Entrevista a David Hernández (@daboblog)

Dabo (David Hernández) es uno de esos grandes profesionales que cualquier persona del mundillo de la seguridad en servidores debería conocer, no pasa vez que hables con el que no aprendas algo nuevo. Cofundador y responsable del área de Hacking en APACHEctl e impulsor de varios portales de gran éxito como DaboWeb, DebianHackerDaboBlogHackeando o Caborian. Dejando a un lado el apartado técnico, cabe destacar que es una gran persona con la que da gusto coincidir. Antes de pasar a la entrevista, os aconsejo echar un ojo a su pagina personal para así entender mas todo lo que nos cuenta. Se define con la siguiente frase:

Aspirante a alpinista, irreverente, inconformista, flexible. Debianita hasta el fin de los días y sobre todo, muy amigo de mis amigos.”

DavidHernandez-Dabo1. Empezamos con una pregunta con miga, ¿qué es GNU/Linux para ti? Y más profundo todavía, ¿qué es GNU/Linux para el mundo?

Para mi es una forma muy especial de relacionarme con el Software y que va más allá de planteamientos puramente técnicos. Un necesario movimiento de personas que actúan como una colmena perfectamente organizada, dando respuesta de forma eficaz, transparente y abierta a las necesidades de la Comunidad.

2. Esta pregunta es más curiosidad que otra cosa, ¿en tu equipo que gestor de ventanas utilizas? ¿porque?

Actualmente tengo 3 Pcs. El portátil (que conoces de las clases) un Celeron a 1.7 ghz y 2 GB de RAM con unos cuantos años en el que uso Debian 8 Stable con MATE ¿Por qué? Es quizás lo que se esperaba de GNOME como evolución, además de consumir pocos recursos. También tengo ahí LXDE y voy alternando (ligereza, nada de “meta paquetes” y rendimiento).

En el habitual, un Core i3 de sobremesa con 8 GB de RAM uso Debian 8 y GNOME Shell en  “modo clásico”. Me gusta cómo está quedando y ya sabes, al final te acostumbras, personalizas y te haces a ello. Usé KDE muchos años y no descarto volver. El tercero es un P4 en el que tengo Kali Linux tal y como viene “de serie”.

3. Los servidores que gestionas recibirán cientos de ataques al día, como cualquier cosa conectada a la red, ¿alguno curioso que hayas vivido y nos quieras contar?

Quizás el que recuerdo como situación más curiosa (dantesca por momentos) fue uno el que coincidí con el intruso en un servidor comprometido y mientras estás en la fase de análisis, mitigación, recopilación de evidencias, etc,  nos íbamos dejando mensajes en la consola a través del comando write. Yo buscaba ganar tiempo y recuerdo como si fuera ayer haber podido copiar todo /var/log para como unos 2 minutos después, ver todo vacío y devastado por un Zapper que lanzó.

4. ¿Cuál crees que es la razón principal por la que muchos servidores acaban siendo vulnerados? (0-Days, desactualizaciones, malas configuraciones…)

Una cosa siempre lleva a la otra y hay muchos escenarios del tipo: “Malas configuraciones por defecto en servidores correctamente actualizados que se quedan K.O a la mínima que llega un poco de tráfico.” También otras como: “Configuraciones por defecto eficaces, servidores actualizados y un plugin del CMS de turno que lo manda todo al carajo por una vulnerabilidad”.

Incluso a veces el problema suele ser todo el lote. Servidores mal configurados, que revelan además mucha información de servicios que no están actualizados y acaban siendo presa de un 0-Day o inyectando código en el navegador del usuario por un bug en ese CMS de turno o código propio sin revisar correctamente.

5. Estar informado de la actualidad del área es clave, ¿cuáles crees que deben ser las fuentes principales?

Aquí soy poco original. Llevo años recopilando fuentes para los Feeds que leo habitualmente (unos 1.500 según veo en mi Feedly), sigo en Twitter a personas y listas que manejan muy buena información y alguna lista de correo. Aunque estas últimas menos de lo que me gustaría por cuestiones de eficacia / tiempo.

6. Remontándonos unos años atrás, ¿cómo fue la creación de APACHEctl?

Sufrí mucho con los hostings compartidos en mis inicios, y me di cuenta que quizás hacía falta una capa intermedia de conexión entre el cliente y el proveedor de servicios que le da alojamiento. Les comenté la idea a mis amigos (y socios) AJ y Oreixa, el resto es historia. Ahí seguimos, intentando hacer las cosas bien a pesar de que nadie está exento de problemas. Pero sobre todo, puedo decir con mucho orgullo que puedo pagar facturas gracias al Software Libre (sólo tocamos servidores bajo GNU/Linux, con Debian preferentemente).

7. Eres una persona que le encanta enseñar lo que sabe, lo demuestran los muchos talleres y cursos que impartes. ¿la guía de ruta para los próximos meses?

Pues aquí he de decirte que no lo tengo muy claro porque estoy adaptando y revisando mucho material a Debian 8 y los cambios que hemos sufrido al pasar de Apache 2.2x a la rama 2.4x. Entre otros. Debido a este motivo creo que el 2015 será un año menos movido en este aspecto.

8. Olvidando un poco el presente, ¿dónde te ves en 5-10 años?

Un tema es dónde me veo y otro dónde me gustaría verme. Me imagino que currando mucho como buen autónomo, investigando, aprendiendo y procurando enseñar algo de lo aprendido (y por Deusto dando clases). Si hablamos de un lugar, perdido entre montañas junto a Brian (un Border Collie que me acompaña por las cumbres). El resto es toda una incógnita.

9. En forma de recomendación, ¿cuál ha sido el/la libro/película/serie de informática que más te ha marcado?

Sin duda “Mr Robot”. Lo tiene casi todo. Más rigor en lo técnico que lo visto hasta la fecha, interpretaciones inquietantes, GNU/Linux, Kali, Ingeniería Social para regalar y unas dosis de Hacktivismo cada vez más necesario en tiempos de mordazas y vulneración de Derechos y Libertades Civiles fundamentales.

10. Como guinda del pastel, cuéntanos algo que la gente no sepa sobre ti.

Soy un paquete con cuestiones de Hardware ¿me montáis un PC?

Iskander Sanchez-Rola
Acerca de
Content Director/Researcher at DT
Expertise: Web Security, Privacy, Reverse Engineering, Malware
iskander-sanchez-rola.github.io

Deja un comentario

Tu dirección de correo electrónico no será publicada.