Lorenzo está dentro de ese grupo de personas que les encanta compartir todo su conocimiento con la comunidad, y un ejemplo claro es Security By Default (blog del cual es co-fundador). También se puede ver esa pasión en sus charlas, en las que suele contar muchas experiencias personales, de las que por cierto, se puede aprender mucho. No hay que dejar a un lado su faceta de emprendedor, ya que empezó Securizame y ha conseguido convertirlo en lo que hoy todos conocemos. Siempre le gusta aprender, lo que se muestra en su perfil y en esta frase con la que se define:
«Con la sensación de que cuantas más cosas sé, más me falta por aprender. 24 horas al día son claramente insuficientes.”
1. Como acostumbras a decir, la curiosidad es fuerte en ti ¿Qué tienes en mente últimamente?
Ufff, mi mente es una caché de unos pocos KBs. El resto lo manejo en mi agenda y en varias listas de To Do, porque si no, se me olvida hasta lo que comí el día anterior. Mi próximo proyecto es algo relacionado con el IoT, mezclado con ingeniería social, tecnologías inalámbricas, aderezado con OSINT… Ale, ahí lo dejo, para ver si lo adivináis. Además llevo como un año con la idea de escribir un libro, en la cabeza. Tengo el contenido pensado, pero aún le doy vueltas a cuál será la editorial o forma de distribución/publicación…. y lo más importante, si podré clonarme como la oveja Dolly para que lo pueda escribir mi clon en vez de yo.
2. Sabiendo que te gusta la época dorada, ¿quién dirías que ha marcado más la historia del hacking?
Me gusta la época dorada y la historia de la informática, pienso que todos los que nos dedicamos a ella, la marcamos en mayor o menor medida. No hace falta irse a gente famosa o conocida, sino que cualquiera que dedique su tiempo a investigar, scriptear, programar y/o liberar herramientas que ayuden en alguna rama de la seguridad, tiene mi respeto y mi admiración. Otra cosa es que haya habido personas que además, han tenido la suerte de estar en el lugar indicado, en el momento preciso, y las cosas, simplemente se han dado. Desde las labores de descifrado de la codificación empleada por los alemanes en la Segunda Guerra mundial con la máquina Enigma, por parte del equipo de Alan Turing, hasta la genialidad de Steve Wozniak , o Captain Crunch (el phreaker por excelencia), o la creatividad y la magia de explotar la ingeniería social como Kevin Mitnick. Sí son nombres famosos en el Hall Of Fame de la informática, pero como digo, no me parece sencillo elegir sólo a uno.
3. ¿Cómo está tu balanza entre romper y proteger? ¿Qué es lo que más te gusta de cada lado?
Como dice un amigo, para aprender a ser candado, hay que saber cómo funciona la llave. Es decir, que pienso que ambas se complementan y se necesitan una a la otra. La seguridad es siempre un proceso iterativo entre ataque y defensa, entre descubrimiento de vulnerabilidades existentes en un sistema, y su correcto parcheo y solución… y vuelta a empezar. Si no sabes atacar, no sabes de qué tienes que tener miedo y cómo proteger…. Si sabes proteger sistemas, sabes por dónde puedes meterle mano a uno que te presentan. Me gustan y trabajo habitualmente con ambas disciplinas, pero no me olvido de una tercera, que es el análisis forense. Ésta es la que se utiliza cuando ganó el ataque ante la defensa, y hay que responder las dudas del quién, cómo, cuándo, dónde… y en algunos casos el por qué. De las tres considero que el nivel de dificultad, tanto en el aprendizaje como en el éxito de la tarea, es de mayor a menor: forense, protección y ataque.
4. Cuéntanos la vulnerabilidad o ataque más curioso que hayas visto últimamente.
No sé si curioso sería el adjetivo que mejor lo define, pero la liberación de información relativa a contratos de El Corte Inglés con diferentes empresas públicas y privadas, periodistas, etc., cuando menos es un buen ejemplo en el que se puede observar que NADIE está exento de ser vulnerado, y que se puede tener la mejor puerta blindada, electrificada, y con francotiradores arriba, pero si no te aseguras que las ventanas están seguras, pueden pasar estas cosas. El write-up que hizo la gente de la9deanon explicando cómo lo hicieron, no tiene desperdicio. OJO, no promuevo este tipo de prácticas, pero como ejercicio de concienciación para organizaciones que ni siquiera tienen un inventario correcto de los puntos de entrada a su información, es todo un ejemplo para que el resto estén/estemos con las pilas puestas.
5. Para las empresas, ¿qué les dirías a todos los que están a favor del BYOD respecto a la seguridad y privacidad?
Que cuando decidan que su estrategia estará a favor del BYOD, pongan en la balanza el supuesto de cómo le afectaría un incidente por fugas de información desde un dispositivo no controlado, versus el gasto de comprar un dispositivo a un empleado, exclusivo para su uso corporativo. Que sí, que hay mil formas de extraer información de la empresa, pero así hay un riesgo menor.
6. Siempre andas forense arriba, forense abajo, ¿cuáles son las 3 herramientas más indispensables para ti?
Una vez más es difícil quedarse con tres habiendo tantos cacharros a destripar (memoria RAM, móviles, discos duros, correos electrónicos, whatsapps, etc.) Diría que todo lo que trae la distro CAINE, además de alguna para destripar la actividad de teléfonos móviles,… y por supuesto Autopsy.
7. Como muchas veces sueles estar saltando de charla en charla, ¿qué es lo que más echas de menos de tu casa cuando estás de viaje?
Pues me pones en un compromiso al tener que elegir una sola cosa. Porque si elijo al perro, mi pareja se enfada. Si digo mi pareja, el perro (cuando le leamos la entrevista ;D) se pondrá triste, así que diré que lo mejor que me puede pasar es no echar nada de menos, porque eso significa que olvidé meterlo en la maleta y me toca dormir sin pijama o comprar un desodorante con urgencia en mi destino (true stories)
8. Dando un paso atrás, cuéntanos las mayores diferencias entre el Lorenzo de 2001 (recién acabada la carrera) y el Lorenzo de 2016.
Estudié en ESIDE, en Deusto, donde aprendí un montón de cosas de la mano de excelentes, muy buenos, buenos, regulares, malos profesores (alguno nefasto). Como siempre en muchas etapas de mi vida, en las que paso de una fase a otra, y en las que creo que estoy preparado para comerme el mundo,… y luego me doy cuenta que no es así, que es mucho más lo que me falta por aprender que lo que realmente sé.
Fundamentalmente, creo que 15 años son suficientes para dar madurez profesional a un individuo, y que te hacen darte cuenta de un montón de errores cometidos. Creo que las malas decisiones alimentan la experiencia y te ayudan a ser capaz de identificar en cada situación, qué no debes hacer, porque eso ya te pasó. El Lorenzo de 2016 tiene una gran base de malas experiencias que le permiten decidir mejor cada vez… o al menos no cometer los mismos errores, pero para que las cosas salgan bien, además del esfuerzo, es imprescindible tener suerte.
9. Ahora al contrario, ¿cuál tienes pensado que sea el próximo paso de Securizame?
Si en 2014 y 2015, abríamos una línea de formación online, (con más de 400 alumnos distintos), este año con la nueva oficina, disponemos de una excelente sala acondicionada para dar cursos presenciales en modo viernes por la tarde y sábado, lo que cubrirá la demanda de muchos alumnos que quieren perder el miedo a las máquinas, con la posibilidad de ser tutelados y ayudados, en persona. El primero de ellos lo voy a dar personalmente, el 26 y 27 de Febrero, donde haremos instalaciones más seguras de servidores Linux.
10. Esta última es doble y duda personal, ¿cuál ha sido el sticker que has tenido en el portátil que más te ha gustado? ¿y cuál te gustaría tener y no has conseguido todavía?
Espera que le doy la vuelta y te digo…. Ya está. La verdad es que todos los stickers que llevo son de alguna charla/evento en los que he participado alguna vez. Todos me traen buenos o muy buenos recuerdos. Sería incapaz quedarme con ninguno, aunque sí que reconozco que tengo ilusión por tener uno de DEFCON o BlackHat USA. Espero tener pronto alguna charla, fruto de una buena investigación, que me convenza a mí mismo para enviar a DEFCON/Blackhat (y que me acepten el paper, claro). Me han ofrecido muchos amigos regalarme stickers de ese evento, pero mi opinión es como la del anuncio, “Que no te lo cuenten, vívelo!”
