apasionado de la seguridad y ser paciente, porque adquirir el conocimiento lleva su tiempo y los atajos no son buenos. Si además eres capaz de explicar conceptos técnicamente complejos de una forma sencilla y eres bueno escribiendo...tienes todos los ingredientes para ser un gran Pentester ;)
20) Y la última... ¿Qué tres posts de pentester.es debemos leer para entender mejor tu trabajo en estos 5 años?
Mmmmmm, pues si tienen que ser descriptivos, voy a elegir uno sobre seguridad en redes, uno sobre móviles y otro de una herramienta que he aportado a la comunidad:
José Selvi en foto de posado }:)) |
Coincidiendo con tal fecha le propuse hacerle esta entrevista, y aquí os dejo las preguntas y respuestas para que podáis conocer un poco más a este valenciano ninja que tenemos el gusto de disfrutar por estos lares.
Saludos Malignos!
1) ¿Cuántos años dices que lleva Pentester.es?
La verdad es que ni me acordaba de cuanto tiempo llevaba el blog hasta que vi que en Security By Default celebraban su aniversario y me entró curiosidad a ver cuantos llevaba Pentester.Es ya. Miré el primer post y me di cuenta que este año haría 5 del primer post, así que decidí que para el 5º aniversario iba a intentar hacer una celebración por todo lo alto.
2) ¿Y por qué sacarse un blog y empezar a postear?
Fue un poco una manera de "devolver al mundo lo que coges de él". En elmomento que empecé con el blog llevaba mucho tiempo leyendo otros blogs y webs de otra gente de los que había sacado información buenísima, y me sentía como un "chupóptero", así que pensé en compartir yo también parte de las cosas que hacía. Es lo justo ¿no?
3) Vale, y ahora.. para los que no te conozcan, ¿quién es José Selvi?
Soy un apasionado de la seguridad informática que ha tenido la suerte de poderse dedicar a ella durante los últimos 10 años. Gran parte de estos años mi trabajo ha consistido en hacer Penetration Testing, que es migran pasión. De ahí el nombre de mi blog :)
Además de mi trabajo en S21Sec, soy Community Instructor del SANS Institute e imparto en España algunos de los cursos de Pentesting del SANS (SEC-560y, quizá el año que viene, SEC-660). También es fácil verme dando alguna charla por ahí en las diferentes conferencias Españolas.
4) ¿Y Cuántas certificaciones dices que tienes?
No es que tenga titulitis ni nada de eso, pero lo cierto es que a estas alturas he ido acumulando unas cuantas. De hecho mis compañeros de trabajo se cachondean de mi por la ristra de siglas que llevo en la firma de correo. Dicen que muchas veces mi firma es más larga que mis correos. Cabrones xD
Lo cierto es que empecé sacándome el CISA y el CISSP hace ya algunos años, y a partir de ahí probé una de las certificaciones del SANS y mevolví SANS-adicto, así que a lo largo de los años me he ido sacando varios certificados del SANS hasta hacer un total de 5, y durante el próximo año tengo planeado sacarme 3 más, incluido el GSE, del que tengo el examen teórico aprobado y me falta aprobar el laboratorio ¡Deseadme suerte!
5) ¿Vas a liberar el jailownme ese que hiciste para ownear iPhones?
¿No lo he liberado ya? Joder... como tengo la cabeza... (no es broma,pensaba que lo acabé publicando xD)Dicen que más vale tarde que nunca ¿no? ;)
6) ¿Es verdad que como la paella Valenciana no hay nada o te vendrías avivir bailando chotis a Madrid?
Valencia es una ciudad muy buena para vivir, tiene de casi todo y no tienes los problemas de tráfico que tienes en Madrid, pero lo cierto es que durante los años que viví en Madrid tampoco me pareció un mal sitio para vivir, simplemente hay que cambiar el chip en algunas cosas que llevamos en la cabeza los que estamos acostumbrados a ciudades no tan grandes. Por suerte hoy en día puedes tomarte una Paella Valenciana y llegar a Madrid a bailar Chotis antes de acabar de hacer la digestión.Luego faltaría aprender a bailar un Chotis xD
7) ¿Qué es lo más positivo que has sacado estos años en Pentester.es?
Muchas cosas. En primer lugar se aprende muchísimo cuando intentas explicar un concepto, ya que te obliga a mirártelo muy en profundidad para no meter la pata con nada. A mi me parece un muy buen ejercicio.Los comentarios también suelen plantearte dudas o aportaciones en lasque a lo mejor no habías caído. También proporciona contactos, te da a conocer y es un buen escaparate para mostrarte en el mundo.
8) ¿Y lo más negativo?
El tiempo que consume. A veces es un poco incompatible con hacer investigaciones largas, como por ejemplo el Doctorado, porque el blog es más de investigaciones cortas (un post cada semana o dos semanas, o incluso cada mes). Compatibilizar investigaciones cortas y largas al mismo tiempo es bastante difícil, por esa fea costumbre que tengo que querer dormir xD.
9) ¿Te quedan ganas para otros 5 años más?
Ganas... muchísimas! De hecho el Doctorado se ha comido mi tiempo libre del último año y pico, y el blog lo ha notado, porque he escrito muchísimo menos, pero ganas tengo todas las del mundo para seguir 5 o 50años más ;)
10) ¿Qué blogs sigues tú de seguridad que merezcan la pena seguir?
La verdad es que sigo una barbaridad de blogs, en ocasiones pienso que demasiados y que debería pegar un tijeretazo a algunos porque no doy abasto para leer todo lo que me gustaría, pero todos dicen cosas tan interesantes... Merecer la pena, muchos, y seguramente muchos de ellos son archiconocidos por los lectores de este blog (SecurityByDefault,Hacktimes, etc), así que casi prefiero decirte alguno que yo diría que son menos conocidos pero que me parece que aportan material bastante interesante:
http://blog.makensi.es/11) De todos tus trabajos, ¿con cuál te quedas?
http://laxmarcaellugar.blogspot.com.es/
http://securityetalii.es/
http://realpentesting.blogspot.com.es/
Yo me quedo con los script de MultiRelay que hice para Meterpreter y que presenté en RootedCON'11. No fue mi presentación más vistosa (me dio unataque de tos), pero me dio bastante trabajo, tuve que leerme bastantes trozos de código fuente de Meterpreter, y bueno, digamos que dio bastante más trabajo de lo que parece :P
Otro que también me gustó fue el Jail0wnMe, porque por algún extraño motivo nadie se había puesto a intentar convertir el exploit (o eso creo). Luego me lo han pedido de forma privada varios compañeros del mundo de la seguridad que lo han usado para hacer PoC's y cosas así, lo cual me resulta muy gratificante porque veo que ha resultado útil.
12) ¿Quiénes son tus investigadores de seguridad o pentesters favoritosen el mundo?
Los Pentesters no se suelen hacer muy famosos a no ser que compatibilicen su trabajo con la investigación y salgan en conferencias,así que es frecuente encontrarte con Pentesters de los que nunca habías oído hablar, pero que tienen un nivel muy alto.
A mi me gustan bastante los Pentesters SANSeros como Ed Skoudis, Stephen Sims o Kevin Johnson (cada uno en su especialidad), porque creo que reflejan bastante bien el trabajo real de un Pentester. Hernan Ochoa también es un tío al que he tenido la suerte de conocer y que me parece un máquina. Luego hay equipos buenísimos y que además comparten las investigaciones y herramientas que hacen, como InGuadians, FoundStone,SensePost, TrustWave, ... Y seguro que hay muchos más muy buenos a los que aún no he tenido la oportunidad de conocer/leer.
13) Recomiéndanos tres libros para ser un buen pentester.
Para ser un buen pentester hay que leer muchísimo, pero para empezar por un buen camino, os dejo uno para descubrir objetivos, otro para aplicaciones web, y otro para explotar servicios:
- NMap Network Scanning.14) ¿Qué hace José Selvi cuando no es pentesteando?
- The Web Application Hacker's Handbook
(en general todos los XXXHacker's Handbook).
- Metasploit: The Penetration Tester's Guide.
Si le preguntas a mi mujer te dirá que SIEMPRE estoy pentesteando xDDDD La pobre la verdad es que tiene mucha paciencia, porque dedico bastante tiempo a leer cosas, a avanzar con mi Doctorado, y cosas así. Los fines de semana me socializo un poco más y casi parecemos una pareja normal xD Ahora estoy intentando terminar de aprender a patinar, que me quedé a mitad de aprender hace algunos años y es algo que tengo en el TODO desde entonces.
Una cosa que he dejado de hacer por problemas de espalda pero que MEAPASIONABA eran las Artes Marciales, que según creo es una afición que compartimos bastante gente de este mundillo. Espero poder volver algún día...
15) ¿Es el pentesting un arte o una ciencia?
Es ambas cosas. Lo que yo suelo hacer es empezarlo como una Ciencia:Sigo mi metodología y pongo encima de la mesa todo lo que he ido encontrando, y luego empieza el Arte: A ver con todo eso por donde me dice mi nariz que habría que rebuscar.
16) ¿Vas a seguir mejorando el módulo de DNS de Metasploit o ya está perfecto?
¿Alguna sugerencia de mejora? xD En realidad el módulo de DNS ya no es mío, quiero decir, que lo aporté a Metasploit y ahora mismo está en la rama oficial y cualquier persona puede hacer alguna otra aportación para mejorarlo. Me gusta hacerlo así, porque lo cierto es que ni tengo tiempo para mantener una herramienta ni tampoco es de las cosas que más me gustan. Prefiero desarrollar la primera versión, que es con lo que me divierto y aprendo, y luego soltarlo para que quede en manos de la comunidad.
17) ¿En qué conferencias te vamos a poder ver en breve?
Por el momento no he presentado propuesta de charlas a ninguna conferencia, por falta de tiempo, pero ahora mismo estoy jugueteando con unas cosas que creo que pueden ser interesantes. No he llegado a tiempo al CFP de NoConName y voy a ir justo para llegar al de RootedCON. A ver si en unos meses puedo hacerte "update" de esta respuesta ;)
18) ¿Qué le recomendarías a los jóvenes que comienzan en seguridad informática?
Que tengan paciencia y se tomen su tiempo para leer, para jugar, y sobretodo para divertirse. Este es un trabajo bastante exigente, al que hay que echarle muchas horas, así que al menos divirtámonos ¿no? Si no me lo pasara como un enano, creo que me volvería loco :P
19) ¿Qué características debe cumplir un buen pentester?
Ser metódico y a la vez imaginativo. Ser un apasionado de la seguridad y ser paciente, porque adquirir el conocimiento lleva su tiempo y los atajos no son buenos. Si además eres capaz de explicar conceptos técnicamente complejos de una forma sencilla y eres bueno escribiendo...tienes todos los ingredientes para ser un gran Pentester ;)
20) Y la última... ¿Qué tres posts de pentester.es debemos leer para entender mejor tu trabajo en estos 5 años?
Mmmmmm, pues si tienen que ser descriptivos, voy a elegir uno sobre seguridad en redes, uno sobre móviles y otro de una herramienta que he aportado a la comunidad:
http://www.pentester.es/2010/06/ip-defragmentation-snort.html
http://www.pentester.es/2011/09/whatsapp-account-hijacking.html
http://www.pentester.es/2012/04/bestfakedns-para-metasploit.html
Buen invitado y buena entrevista. Gracias Maligno.
ResponderEliminar-P.
Como lo prometido es deuda, acabo de colgar el código de Jail0wnMe ;)
ResponderEliminarMuy buena entrevista.
ResponderEliminarGran entrevista de un gran tipo, espero poder conocerle en persona en la fiesta :D
ResponderEliminarSolo un pero, hay un monton de palabras juntas que dificultan bastante la lectura.
Revisalo Chema.
Estupenda entrevista!
ResponderEliminarQue guapeton estas en la foto ;)
Nos veremos en la fiesta! :D