martes, 11 de septiembre de 2012

Yago Jesús, Entrevista


Hace tiempo que deseábamos publicar entrevistas en Seguridad a lo Jabalí y es Un lujo iniciar esta sección con Yago Jesús de Security byDefault.

Lo primero gracias por tu tiempo Yago Jesús, eres una referencia en seguridad informática dentro y fuera de nuestras fronteras para los despistados cuéntanos un poco tu historia. ¿Cómo empezaste, carrera profesional, donde trabajas actualmente, en que proyectos participas? 
WoW ! Vaya introducción! No creo que sea para tanto, yo creo que he tenido la suerte de conocer a gente muy muy buena de la que he intentado aprender y he tratado de ser todo lo inquieto que he podido.

A nivel profesional me he movido por muchos perfiles del mundo seguridad, he hecho pentest, he hecho forense, en la época de los IDS, muchos proyectos de IDSs, también de PKI ... 

PatriotNG, Unhide, Autodnie, Dnie TrojanKit, Web Sellada una larga lista de herramientas muy diversas que junto con tus compañeros de Security by Default aportáis a la comunidad ¿Cómo surge la idea de estos proyectos? ¿Desde que surge la idea como es el proceso hasta que la publicáis?
Espero que la respuesta no decepcione pero, en realidad no existe una metodología formal, en muchas ocasiones estamos escribiendo posts y lo que empieza con 'un pequeño script para...' termina convertido en una herramienta digna de estar en el repo.

En el caso de mis herramientas, a Patriot le tengo un especial cariño, fue un proyecto que empecé en el 2003 y tengo en la memoria algunas noches de insomnio total 'debuggeando' memory leaks que asocio inevitablemente a personas que hoy día no están entre nosotros.
Esa herramienta ha funcionado muy bien a nivel descargas, en su momento recuerdo que muchas revistas tipo PC Actual la distribuyeron en los típicos CDs con los que venían.
Unhide tal vez sea la herramienta con más difusión internacional a raíz de que está incluida en la mayoría de distribuciones Linux del mercado.
No todas han funcionado igual de bien, por ejemplo, SSLCop que en su momento me pareció un concepto muy innovador ha tenido una repercusión muy moderada. 

En SbD se reúnen una enorme cantidad de talentos, José Antonio, Alex, Lorenzo la calidad de vuestros artículos es excelente, ahora que lleváis un tiempo cuéntanos algún secretillo ¿Qué es lo que más te gusta de cada compañero? ¿El proyecto de SbD es como empezó, mantenéis los mismos hábitos o hay diferencias en las ideas, de organizaros?
Puedo decir abiertamente que si, seguimos siendo exactamente los mismos de cuando empezamos, no hay jerarquías, no hay temas-de-uno y temas-de-otro ni nada parecido. Cada uno escoge su tema libremente.

Respecto a mis compañeros, son los primeros de quien aprendo, todos son extraordinarios tanto a nivel profesional como personal. Es una gozada poder colaborar con ellos. 

Chema Alonso escribe: Me supera infinitamente esa amplitud de visión del mundo de la tecnología e intento aprender de las cosas que veo y me cuenta un "amigo común" que de vez en cuando me cuenta algo como: Yago es la polla, se le ha ocurrido que... 
¿Qué opinas del Maligno? ¿Para cuándo un libro de Yago en Informatica64?
De Chema opino que ha sido el 'Paul Gasol' de la seguridad, ha sido pionero en hacerse un nombre en conferencias internacionales y gracias a él, otros muchos han podido entrar en esos circuitos.

Lo cierto es que he tenido varias tentativas de escribir un libro para I64, había llegado a escribir el índice de dos posibles libros 'pki demystified' y 'detección de intrusos' Aun no tengo claro cuál de los dos escribir, aprovecho esta entrevista para pedir feedback :)

La seguridad es uno de los campos más amplios de la informática y evoluciona a velocidad de vértigo, profesionales se especializan en auditoría, forense, ingeniería inversa o auditoría web ¿Cómo ves el panorama laboral, recomendarías a los que comienzan mantener un perfil amplio o especializarse en menos disciplinas y profundizar más? 
Es complejo diseñar un perfil único para una profesión tan amplia, si tengo que contestar en un plano más generalista, yo diría que son básicos estos puntos:
1- Aprender un lenguaje de scripting, da igual que sea Perl, que Python o Ruby, pero es básico tener una buena soltura con un lenguaje que te permita 'prototipear' cosas en un espacio de tiempo corto.
2- Dominar cuantos más sistemas operativos mejor, no hacer ascos a nada y no caer en 'talibanismos' tipo 'Yo solo uso Linux / Mac / Windows', hay que tener una visión lo mas agnóstica posible de la informática.
3- Estar al día de lo que sucede en tu ámbito de actuación: Twitter es una gran herramienta, también hay blogs y en menor medida, listas de correo. Las CONs como Rootedcon o NcN son un buen lugar donde ver 'el estado del arte'.

En cualquiera de los casos hay que dedicar horas, es difícil entender como gestionáis el tiempo: trabajo, mantenerse actualizado, investigar, publicar artículos, conferencias además de proyectos y software ¿pretendéis desmoralizar a los que somos humanos? ¿Tenéis algún secreto? ¿Cómo es un día habitual de Yago?
Imagino que cada uno tiene su forma de hacer las cosas y lo que funciona con uno no tiene que funcionar con otra persona. Personalmente me planteo las cosas a modo de 'franjas de productividad'. La franja más productiva es aquella en la que estoy lo más offline posible: no Gtalk, no twitter, no webs. El resto de franjas son más laxas con respecto a distracciones incorporando twitter, Gtalk etc, etc.

Con la masificación de las comunicaciones, todo el mundo tiene dos o tres dispositivos, utiliza varias aplicaciones, comparte, sube… una de las cosas que sorprende cuando aprendes seguridad es lo mal que esta todo y no parecía. ¿Nos vamos a cargar la Red? ¿Perderemos “la libertad” en defensa de la seguridad con restricciones y sistemas más cerrados?
Hace un tiempo me entrevistaban para una revista y ante una pregunta similar mi respuesta fue: Creo que en la red tiene que haber el suficiente control como para que quien haga una estafa se le pueda rastrear y detener y la suficiente libertad como para que 'affaires' como el tema del Rey y los Elefantes se puedan difundir con total libertad.

Portales y blogs dedicados a seguridad, también a los usuarios menos técnicos, se reportan vulnerabilidades y se publican los grandes “FAIL”, muchas de estas intrusiones no son técnicamente espectaculares, pero la impresión que llega al público es otra. ¿A la gente no le importa la seguridad? ¿Estamos pagando la herencia del underground? ¿En ciertos entornos (con mucha pasta) es más rentable culpar al hacker que invertir en desarrollo de sistemas sólidos y profesionales de seguridad? ¿Qué se está haciendo mal?
Yo creo que no es que se esté haciendo algo en concreto mal, es que creo que toda la problemática es inherente al ser humano y al medio del que estamos hablando (la red). No creo que haya soluciones mágicas al respecto.

Pasa en todos los ámbitos de la vida: nunca erradicaremos la pobreza, la delincuencia, las drogas, etc. El ser humano es asi.

Creo que la única forma de 'sobrevivir' es tratar de estar lo más al día posible y que no te pillen desprevenidos los cambios. Internet ha supuesto un cambio de paradigma que ha dejado 'fuera de juego' a mucha gente. Dentro de X años surgirá otra cosa, el reto es saber estar ahí para cuando suceda y ser pionero en conocerlo.

Términos como hacker o hacktivismo son noticia últimamente, asociado a delincuencia en muchos casos, hay muchas definiciones sobre el término pero ¿Qué es para ti un hacker? ¿A favor o en contra del término? ¿Es Yago Jesús un hacker?
Yo creo que Hacker tiene un origen romántico, así que cualquier persona con inquietudes y una cierta dosis de altruismo puede ser un Hacker (aunque no sea necesariamente por algo relacionado con la informática), hay Hackers en la medicina, en la arquitectura... hasta en el mundo financiero !

Yago agradecerte por esta entrevista y para terminar algo un poco más personal, en conversaciones sociales (fuera de entornos laborales) en la pregunta de ¿En que trabajas? ¿Cómo te presentas: informático, seguridad, evitas el tema? ¿Y en las conversaciones de “expertos no técnicos” sobre el titular de la ultima intrusión?
Es una pena pero 'informático' es una palabra tan denostada que intento evitarla. Para la gente ajena al mundo técnico suelo decir que trabajo en 'nuevas tecnologías' aunque en muchas ocasiones su respuesta es: 'vamos, que haces páginas web’:P

Y así quedo la primera entrevista de este blog. Espero que os haya gustado...
Seguridad a lo Jabalí para Todos!!

27 comentarios:

  1. Genial! Ha estado muy bien, ¿quién será el amigo común? :O

    ResponderEliminar
    Respuestas
    1. Muchas gracias Alejandro, jajaja¿el amigo no se? ;D
      PD:Cualquier día te envio las preguntas para una interviú.

      Eliminar
  2. EXCELENTE entrevista :) le di una pasada en un dos por tres y toca leerla luego..
    SALUDOS

    ResponderEliminar
    Respuestas
    1. gracias amigo, me encantaron las respuestas de Yago, un crack!!

      Eliminar
  3. Gracias, y más,por favor más entrevistas.
    Sì esas entrevistas las pasáis a mp3 ya sería la po...
    Lo escucharía mientras conduzco mi camión.
    Un saludo.

    ResponderEliminar
    Respuestas
    1. Jajajaja lo del MP3 de momento lo veo dificil, pero te recomiendo los podcast de Daboblog, son geniales XD

      Eliminar
  4. Ya que pides (me permito el trato de tu a tu) feedbacks sobre el posible libro para I64, ahí va el mío: detección de intrusos.
    Gracias tanto a entrevistador como a entrevistado.
    Un cordial saludo

    ResponderEliminar
  5. yago, un libro de deteccion de intrusos no edtaria mal !!!

    ResponderEliminar
  6. Muy muy buena entrevista!! me ha encantado :D
    Eso si, me estais pisando a los entrevistados jajajaja :P

    En serio, muy chula y Yago excelente

    ResponderEliminar
    Respuestas
    1. Gracias akil3s, en las entrevistas por mail yo opino que depende mucho de lo que se implique el entrevistado, en este caso Yago lo hace de Lujo, estoy muy contento de como salio!!

      Eliminar
  7. Muy interesante la entrevista.
    Es un placer leerla
    saludos.

    ResponderEliminar
  8. Felicidades por la entrevista ;). Me ha encantado leerla.

    Para Yago: De los 2 libros que comentas, y al pedir feedback, creo que 'detección de intrusos' bien orientado, puede ser algo magnifico.

    ResponderEliminar
    Respuestas
    1. gracias WINSoCk, yo la verdad que tampoco quiero perderme un libro de Yago sobre PKI, va a tener que escribir los dos!!!

      Eliminar
    2. Muy chula y cercana la entrevista, me ha gustado mucho.
      Yo me sumo a la plataforma para pedir dos libros de Yago, porque ya veo que voy a ser minoría pidiendo el de PKI ;-).

      Eliminar
    3. Definitivamente tendra que escribir los dos otra no queda!! jajaja muchas gracias por el comentario ramandi XD

      Eliminar
  9. Detección de intrusos Yago. Enhorabuena por la entrevista y la pagina

    ResponderEliminar
  10. Muy buena entrevista. Hay un hacker en cada sector... Me encanta eso¡ Gracias a ambos.

    ResponderEliminar
  11. Muy bien la entrevista y aquí se puede ver todo lo que Yago va aportando a lo largo de estos años ;)

    dpkg -l | grep -i unhide

    ii unhide 20100201-1 Forensic tool to find hidden processes and ports

    Un abrazo !

    ResponderEliminar
  12. Gracias por pasarte Dabo, ¿y para cuando un podcast con Yago? ;D

    ResponderEliminar
  13. Pues cualquier día de estos, Yago da para mucho ;)

    Un abrazo !

    ResponderEliminar
  14. Yago es un crack. Gran profesional, mejor persona.
    Coincido en sugerir "Detección de intrusos".

    ResponderEliminar
    Respuestas
    1. Creo que estamos todos de acuerdo akae ahora solo nos queda esperar que nos escriba el libro o bueno los dos libros jejejeje.

      Eliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias