Después de haber escuchado muchas de sus historias en directo, pensamos en hacerlo serio y nos decidimos a hacerle una entrevista a nuestro amigo David Barroso. Con mas de 15 años dedicado a la seguridad, a pasado por lugares como Telefonica Digital (responsable de Inteligencia en Seguridad), AT&T (coordinador de seguridad para España y Portugal) y S21sec (director de la Unidad de eCrime). Actualmente es CTO de Eleven Paths y seguramente le podréis encontrar en conferencias/eventos del sector. Os recomiendo echar un vistazo a su pagina personal si es la primera vez que oís hablar de el, es un gran referente. Una de sus frases:
«Not one day goes by that I don’t ride, ‘til the infinite, the horse of my imagination.” (Salvador Dalí)
1. Me imagino que ahora no podrás trastear tanto como en los viejos tiempos, si pudieses, ¿qué te gustaría hacer?
Cada vez es más difícil encontrar tiempo para poder trastear, pero la verdad es que dedico todo lo que puedo porque es necesario para no quedarte atrás. Todas las noches dedico varias horas y busco huecos los fines de semana. Si tuviera todo el tiempo del mundo me gustaría dedicarme a aprender y mejorar técnicas de explotación en móviles (iOS, Android).
2. Actualmente andas “infectando BIOS” a diestro y siniestro, ¿cómo te dio por eso?
Pues es una buena pregunta. Principalmente porque llevaba mucho tiempo escuchando cosas sueltas sobre ello pero la información disponible no estaba bien organizada, además de que me parece un tema apasionante, sobre todo porque es lo primero que se ejecuta en un dispositivo y puede tener el control total del mismo. Quizás lo que me animó más a investigar un poco fue cuando vi que la NSA tenía varias herramientas para infección en BIOS.
3. Has participado en muchos proyectos, pero ¿cuál ha sido el que más te ha marcado?
Desde el punto de vista profesional, tengo especial cariño a todos los proyectos pero quizás pueda resaltar un incidente en el que estuvimos 4 días sin apenas dormir varias personas hasta que pudimos solucionarlo (analizando muchos equipos y haciendo ingeniería inversa de varios binarios), un pen-testing de 3 semanas varias personas en el que el ultimo día a última hora un compañero consiguió desarrollar un exploit para un servicio en Solaris y entramos hasta la cocina triunfando; pero quizás los que más me han marcado han sido la infinidad de proyectos en los que llamaba un cliente porque tenía un problema serio y cogíamos todas las herramientas y nos presentábamos donde estuviera el cliente a una aventura totalmente nueva y que no te esperabas de qué se trataba. Mentiría si no digo que he disfrutado mucho en esos proyectos donde un día era una DDoS, otro una intrusión, otro un malware, otro un sabotaje, otro un empleado interno, etc. Solucionar con éxito estos proyectos y ver qué ayudas a otra persona es una satisfacción personal enorme.
4. BlackHat 2005, me parece que no es necesario decir más. Detállanos como fue.
Fue una muy buena experiencia con mi amigo Alfredo. Íbamos muy nerviosos porque BlackHat en esa época era LA conferencia y todo el mundo que presentaba algo quería presentarlo allí. Estabamos bastante nerviosos y aunque nuestro inglés no era de Cambridge quedo muy bien, sobre todo porque teníamos un 0day de Cisco de VTP que mostramos en vivo y nadie se lo esperaba. Un muy buen recuerdo.
5. Ya que hablamos del tema, ¿qué opinas de las conferencias nacionales?
Me parece que en España se goza de muy buena salud y es un momento dulce puesto que ya existen multitud de conferencias por muchas partes de España y no hace falta ir a Madrid o a Barcelona para ver charlas de calidad y en muchos casos las charlas tienen una calidad muy alta comparables con las que podemos ver en cualquier otro evento en el extranjero. Haciendo una crítica constructiva, necesitamos que más gente nueva se anime a dar charlas, exista más coordinación entre las conferencias y quizás un poco de internacionalización.
6. Si se puede contar, ¿qué ha sido la cosa más rara que has visto cuando trabajabas en eCrime?
La verdad es que hemos visto de todo, porque muchas veces hemos tenido que ir corriendo durante el transcurso de algún incidente grave, tanto a un gobierno o gran empresa, como a casas particulares de personas que les habían robado dinero y parecía que era un nuevo vector de ataque. Lo que más me sorprendió (y me gustó) fue un ataque a gran escala usando redes X25 (sí, todavía se usan) o analizar DNS Cache poisoning contra grandes empresas en tiempo real.
7. ¿Cuáles crees que serán las tendencias de este año en seguridad informática?
2015 parece que va a ser un año continuista si nos fijamos en las amenazas de hoy en día (seguirá habiendo malware, phishing, ingeniería social, etc.) , pero creo que van a salir grandes vulnerabilidades que llevaban latentes mucho tiempo (tipo Ghost, Heartbleed, etc.) que seguramente estén siendo aprovechadas ahora mismo por ciertos grupos (tanto respaldados por gobiernos como no). Ahora mismo hay mucha exageración con el IoT (Internet of Things) pero todo es muy exagerado, con lo que no veo que por ahí venga nada. También sospecho que veremos vulnerabilidades graves en iOS y Android puesto que hay muchos grupos trabajando incansablemente en ello.
8. Seguro que sueles andar bastante liado, ¿cómo es tu día a día?
Al vivir fuera de Madrid me toca estar casi siempre de viaje, ya sea por España o por fuera, con lo que siempre me veréis con una maleta a cuestas. Intento minimizar las reuniones y compaginar el día a día que a veces es demasiado intenso con la lectura de nuevas investigaciones, probar nuevas herramientas, trastear en tecnologías que no conozco, etc. Por ejemplo recientemente estoy programando mucho en NodeJS para aprender todo su entorno pero también jugando con herramientas como Phabricator, Travis, Jenkins, Xen etc. o programar plugins de Volatility que últimamente me gusta mucho.
9. Después del afamado Latch, ¿cuál es el siguiente paso de Eleven Paths?
Ahora mismo estamos enfrascados con Path5 y digamos que es un repositorio brutal de apps de Android para poder analizar y correlar todas las apps que se suben nuevas cada día. Estamos descubriendo técnicas muy interesantes (como Shuabang que recomiendo que leáis el informe) todos los días para hacer el mal.
10. Para poner punto final a la entrevista y sabiendo que eres un gran aficionado a las series, ¿podrías recomendarnos alguna?
Será un placer, pero espero que me recomendéis también. Como recomendables al 100% recientes diría House of Cards, Fargo, True Detective y Game of Thrones, y para pasarlo bien Silicon Valley y Curb Your Enthusiasm.