Esta vez tenemos la suerte de poder entrevistar a un gran investigador/auditor de seguridad y mejor persona, Joxean Koret. Lleva muchos años metido en este mundillo y siempre consigue sorprendernos con sus herramientas e investigaciones. Si queréis estar al día de donde anda metido, no olvidéis echar un vistazo a su pagina personal. Definido en una frase:
«I analyse, break and code stuff in no specific order.”
1. Es la pregunta típica, pero siempre es interesante saber la respuesta, ¿cuándo empezaste a ver que esto de la seguridad era lo tuyo?
Hacia el 2004, aproximadamente. Siempre me había interesado la seguridad informática en general pero nunca me había metido mucho en ella hasta que un día vi un aviso de seguridad de un escoces, David Litchfield, acerca de múltiples vulnerabilidades que había descubierto en el software de bases de datos Oracle e intenté reproducir algunas de las vulnerabilidades: en 1 hora tenía las vulnerabilidades que comentaba más algún 0day y me descubrí haciéndome mis propias herramientas automáticas para descubrir aún más. Debido a mi puesto laboral por aquel entonces, tenía acceso a todo el software Oracle, con parches, que quisiera para jugar y seguí mirando más: encontré decenas de 0days en escasos meses. Me pareció que no se me daba del todo mal para encontrar tanto tan rápido o que la calidad del software era tan triste que las posibilidades a encontrar vulnerabilidades no me superaban. Comencé por hacer todo lo que encontraba público hasta que un amigo argentino me dijo un día: “Ey! ¿Sabes que por esto pagan?”. Y hasta hoy.
2. Sin haber estudiado una carrera de ingeniería o ciencias de la computación, te has convertido en uno de los investigadores/auditores de seguridad más relevantes del panorama nacional. Cuéntanos por favor cuál ha sido tu trayectoria, cómo te has ido formando.
Mi principal formadora ha sido la curiosidad: “esto porque funciona así”, “qué pasaría si”, “esto porqué pasa si no debería” o, mi favorita, escuchar a alguien decir “eso es imposible”/”eso no se puede” sin dar un argumento convincente (o incluso dándolo, por aquello de ser un mayor reto). Respecto de mi trayectoria, cada 1,5 o 2 años aproximadamente, he cambiado radicalmente de herramientas y entorno (tanto laboral como profesional) y, mientras, he estado siempre estudiando todo lo que podía de tal o cuál ámbito relacionado con la seguridad informática que me interesaba en cada momento: desde el modelo OSI y kernels basados en Unix a ensamblador x86, teoría de grafos, matemáticas discretas o análisis de software (teoría de compiladores). Con ello he conseguido tener conocimientos de muchos campos completamente diferentes que, a la hora de dedicarme a la ingeniería inversa y la búsqueda de vulnerabilidades, me han venido de perlas. Sin embargo, me gustaría remarcar una cosa: el hecho de no haber estudiado una carrera no es algo que haya jugado precisamente a mí favor y es la peor recomendación que le podría hacer a alguien que tuviera la oportunidad de ir a la universidad. De hecho, me planteo ir algún día a la universidad (probablemente a distancia) y sacar la carrera de matemáticas, aunque ya con un hijo se hace mucho más difícil sacar tiempo. Aunque, por otra parte, no tengo prisa y me daría igual sacarla en 10 que en 20 años. Es más por gusto que por otra cosa.
3. Últimamente andas dando bastante guerra a las firmas de antivirus, ¿Cuándo decidiste poner tu punto de mira en ese colectivo?
Fue de casualidad. Para una conferencia de seguridad informática privada que organizamos unos amigos, alguien me preguntó si podría dar una charla acerca de cómo hacer fuzzing. Para esa charla hice una suite de fuzzing y, como no sabía que fuzzear, me dio por mirar antivirus que tuvieran una versión de línea de comandos para Linux. Así fue como empecé. Después, al ver lo “divertidos” (eufemismo para decir horriblemente mal hechos en general) que eran la mayoría de antivirus que había probado, decidí continuar investigando este tipo de software más en profundidad.
4. ¿Cuál es tu próximo objetivo para ayudar al mundo a protegerse un poco más?
De momento, seguir presionando a las casas antivirus para que hagan software de seguridad seguro, no bonitas interfaces gráficas con una etiqueta fosforita que ponga “SAFE”. Después, pues no tengo ni idea. Seguir buscando vulnerabilidades en software muy utilizado.
5. En tu día a día, ¿cuáles son tus herramientas de seguridad base?
IDA Pro, IDA Pro e IDA Pro. También Python, Pyew, Linux y software de virtualización (VirtualBox principalmente).
6. Sabemos que has reverseado todo lo que hay por reversear, pero ¿que ha sido lo que más batalla te ha dado?
El malware y el software muy mal hecho. El malware tiende a estar ofuscado y a protegerse para evitar que un analista descubra qué hace y cómo dicha pieza de software funciona. El software muy mal hecho… no sabes discernir si tiene ofuscación, trucos anti-lógica o es que simplemente son unos gañanes quienes lo programaron. Te puedes encontrar código que no se usa y se distribuye desde hace años pero cómo nadie sabe cómo funciona tal o cuál componente por si acaso no lo tocan, partes de un producto de la que perdieron el código fuente y lo “mantienen” en binario, parcheando el ensamblador y cargando una librería externa para continuar agregando más código cuando ya no tenían espacio en el binario original y… en fin, multitud de cosas similares que hacen la vida del “reverse engineer” un infierno.
7. Dentro del ámbito de la seguridad, ¿nos podrías decir algún otro compañero al que tengamos que seguir la pista?
Si bien hay mucha gente muy-muy buena, a nivel estatal mi favorito es Rubén Santamarta (Reverse Mode). Esta es mi opinión personal, pero hay pocos investigadores tan buenos como él en todo el mundo. Menos todavía tan humildes como él.
8. Fuera del mundo de la tecnología, ¿qué te gusta hacer? ¿Cuáles son tus hobbies?
Me gusta la música metal (principalmente Death, Doom y Black Metal), tocar el sintetizador (soy un aficionado, aprendí de oído un poco), la naturaleza en estado cuanto más puro mejor (hacer safaris, ver selvas o bosques, subir a montañas, ir a desiertos, etc…) y comer y beber bien, algo que se me empieza a notar en la figura…
9. Con el calendario en la mano, ¿por dónde te podemos encontrar en los próximos meses?
Pues en Octubre estaré en la conferencia T2 en Helsinki, Finlandia, y entre Noviembre y Diciembre, en la conferencia KiwiCon en Wellington, Nueva Zelanda. Y ya por suerte, salvo imprevistos, hasta Marzo del año que viene no vuelvo a viajar.
10. Para acabar con una sonrisa, ¿alguna anécdota graciosa que nos puedas contar?
Pues por ejemplo, una batalla de una empresa antivirus comentada por una amiga… Hace algún tiempo tenían un PC normal y corriente que generaba con un .BAT las firmas de dicho antivirus que se publicaban diariamente. Por algún motivo raro, a veces llegaban por la mañana y se encontraban el PC apagado y las firmas que no se habían publicado. Un día descubrieron que el problema era que el PC estaba en el suelo y que la persona de la limpieza, sin querer, a veces le daba con la fregona al botón de apagar (dejando sin la protección actualizada a todos sus clientes hasta que por la mañana llegaban las personas encargadas y lo publicaban a mano). La solución: pusieron el PC encima de una mesa. Batallas como estas, en cualquier empresa de software, puedo contar mil.
