«Consultor de seguridad y hacker ético. Me considero afortunado por trabajar en mi devoción, bastante curioso y sobretodo perseverante.”

1. Echando memoria atrás, ¿qué fue lo que te impulsó, primero a interesarte en la informática, y posteriormente en la seguridad?

Aún recuerdo, siendo bien pequeño, cuándo trajeron a mi vecino el primer ordenador que vi: un Sinclair ZX Spectrum. Me causó tal fascinación que soñaba con programar mis propios videojuegos o modificar los que ya había. Supongo que el simple hecho de conocer la informática me hizo enamorarme de ella.

Respecto al interés en la seguridad en concreto, vino poco después de empezar a trabajar en TI. Yo estaba en la parte de sistemas y parte de mis funciones eran la seguridad perimetral y el hardening de servidores. Documentarme en las distintas técnicas para vulnerarlos y ver ciertos ataques acabó atrayéndome al lado oscuro, aka hacking.

2. Con las bases establecidas, cuéntanos los primeros pasos de Hackplayers (luces y sombras).

En 2008 cree un blog para que un pequeño grupo de consultores pudiéramos prepararnos mejor para el CEH y conocer nuevas herramientas, técnicas, recursos, … en definitiva para mantenernos actualizados. Fue un año después cuando decidí migrar a blogger y aproveché para cambiar también el nombre del blog por su similitud con cierta novela de Ken Follet… ahí nació Hackplayers.

Pronto se convirtió en una inspiración para continuar aprendiendo y seguir siendo autodidacta. Pocas sombras puede haber en el medio que me ha permitido plasmar todas mis investigaciones y recopilar tanta información y que a la postre me ha servido para crecer y ser mejor profesional. Además, con los años Hackplayers se ha expandido en otras redes sociales y me ha permitido conocer y colaborar con mucha más gente convirtiéndose en lo que hoy en día es una verdadera comunidad.

3. Después de más de 10 años y cerca de las 2000 entradas en el blog, ¿alguna que recuerdes con especial cariño?

No es un tópico ni falsa modestia, las entradas que recuerdo con especial cariño son aquellas que han realizado mis colegas, tanto las de los que han pasado por el blog de forma temporal como las de los que todavía están colaborando. Como digo de vez en cuando, el objetivo de Hackplayers siempre ha sido ser un medio abierto y participativo y cualquier aportación siempre la he valorado y agradecido enormemente.

4. Bienvenido al 2018, el año en el que has organizado una conferencia propia. ¿Qué hizo que ese chaval que jugaba con ordenadores, como tú dices, decidiese dar este paso?

Pues la insistencia de muchos de mis compañeros, algunos del trabajo y otros partícipes muy activos en nuestras redes sociales. Ellos me acabaron convenciendo y algunos se apuntaron y forman parte del staff.

He de reconocer que era bastante reticente por el trabajo que supone organizar un “sarao” de estos, sobretodo cuando es la primera vez que lo haces y todo te viene de nuevas. Pero la primera edición salió bastante bien y todo el esfuerzo se vio recompensado. Ahora este año partimos de la experiencia anterior pero seguimos intentando innovar en algunas cosas y así afrontar nuevos retos.

5. ¿Podrías describirnos tu día a día? Suena el despertador…

Suena el despertador y le doy al botón para que vuelva a sonar en otros 10 minutos…  En serio, es una locura. Tengo dos niñas pequeñas, cuando me levanto lo primero que hago es vestirlas para llevarlas al cole. Las dejo un poco antes para que desayunen allí y me de tiempo a no llegar muy tarde a la oficina. El trabajo me mola bastante y la jornada pasa rápido. Cuando llego a casa vuelvo a ejercer de papá: baños, cena, cuentos… Mi chica madruga mucho y al final del día me quedo con el saĺón para mi sólo: enciendo el portátil, me pongo una buena serie y casi siempre me dan las tantas. Es raro el día que duerma más de 6 horas… y eso es algo que tengo que cambiar si quiero llegar a viejo…

6. Las 7 diferencias respecto a lo que el Vicente de hace una década pensaba que iba a ser él a día de hoy.

Quizás, hace más de una década eso sí, no sabía si iba a poder acabar trabajando en una de mis mayores aficiones. Antes de ello tuve varios trabajos temporales y las horas se me hacían eternas. Cuando empecé a trabajar en informática, no podía creer que me pagaran por divertirme, y aprendí a valorarlo aún más. Luego, con el paso del tiempo pude comprobar que el esfuerzo y la constancia te suelen llevar a dónde te propones.

Pero no todo fue un camino de rosas. Esos diez últimos años han sido también especialmente duros sobretodo por la enfermedad y pérdida dos familiares muy cercanos. Eso enseñó a valorar aún más cada momento y disfrutar del camino, no sólo de la consecución de los objetivos.

7. La seguridad está en boca de todos actualmente, ¿crees que es una moda pasajera o que las empresas van a apostar fuerte?

Estoy totalmente convencido de que la seguridad no es una moda pasajera, es más, pienso que cada vez será más importante en un mundo más y más interconectado, invadidos por el Internet de las Cosas, con mayor dependencia de las tecnologías en todos los ámbitos de la sociedad.

Ya lo estamos viendo, existe una gran demanda de perfiles de seguridad, tanto ofensiva como defensiva, que las empresas apenas alcanzan a cubrir. No creo que esa tendencia cambie en mucho tiempo así que mi consejo a todos los que están pensando en dedicarse a ello es que no lo duden: se augura un gran futuro para los profesionales de (ciber)seguridad.

8. Has trabajado con muchos e importantes clientes. Sin decir nombres, ¿puedes contarnos alguna situación que te hiciera llevarte las manos a la cabeza?

Cuando trabajas con clientes muy grandes te das cuenta que en la mayoría de las ocasiones su debilidad es precisamente… ser muy grandes. Más de una vez (y más de diez) me he llevado las manos a la cabeza por fallos críticos que son muy muy tontos y muchas veces son debidos a eso: a mayor superficie más fácil es encontrar un servidor desactualizado, un desarrollo discontinuado, una aplicación indocumentada o sin mantenimiento, infraestructura heredada de otras empresas absorbidas, etc. Al final es lo de siempre… la cadena es tan fuerte como su eslabón más débil.

9. Hemos hablado del pasado y del presente, pero ¿qué pasa con el futuro? ¿Nos puedes comentar tus próximos movimientos?

En los últimos años me he dedicado a realizar pentesting, auditorías técnicas y red team. Obtuve el OSCP y me enganché a plataformas como Hackthebox. También he participado en algún que otro CTF y me he dado cuenta que tengo, o que simplemente me apetece, aprender más exploiting y reversing. Además hace siglos que no hago análisis de malware ni forense, y creo que ha llegado el momento de dar un pequeño giro a DFIR.

A partir de enero, tengo la gran suerte de incorporarme a un cliente final para hacer threat hunting así que tendré la oportunidad de aprender cosas nuevas e imagino que pronto se verá reflejado cierto cambio de temática en mis posts de Hackplayers, a ver qué tal…

10. Para acabar, cual ceremonia de premios, minutos de agradecimientos.

Sobretodo a mi chica por aguantar al niño mayor que se cree juaker. Y luego a todos los que han participado y participan de alguna manera en Hackplayers. Especial mención a mis compañeros y ex-compañeros del Red Team que quieren tornar púrpura, a ese dúo calavera que soporta la infraestructura del foro y a ese equipo, también mi equipo, de locos embriagados por el licor de bellota. Y bueno, gracias por supuesto también al equipo de S3Labs de la Universidad de Deusto por esta entrevista y a todos los que habéis aguantado leyéndola hasta el final.

The post Entrevista a Vicente Motos (@hackplayers) appeared first on S3lab.

«Un apasionado y aprendiz constante de la seguridad informática, padre primerizo, y empresario.”

1. El tiempo pasa volando, hace más de 15 años que DragonJAR comenzó. La comunidad ha ido evolucionando a lo largo del tiempo, pero personal y laboralmente también habrás vivido muchos cambios. ¿Cuales han sido los más importantes? ¿Qué consejos le darías al Jaime de esos inicios?

Convertir algo que te gusta en un proyecto de vida es todo un desafío y para lograrlo constantemente tienes que estar haciendo cambios y adaptarte a las diferentes situaciones que vas viviendo, el cambio de freelance a empresario me costó bastante trabajo y saber que tengo a mi cargo tantas personas es una responsabilidad que te hace cuestionar 2 o 3 veces cada paso que das; En lo personal el cambio que más me ha costado trabajo ha sido el de separar los espacios, ya que cuando se hace lo que disfrutas tanto, es difícil evitar que eso que tanto te gusta no consuma todo tu tiempo y deje espacio para otras actividades como la vida familiar.

2. Llevas bastante tiempo involucrado con OWASP. Tengo curiosidad, ¿como decidiste formar parte de ese gran proyecto y que te hace seguir?

Siempre estuve agradecido a OWASP por todos los recursos que comparte desinteresadamente (todos deberíamos estarlo), pero cuando tomé la decisión de involucrarme en el proyecto fué gracias a mi participación del OWASP Latam Tour de Lima, hablando con los líderes de capitulo Ricardo Supo y Jhon Vargas, quienes junto a Fabio Cerullo, miembro de la junta global, me comentaban la importancia de implicar localmente la gente en el proyecto y empecé a tomar un papel más activo.

3. La pregunta es obligada, NoPetya y WannaCry. Cuéntanos cómo lo has vivido y que crees que se ha hecho mal para que esto ocurra.

Mediáticamente ha sido una locura estos 2 temas, muchos medios se hicieron eco de la noticia, pero al ver la cantidad de desinformación que salía en estos medios, internamente decidimos tratar de poner nuestro granito de arena, pusimos a un ingeniero a recibir llamadas gratuitas para tratar de concienciar sobre el tema y ayudar a las diferentes empresas que nos contactaban, recibimos muchísimas llamadas y muchas de ellas eran para evitar que estos problemas les pasara en sus empresas, por lo que generamos este documento que a muchos ayudó, pero otras llamadas las realizaban para confirmar o deslegitimar contenidos expresados por los medios de comunicación, donde se llegó a decir incluso que por tener contratados servicios de X compañía, eran más propensos a verse afectados por este ransomware.

4. Dentro del amplio abanico de áreas que ofrece la seguridad informática, ¿cuál te divierte más? ¿Siempre ha sido así?

Siempre me han parecido divertidos los procesos de pentesting y análisis forense, más que todo cuando involucran dispositivos poco convencionales o con los que hemos tenido poco contacto; Hace poco auditamos en la empresa la seguridad de un sistema de información que tenía dentro de su infraestructura dispositivos smartmeter para medir el consumo eléctrico en los hogares de toda una ciudad, fué bastante entretenido y aprendimos bastante, procesos como este personalmente los disfruto mucho y son de los que te gustaría tener más seguido.

5. Ya han pasado un par de años desde que empezaste con el hacking de vehículos. ¿Cómo consideras que ha cambiado la industria al respecto? ¿Algún cambio que todavía no se ha realizado pero crees que se debería haber hecho?

Cada que un investigador pone sus ojos en un dispositivo de este tipo, encuentra problemas de seguridad y genera grandes titulares, esto ayuda a generar conciencia en la industria automotriz y en los consumidores, que cada vez con más frecuencia solicitan características de seguridad.

La industria está tomando más conciencia en este aspecto, puede que presionados por los medios de comunicación o los propios consumidores, empiezan a solicitar más auditorías a sistemas que no eran tenidos en cuenta en años anteriores, empresas como Kaspersky empiezan a explotar poco a poco este mercado ofreciendo soluciones como el Embedded Systems Security que puede ayudar a los fabricantes a realizar sus desarrollos sobre unos buenos cimientos en cuanto a seguridad, pero falta un largo camino por recorrer en este aspecto.

6. Este septiembre se celebra la cuarta edición de la DragonJARCon, muchas felicidades. ¿Cómo surgió  y como fueron sus primeros pasos?

En los foros de la comunidad existía la idea desde hace mucho tiempo, queríamos tener la oportunidad de encontrarnos en un espacio físicamente, la primera oportunidad que tuvimos de hacer esto fué en el EISI (Encuentro Internacional de Seguridad Informática) que se realizaba en la universidad de Manizales cada dos años y que a muchos nos permitió abrir nuestras mentes contando con ponentes como roger dingledine cuando el proyecto TOR apenas tomaba fuerza, pero la universidad después de varias ediciones, dejo de realizar este evento dejando un vacío que sólo fué posible llenar cuando nos constituimos como empresa y logramos contar con el musculo financiero necesario para realizar nuestro propio evento, desde eso han pasado ya 3 ediciones de nuestro evento y este año vamos para la cuarta edición con muy buena aceptación tanto nacional como internacional.

7. ¿A qué otras conferencias de seguridad consideras que es interesante asistir? Ya sea en Latinoamérica o en otras partes del mundo.

Afortunadamente en nuestro idioma existe un amplio abanico de conferencias con muy buen nivel a las cuales podemos asistir, algunas de las más importantes por sus contenidos y trayectoria, por nombrar algunas podemos decir que la ekoparty en Argentina, la 8.8 en Chile (ahora también en Bolivia, Perú y Uruguay), la gira latinoamericana de OWASP, son eventos a los que no puedes dejar de ir.

Por el lado de España la lista es gigantesca, tienen muy buena cantidad y variedad de eventos, pero destacan al menos los que se alcanzan a ver desde este lado la RootedCON, La NoConName y el Mundo Hacker Day en la que tuve el gusto de participar el año pasado, seguramente dejo de mencionar muchas conferencias, pero son como las más emblemáticas en nuestro idioma.

Por el lado anglosajón solo he podido asistir a Bsides Las Vegas y DEFCON, tuvimos el gusto de participar en el arsenal de BlackHat en el 2015 y he escuchado muy buenos comentarios tanto de la DerbyCON como del Chaos Communication Congress en Alemania, pero aún no he podido asistir a una edición, también me dejo muchos en el tintero y seguramente los lectores podrán ayudar a mejorar la lista con sus comentarios.

8. No es necesario tener una titulación para entrar en el “gremio”, pero mucha gente no sabe por dónde empezar. ¿Recomendaciones?

Es una pregunta tan habitual que decidí generar una entrada en el blog, no me gustaría alargar mucho la entrevista con estas recomendaciones por lo que recomendaría su lectura, también puede ayudar a las personas que piensan dedicarse a la seguridad informática de forma profesional, conocer algunos de los errores más comunes a la hora de realizar un penetration testing, y todo lo que tendrá que enfrentar en este rubro.

9. No quiero perder la oportunidad de hacer esta pregunta a un referente de la seguridad informática en Latinoamérica, como eres. ¿Como ves al sector en Latinoamérica actualmente? ¿Como lo ves en unos años?

Latinoamérica es una región en crecimiento y con excelente talento, me parece que la comunidad está madurando en muchos aspectos y creciendo a pasos agigantados, muchas multinacionales están poniendo sus ojos en la región y generando oportunidades para todo el talento humano que tenemos en nuestros países, de todas formas no dejan de existir problemas y de algunos de ellos hablo en esta charla, pero le auguro un excelente futuro a la región y a esta bonita profesión.

10. Por último pero no menos importante, una frase de concienciación sobre seguridad para el mundo.

La seguridad es una carrera de resistencia, tu labor depende del bando en el que te encuentres, si eres de los que debe añadir nuevos obstáculos a los corredores para evitar que lleguen a la meta o de los que debe perseverar durante todo el camino para conseguir tu objetivo.

The post Entrevista a Jaime Andrés Restrepo (@DragonJAR) appeared first on S3lab.

«Curioso y apasionado de la seguridad de la información. Eterno ‘aprendedor’. ”

1. Siempre es un placer conocer las  historias de cómo se empezó en esto de la seguridad, ¿podemos escuchar la tuya?

Yo vengo de la parte de sistemas y mis comienzos fueron con la seguridad perimetral, instalando y gestionando firewalls. Antes había hecho mis “pinitos” vendiendo soluciones antivirus, pero eran temas más comerciales, quería “trastear” con alertas, ataques y vivir la seguridad desde otra perspectiva, de ahí mi incursión en el mundo de los firewalls.

2. Te iniciaste en el mundo de los firewalls y ahora te centras más en el pentesting, ¿qué fue lo que te impulso a dar el cambio?

Después de varios años con estos dispositivos, y también obligado por motivos profesionales, decidí cambiar el rumbo y dedicarme a los servicios de seguridad, desde un punto de vista de evaluación de la seguridad. Surge de pregunta, “OK, instalamos y gestionamos firewalls, pero ¿quién y cómo se comprueba si realmente están realizando su función?”. A partir de ahí empecé a indagar y estudiar metodologías y técnicas de pruebas de intrusión. Hasta el día de hoy, que sigo aprendiendo día a día, y cuanto más aprendo más cuenta me doy de lo poco que sé.

3. Yin Yang, cuéntanos lo mejor y lo peor de cada una de las áreas.

La parte negativa de las redes, es que después de tantos años seguimos aún estancados y sufriendo las debilidades de protocolos de red que surgieron hace ya muchos años. El cambio de IPv4 a IPv6 no acaba de arrancar, o mejor dicho, no se acaba de implementar por completo. Lo positivo, las grandes posibilidades que nos da a día de hoy, disfrutar de todo lo que Internet nos ofrece, que no es poco.

En pentesting, la parte negativa, desde un punto de vista del mercado laboral, es la falta de profesionales en este sector. Creo que desde la formación reglada se debería de hacer algo más para formar en seguridad, no de forma tan transversal sino con ofertas formativas más verticales. La parte positiva, personalmente, hay muchas, pero sobre todo una, y es que tengo la gran suerte de disfrutar mucho con mi trabajo. Creo que cualquiera que se dedique a esto, tendrá la misma percepción positiva.

4. Pura curiosidad, ¿cuáles son los errores más típicos que sueles ver en las empresas?

Sobre todo la falta de concienciación en muchos usuarios de los sistemas de información de esas empresas. Desde el punto de vista técnico, también echo en falta políticas de seguridad básicas, como el uso de contraseñas fuertes o no permitir el uso de configuraciones por defecto en sus sistemas de información. BYOD y la ausencia de políticas de seguridad para estos dispositivos, o la ausencia de un MDM (Gestión de Dispositivos Móviles), es algo también bastante habitual.

5. Como sueles decir, hay que aprender cosas nuevas todos los días, ¿qué tienes en mente últimamente?

Últimamente estoy alternando algunas investigaciones en pentesting de aplicaciones iOS y e ingeniería inversa, conociendo nuevas herramientas y técnicas que pueda utilizar en mi día a día. Para la auditoría de aplicaciones móviles, el análisis estático del binario y en tiempo de ejecución es fundamental. Ahora ando “peleándome” con Radare2, que precisamente me puede ayudar mucho con este tipo de análisis con aplicaciones iOS, no sólo en su análisis estático sino también en la depuración. Me parece una herramienta espectacular y que no domino para nada. Así que ahí ando leyendo documentación a ver si pillo algo.

6. El ataque DDoS de hace unas semanas que lanzo la botnet IoT Mirai era algo que antes o después iba a acabar pasando, ¿cuál crees que debería ser la solución para que este tipo de cosas no vuelvan a pasar?

Está claro que seguimos cometiendo los mismos errores. Por desconocimiento, los usuarios hacen uso de dispositivos IoT de los cuales no conocen su funcionamiento más allá de la funcionalidad básica. Desconocen cómo se comunican y por lo tanto cómo protegerlos. Esto da lugar a este tipo de ataques, y lo extraño es que no se haya producido mucho antes. ¿La solución? Creo que es un cúmulo de varios factores. Los fabricantes deberían de incluir en su manual de usuario, unas indicaciones básicas de seguridad en cuanto a protección, no permitir configuraciones por defecto (como credenciales) y los usuarios deberíamos de preocuparnos más de esta protección.

7. Hablando de noticias de seguridad, ¿con cuál te quedaste pegado al asiento y tuviste que volverla a leerla? ¿por qué?

Bueno han sido muchas, pero quizás por ser más reciente, la del robo de datos de tarjetas bancarias en la India, creo que cerca de 3 millones de tarjetas afectadas. Impactante.

8. Informalizar las conferencias de hacking con cerveza ha sido una gran idea., ¿cuáles dirías que son las mayores diferencias entre el primer Hack&Beers y el último?

Ya son 4 años de Hack&Beers, y llegar hasta aquí no es fácil, sobre todo porque la gente que participa organizando cada H&B está trabajando y estudiando, y precisamente no les sobra mucho tiempo. Mantener la filosofía de carácter abierto a todo el mundo, no solo asistentes sino también de ponentes es uno de los factores que nos han ayudado durante este tiempo. Por lo tanto la gran diferencia no va más allá que del número de ciudades en los que estamos ya presentes (más de 20 si no recuerdo mal) y la cantidad de dinamizadores y ponentes que tenemos en toda España, a los cuales desde aquí quiero aprovechar y agradecer su inmensa labor, ya que sin ellos H&B no sería posible.

9. Hoy en día todo el mundo habla de Mr. Robot, pero tampoco tenemos que olvidar clásicos como Wargames. Sabiendo que te gusta el cine, ¿qué películas “old school” consideras indispensables?

Bueno la de Juegos de Guerra creo que es típica ya y todo el mundo la recomendamos. Yo recomendaría también Hackers, a mí particularmente me gustó mucho y digamos que ahí empezó mi interés por la seguridad. Además la banda sonora con Prodigy, entre otros, es brutal.

10. Para acabar, me gustaría hacerte una pregunta que me suelen hacer: Me quiero comprar un portátil para hacking, ¿qué me recomiendas?

Sin entrar en detalle de fabricantes, y por mi experiencia, al final lo que más vas a necesitar es micro y RAM, sobre todo porque usarás varias máquinas virtuales, para hacer pruebas. Actualmente tengo un i7 con 16 GB de RAM, Debian y VirtualBox para la virtualización. Para un perfil principiante, quizás menos requisitos hardware para empezar, y en cuanto a distribución pues Kali, que ya tiene instalado la mayoría de herramientas necesarias para hacer pentesting.

The post Entrevista a Miguel A. Arroyo (@miguel_arroyo76) appeared first on S3lab.

«Con la sensación de que cuantas más cosas sé, más me falta por aprender. 24 horas al día son claramente insuficientes.”

1. Como acostumbras a decir, la curiosidad es fuerte en ti ¿Qué tienes en mente últimamente?

Ufff, mi mente es una caché de unos pocos KBs. El resto lo manejo en mi agenda y en varias listas de To Do, porque si no, se me olvida hasta lo que comí el día anterior. Mi próximo proyecto es algo relacionado con el IoT, mezclado con ingeniería social, tecnologías inalámbricas, aderezado con OSINT… Ale, ahí lo dejo, para ver si lo adivináis. Además llevo como un año con la idea de escribir un libro, en la cabeza. Tengo el contenido pensado, pero aún le doy vueltas a cuál será la editorial o forma de distribución/publicación…. y lo más importante, si podré clonarme como la oveja Dolly para que lo pueda escribir mi clon en vez de yo.

2. Sabiendo que te gusta la época dorada, ¿quién dirías que ha marcado más la historia del hacking?

Me gusta la época dorada y la historia de la informática, pienso que todos los que nos dedicamos a ella, la marcamos en mayor o menor medida. No hace falta irse a gente famosa o conocida, sino que cualquiera que dedique su tiempo a investigar, scriptear, programar y/o liberar herramientas que ayuden en alguna rama de la seguridad, tiene mi respeto y mi admiración. Otra cosa es que haya habido personas que además, han tenido la suerte de estar en el lugar indicado, en el momento preciso, y las cosas, simplemente se han dado. Desde las labores de descifrado de la codificación empleada por los alemanes en la Segunda Guerra mundial con la máquina Enigma, por parte del equipo de Alan Turing, hasta la genialidad de Steve Wozniak , o Captain Crunch (el phreaker por excelencia),  o la creatividad y la magia de explotar la ingeniería social como Kevin Mitnick. Sí son nombres famosos en el Hall Of Fame de la informática, pero como digo, no me parece sencillo elegir sólo a uno.

3. ¿Cómo está tu balanza entre romper y proteger? ¿Qué es lo que más te gusta de cada lado?

Como dice un amigo, para aprender a ser candado, hay que saber cómo funciona la llave. Es decir, que pienso que ambas se complementan y se necesitan una a la otra. La seguridad es siempre un proceso iterativo entre ataque y defensa, entre descubrimiento de vulnerabilidades existentes en un sistema, y su correcto parcheo y solución… y vuelta a empezar. Si no sabes atacar, no sabes de qué tienes que tener miedo y cómo proteger…. Si sabes proteger sistemas, sabes por dónde puedes meterle mano a uno que te presentan. Me gustan y trabajo habitualmente con ambas disciplinas, pero no me olvido de una tercera, que es el análisis forense. Ésta es la que se utiliza cuando ganó el ataque ante la defensa, y hay que responder las dudas del quién, cómo, cuándo, dónde… y en algunos casos el por qué. De las tres considero que el nivel de dificultad, tanto en el aprendizaje como en el éxito de la tarea, es de mayor a menor: forense, protección y ataque.

4. Cuéntanos la vulnerabilidad o ataque más curioso que hayas visto últimamente.

No sé si curioso sería el adjetivo que mejor lo define, pero la liberación de información relativa a contratos de El Corte Inglés con diferentes empresas públicas y privadas, periodistas, etc., cuando menos es un buen ejemplo en el que se puede observar que NADIE está exento de ser vulnerado, y que se puede tener la mejor puerta blindada, electrificada, y con francotiradores arriba, pero si no te aseguras que las ventanas están seguras, pueden pasar estas cosas.  El write-up que hizo la gente de la9deanon explicando cómo lo hicieron, no tiene desperdicio. OJO, no promuevo este tipo de prácticas, pero como ejercicio de concienciación para organizaciones que ni siquiera tienen un inventario correcto de los puntos de entrada a su información, es todo un ejemplo para que el resto estén/estemos con las pilas puestas.

5. Para las empresas, ¿qué les dirías a todos los que están a favor del BYOD respecto a la seguridad y privacidad?

Que cuando decidan que su estrategia estará a favor del BYOD, pongan en la balanza el supuesto de cómo le afectaría un incidente por fugas de información desde un dispositivo no controlado, versus el gasto de comprar un dispositivo a un empleado, exclusivo para su uso corporativo.  Que sí, que hay mil formas de extraer información de la empresa, pero así hay un riesgo menor.

6. Siempre andas forense arriba, forense abajo, ¿cuáles son las 3 herramientas más indispensables para ti?

Una vez más es difícil quedarse con tres habiendo tantos cacharros a destripar (memoria RAM, móviles, discos duros, correos electrónicos, whatsapps, etc.) Diría que todo lo que trae la distro CAINE, además de alguna para destripar la actividad de teléfonos móviles,… y por supuesto Autopsy.

7. Como muchas veces sueles estar saltando de charla en charla, ¿qué es lo que más echas de menos de tu casa cuando estás de viaje?

Pues me pones en un compromiso al tener que elegir una sola cosa. Porque si elijo al perro, mi pareja se enfada. Si digo mi pareja, el perro (cuando le leamos la entrevista ;D) se pondrá triste, así que diré que lo mejor que me puede pasar es no echar nada de menos, porque eso significa que olvidé meterlo en la maleta y me toca dormir sin pijama o comprar un desodorante con urgencia en mi destino (true stories)

8. Dando un paso atrás, cuéntanos las mayores diferencias entre el Lorenzo de 2001 (recién acabada la carrera) y el Lorenzo de 2016.

Estudié en ESIDE, en Deusto, donde aprendí un montón de cosas de la mano de excelentes, muy buenos, buenos, regulares, malos profesores (alguno nefasto). Como siempre en muchas etapas de mi vida, en las que paso de una fase a otra, y en las que creo que estoy preparado para comerme el mundo,… y luego me doy cuenta que no es así, que es mucho más lo que me falta por aprender que lo que realmente sé.

Fundamentalmente, creo que 15 años son suficientes para dar madurez profesional a un individuo, y que te hacen darte cuenta de un montón de errores cometidos. Creo que las malas decisiones alimentan la experiencia y te ayudan a ser capaz de identificar en cada situación, qué no debes hacer, porque eso ya te pasó.  El Lorenzo de 2016 tiene una gran base de malas experiencias que le permiten decidir mejor cada vez… o al menos no cometer los mismos errores, pero para que las cosas salgan bien, además del esfuerzo, es imprescindible tener suerte.

9. Ahora al contrario, ¿cuál tienes pensado que sea el próximo paso de Securizame?

Si en 2014 y 2015, abríamos una línea de formación online, (con más de 400 alumnos distintos), este año con la nueva oficina, disponemos de una excelente sala acondicionada para dar cursos presenciales en modo viernes por la tarde y sábado, lo que cubrirá la demanda de muchos alumnos que quieren perder el miedo a las máquinas, con la posibilidad de ser tutelados y ayudados, en persona. El primero de ellos lo voy a dar personalmente, el 26 y 27 de Febrero, donde haremos instalaciones más seguras de servidores Linux.

10. Esta última es doble y duda personal, ¿cuál ha sido el sticker que has tenido en el portátil que más te ha gustado? ¿y cuál te gustaría tener y no has conseguido todavía?

Espera que le doy la vuelta y te digo…. Ya está. La verdad es que todos los stickers que llevo son de alguna charla/evento en los que he participado alguna vez. Todos me traen buenos o muy buenos recuerdos. Sería incapaz quedarme con ninguno, aunque sí que reconozco que tengo ilusión por tener uno de DEFCON o BlackHat USA. Espero tener pronto alguna charla, fruto de una buena investigación, que me convenza a mí mismo para enviar a DEFCON/Blackhat (y que me acepten el paper, claro). Me han ofrecido muchos amigos regalarme stickers de ese evento, pero mi opinión es como la del anuncio, “Que no te lo cuenten, vívelo!”

The post Entrevista a Lorenzo Martínez (@lawwait) appeared first on S3lab.

«Aspirante a alpinista, irreverente, inconformista, flexible. Debianita hasta el fin de los días y sobre todo, muy amigo de mis amigos.”

1. Empezamos con una pregunta con miga, ¿qué es GNU/Linux para ti? Y más profundo todavía, ¿qué es GNU/Linux para el mundo?

Para mi es una forma muy especial de relacionarme con el Software y que va más allá de planteamientos puramente técnicos. Un necesario movimiento de personas que actúan como una colmena perfectamente organizada, dando respuesta de forma eficaz, transparente y abierta a las necesidades de la Comunidad.

2. Esta pregunta es más curiosidad que otra cosa, ¿en tu equipo que gestor de ventanas utilizas? ¿porque?

Actualmente tengo 3 Pcs. El portátil (que conoces de las clases) un Celeron a 1.7 ghz y 2 GB de RAM con unos cuantos años en el que uso Debian 8 Stable con MATE ¿Por qué? Es quizás lo que se esperaba de GNOME como evolución, además de consumir pocos recursos. También tengo ahí LXDE y voy alternando (ligereza, nada de “meta paquetes” y rendimiento).

En el habitual, un Core i3 de sobremesa con 8 GB de RAM uso Debian 8 y GNOME Shell en  “modo clásico”. Me gusta cómo está quedando y ya sabes, al final te acostumbras, personalizas y te haces a ello. Usé KDE muchos años y no descarto volver. El tercero es un P4 en el que tengo Kali Linux tal y como viene “de serie”.

3. Los servidores que gestionas recibirán cientos de ataques al día, como cualquier cosa conectada a la red, ¿alguno curioso que hayas vivido y nos quieras contar?

Quizás el que recuerdo como situación más curiosa (dantesca por momentos) fue uno el que coincidí con el intruso en un servidor comprometido y mientras estás en la fase de análisis, mitigación, recopilación de evidencias, etc,  nos íbamos dejando mensajes en la consola a través del comando write. Yo buscaba ganar tiempo y recuerdo como si fuera ayer haber podido copiar todo /var/log para como unos 2 minutos después, ver todo vacío y devastado por un Zapper que lanzó.

4. ¿Cuál crees que es la razón principal por la que muchos servidores acaban siendo vulnerados? (0-Days, desactualizaciones, malas configuraciones…)

Una cosa siempre lleva a la otra y hay muchos escenarios del tipo: “Malas configuraciones por defecto en servidores correctamente actualizados que se quedan K.O a la mínima que llega un poco de tráfico.” También otras como: “Configuraciones por defecto eficaces, servidores actualizados y un plugin del CMS de turno que lo manda todo al carajo por una vulnerabilidad”.

Incluso a veces el problema suele ser todo el lote. Servidores mal configurados, que revelan además mucha información de servicios que no están actualizados y acaban siendo presa de un 0-Day o inyectando código en el navegador del usuario por un bug en ese CMS de turno o código propio sin revisar correctamente.

5. Estar informado de la actualidad del área es clave, ¿cuáles crees que deben ser las fuentes principales?

Aquí soy poco original. Llevo años recopilando fuentes para los Feeds que leo habitualmente (unos 1.500 según veo en mi Feedly), sigo en Twitter a personas y listas que manejan muy buena información y alguna lista de correo. Aunque estas últimas menos de lo que me gustaría por cuestiones de eficacia / tiempo.

6. Remontándonos unos años atrás, ¿cómo fue la creación de APACHEctl?

Sufrí mucho con los hostings compartidos en mis inicios, y me di cuenta que quizás hacía falta una capa intermedia de conexión entre el cliente y el proveedor de servicios que le da alojamiento. Les comenté la idea a mis amigos (y socios) AJ y Oreixa, el resto es historia. Ahí seguimos, intentando hacer las cosas bien a pesar de que nadie está exento de problemas. Pero sobre todo, puedo decir con mucho orgullo que puedo pagar facturas gracias al Software Libre (sólo tocamos servidores bajo GNU/Linux, con Debian preferentemente).

7. Eres una persona que le encanta enseñar lo que sabe, lo demuestran los muchos talleres y cursos que impartes. ¿la guía de ruta para los próximos meses?

Pues aquí he de decirte que no lo tengo muy claro porque estoy adaptando y revisando mucho material a Debian 8 y los cambios que hemos sufrido al pasar de Apache 2.2x a la rama 2.4x. Entre otros. Debido a este motivo creo que el 2015 será un año menos movido en este aspecto.

8. Olvidando un poco el presente, ¿dónde te ves en 5-10 años?

Un tema es dónde me veo y otro dónde me gustaría verme. Me imagino que currando mucho como buen autónomo, investigando, aprendiendo y procurando enseñar algo de lo aprendido (y por Deusto dando clases). Si hablamos de un lugar, perdido entre montañas junto a Brian (un Border Collie que me acompaña por las cumbres). El resto es toda una incógnita.

9. En forma de recomendación, ¿cuál ha sido el/la libro/película/serie de informática que más te ha marcado?

Sin duda “Mr Robot”. Lo tiene casi todo. Más rigor en lo técnico que lo visto hasta la fecha, interpretaciones inquietantes, GNU/Linux, Kali, Ingeniería Social para regalar y unas dosis de Hacktivismo cada vez más necesario en tiempos de mordazas y vulneración de Derechos y Libertades Civiles fundamentales.

10. Como guinda del pastel, cuéntanos algo que la gente no sepa sobre ti.

Soy un paquete con cuestiones de Hardware ¿me montáis un PC?

The post Entrevista a David Hernández (@daboblog) appeared first on S3lab.

«Not one day goes by that I don’t ride, ‘til the infinite, the horse of my imagination.” (Salvador Dalí)

1. Me imagino que ahora no podrás trastear tanto como en los viejos tiempos, si pudieses, ¿qué te gustaría hacer?

Cada vez es más difícil encontrar tiempo para poder trastear, pero la verdad es que dedico todo lo que puedo porque es necesario para no quedarte atrás. Todas las noches dedico varias horas y busco huecos los fines de semana. Si tuviera todo el tiempo del mundo me gustaría dedicarme a aprender y mejorar técnicas de explotación en móviles (iOS, Android).

2. Actualmente andas “infectando BIOS” a diestro y siniestro, ¿cómo te dio por eso?

Pues es una buena pregunta. Principalmente porque llevaba mucho tiempo escuchando cosas sueltas sobre ello pero la información disponible no estaba bien organizada, además de que me parece un tema apasionante, sobre todo porque es lo primero que se ejecuta en un dispositivo y puede tener el control total del mismo. Quizás lo que me animó más a investigar un poco fue cuando vi que la NSA tenía varias herramientas para infección en BIOS.

3. Has participado en muchos proyectos, pero ¿cuál ha sido el que más te ha marcado?

Desde el punto de vista profesional, tengo especial cariño a todos los proyectos pero quizás pueda resaltar un incidente en el que estuvimos 4 días sin apenas dormir varias personas hasta que pudimos solucionarlo (analizando muchos equipos y haciendo ingeniería inversa de varios binarios), un pen-testing de 3 semanas varias personas en el que el ultimo día a última hora un compañero consiguió desarrollar un exploit para un servicio en Solaris y entramos hasta la cocina triunfando; pero quizás los que más me han marcado han sido la infinidad de proyectos en los que llamaba un cliente porque tenía un problema serio y cogíamos todas las herramientas y nos presentábamos donde estuviera el cliente a una aventura totalmente nueva y que no te esperabas de qué se trataba. Mentiría si no digo que he disfrutado mucho en esos proyectos donde un día era una DDoS, otro una intrusión, otro un malware, otro un sabotaje, otro un empleado interno, etc. Solucionar con éxito estos proyectos y ver qué ayudas a otra persona es una satisfacción personal enorme.

4. BlackHat 2005, me parece que no es necesario decir más. Detállanos como fue.

Fue una muy buena experiencia con mi amigo Alfredo. Íbamos muy nerviosos porque BlackHat en esa época era LA conferencia y todo el mundo que presentaba algo quería presentarlo allí. Estabamos bastante nerviosos y aunque nuestro inglés no era de Cambridge quedo muy bien, sobre todo porque teníamos un 0day de Cisco de VTP que mostramos en vivo y nadie se lo esperaba. Un muy buen recuerdo.

5. Ya que hablamos del tema, ¿qué opinas de las conferencias nacionales?

Me parece que en España se goza de muy buena salud y es un momento dulce puesto que ya existen multitud de conferencias por muchas partes de España y no hace falta ir a Madrid o a Barcelona para ver charlas de calidad y en muchos casos las charlas tienen una calidad muy alta comparables con las que podemos ver en cualquier otro evento en el extranjero. Haciendo una crítica constructiva, necesitamos que más gente nueva se anime a dar charlas, exista más coordinación entre las conferencias y quizás un poco de internacionalización.

6. Si se puede contar, ¿qué ha sido la cosa más rara que has visto cuando trabajabas en eCrime?

La verdad es que hemos visto de todo, porque muchas veces hemos tenido que ir corriendo durante el transcurso de algún incidente grave, tanto a un gobierno o gran empresa, como a casas particulares de personas que les habían robado dinero y parecía que era un nuevo vector de ataque. Lo que más me sorprendió (y me gustó) fue un ataque a gran escala usando redes X25 (sí, todavía se usan) o analizar DNS Cache poisoning contra grandes empresas en tiempo real.

7. ¿Cuáles crees que serán las tendencias de este año en seguridad informática?

2015 parece que va a ser un año continuista si nos fijamos en las amenazas de hoy en día (seguirá habiendo malware, phishing, ingeniería social, etc.) , pero creo que van a salir grandes vulnerabilidades que llevaban latentes mucho tiempo (tipo Ghost, Heartbleed, etc.) que seguramente estén siendo aprovechadas ahora mismo por ciertos grupos (tanto respaldados por gobiernos como no). Ahora mismo hay mucha exageración con el IoT (Internet of Things) pero todo es muy exagerado, con lo que no veo que por ahí venga nada. También sospecho que veremos vulnerabilidades graves en iOS y Android puesto que hay muchos grupos trabajando incansablemente en ello.

8. Seguro que sueles andar bastante liado, ¿cómo es tu día a día?

Al vivir fuera de Madrid me toca estar casi siempre de viaje, ya sea por España o por fuera, con lo que siempre me veréis con una maleta a cuestas. Intento minimizar las reuniones y compaginar el día a día que a veces es demasiado intenso con la lectura de nuevas investigaciones, probar nuevas herramientas, trastear en tecnologías que no conozco, etc. Por ejemplo recientemente estoy programando mucho en NodeJS para aprender todo su entorno pero también jugando con herramientas como Phabricator, Travis, Jenkins, Xen etc. o programar plugins de Volatility que últimamente me gusta mucho.

9. Después del afamado Latch, ¿cuál es el siguiente paso de Eleven Paths?

Ahora mismo estamos enfrascados con Path5 y digamos que es un repositorio brutal de apps de Android para poder analizar y correlar todas las apps que se suben nuevas cada día. Estamos descubriendo técnicas muy interesantes (como Shuabang que recomiendo que leáis el informe) todos los días para hacer el mal.

10. Para poner punto final a la entrevista y sabiendo que eres un gran aficionado a las series, ¿podrías recomendarnos alguna?

Será un placer, pero espero que me recomendéis también. Como recomendables al 100% recientes diría House of Cards, Fargo, True Detective y Game of Thrones, y para pasarlo bien Silicon Valley y Curb Your Enthusiasm.

The post Entrevista a David Barroso (@lostinsecurity) appeared first on S3lab.