29 mayo 2009

Entrevista a Chema Alonso (Maligno)

Chema Alonso es posiblemente el no-hacker (reniega de su especie) más famoso entre los hackers. Se ha hecho un nombre en el mundo internacional de la seguridad a base de contar todo aquello que sabe y hacerlo con humor y sencillez, nadie queda indiferente a sus charlas.

Esto es tan exagerado y real, que incluso hay una persona que sabe que íbamos a publicar una entrevista y me ha obligado a remitírsela antes de que tuviera la entrada escrita.

Desde hace un tiempo viene publicando en su blog entrevistas. Para todos sus lectores, que seguro desean verle a el bajo el foco, os dejo con la suya, que ha decido comenzar con una advertencia:


Vaya por delante que he decidió hackear vuestro blog por medio de un ataque de denegación de servicio de lectores, así que voy a contestar todas las preguntas como si fuera RoMaNSoFt.


¿Cuál fue tu primer coche? (esta es obligada, que es tu pregunta secreta para la cuenta en Live y con ella podré robar tu contraseña de hotmail)

Me alegra que me hagas esta pregunta... pues siempre quise vacilar de malignomoviles al estilo Batman, que será muy buena persona pero debe tenerla muy pequeña para tener esos pedazos de carros.

Me hubiera gustado tener un Lexus de esos superchulos y superpijos que llevan los jefes, pero mis comienzos fueron con una Nissan Vannete. Ese coche era la herramienta de trabajo de pintores de la familia y con ella, haciendo algo totalmente ilegal, me iba de farra antes de tener sacado el carné de conducir con 9 o 10 colegas metidos en ella. Me atreví incluso a hacer una rata en plena Principe de Vergara con los amigos.

Después…ya legalizado, me compré el Malignomovil 1.0. Un tres puertas muy chulo de segunda mano que se había visto inundado en algún sitio y que estuvo dando guerra hasta que murió en mis manos. Era un Seat Ibiza negro de “los cuadrados”. El acabose del malignomovil 1.0 fue cuando un mostolita más necesitado que yo decidió que mi radiocassette MX Onda de cinta valía más que mi salpicadero y que mi puerta con lo que decidió cambiar el aspecto del Malignomovil 1.0 por algo más eclético. (Descanse en paz en desguaces La Torre)

Entre el Maligno 1.0 y el 2.0 use de prestado un Renault Meganne durante tres o cuatro años en color verde que salió vivo tras tres o cuatro buenos accidentes. Hoy vive aun tranquilo disfrutando de su vejez en un tranquilo pueblecito de Soria.

El Malignomovil 2.0 fue un Audi TT, ya sabéis, de esos que llevamos los hombres de pito pequeño y ego grande. En color azul, con tracción quattro y 180 CV. Yo me lo flipaba en colores con Fito y Extremoduro cantando eso de “Y yo sigo aquí en mi nube azul todo es como yo lo he inventado…” hasta que cuatro años después, tras algún que otro abollón y siguiendo la dictadura del marketing, la productora me obligó a cambiar de modelo. Ya sabéis, para vender más coches y figuritas en blíster con el nuevo Malignomovil.

El Malignomovil 3.0 es un Nissan 350z en negro con los asientos naranjas. Es un poco más bestia, con 280 CV, un poco más grande, pero un poco menos pijo que el Malignomovil 2.0.

Si con esto no me robas la cuenta que uso para ligoteo…


¿Qué opinas del panorama actual de seguridad?

Panorama de la seguridad es algo así como todo… Pero… ya que me lo preguntas, y teniendo en cuenta que quiero hacer una entrevista impublicable debido al tamaño de las respuestas voy a contestarte en todos los aspectos.

Desde el punto de vista de los profesionales pienso que es la caña. Hay un montón de peña superbuena. Gente que sabe un huevo en todos los aspectos. Aquí hay unos crases del balón que no están bien valorados. Creo incluso que a las empresas españolas les (nos) falta visión internacional para vender los servicios en el extranjero con la capacidad de los profesionales. La lástima es, que faltando esa visión de nuestras empresas nacionales, muchos emigran a multinacionales.

Desde el punto de vista de las comunidades, es público que yo no vengo de ninguna comunidad underground (si no consideramos bronxtolex como tal), pero creo que se están haciendo muchas cosas. Últimamente es difícil que en un mes no haya entre 5 y 10 eventos de seguridad en España, que no haya algún reto hacking, algún paper superchulo o nuevas herramientas creadas por aquí.

En Internet, en esta web 3.11 para endogamia en grupo, empieza a haber gente que sabe de esto, y no técnicoless, que están compartiendo su conocimiento y experiencia con los nuevos “pibitos”.

En cuanto a las empresas que no tienen nada que ver con la seguridad, ya sabes, somos una empresa de la polla que construye/compra/distribuye/hace lo que sea, aun no se han puesto las pilas masivamente.


De todos los eventos en los que participas y has participado, ¿con cuál te quedas? ¿y el peor?

Esa sí que es una buena pregunta, que te voy a responder con mucho cariño. En mi mente hay varios eventos grabados a fuego.

Quizá el evento que recuerdo con más cariño fue un Security Day en Madrid en el año 2005 (creo) en el que en el palacio de congresos Rey Juan Carlos hubo 1.000 personas en una jornada de día completo. Allí fue donde me gané una queja oficial, pero me lo pasé de maravilla.

En cuanto al evento que más me gusta, por todo, es Defcon. Estar en la Defcon16 con el abuelo “Parada” cantando allí fue genial. Conocí a gente de mil sitios, animé a los Pandas, y, joder son Las vegas… te contaría cosas pero… sería romper la primera regla del club de la lucha.

Por último, me gusta mucho uno que me guiso y me como yo solo. Los Asegúr@IT. Mola, porque me hago las agendas a la carta, llevo a la peña que me apetece escuchar, y les pido que hablen de los temas que me molan a mí. ¿Soy o no un jeta?

Por último, he de decir, que no he ido a todos, y hay alguno de ellos que tengo muchas ganas de ir, como a la Ekoparty en Buenos Aires (please seleccionarme!!!!!!) o una RSA Conference, o HiTB, o CCC o… tantos a los que no he tenido el placer de ir.

Respecto al peor…


¿Qué opinas sobre el Cloud Computing? ¿y la web 2.0?


La nube, la puta nube que está en todas partes. Software como Servicio, aplicaciones en la nube y no en tu ordenador. Todo unpluged ¿Dónde están mis datos? La verdad, la idea suena muy bien, pero no he tenido tiempo aun ni de plantearme más vertientes y, después de pasar por la supercomputación, la tecnología grid computing que era el futuro, que ha evolucionado a la nube y el famoso cluster de playstations que iba a poner la peña para suplantar sus CPDs, paso de perder tiempo con modas que dan para muchas charlas. Supongo que el uso de servicios en servidores (sea un server virtualizado, un cluster, un supercomputer, un grid o una nube) seguirá creciendo día a día.

He visto internamente, haciendo uso del acuerdo que tengo firmado con Spectra de donación de órganos estando vivo en caso de irme de la lengua, el nuevo Office, con 100% de funcionalidades corriendo en un navegador. El Excel, el Word, el PowerPoint corriendo en los nuevos servidores Office. Como la nube. ¡Qué bonito!

Mi opinión sobre la web 2.0 es que está guay que haya más mujeres y hombres normales aquí que en la web 1.0 dónde sólo había frikis y enferm@s. Esto tiene mucho más color con gente normal. El problema es que con las oportunidades de una vida sexual más saludable han venido también otros especímenes. No sé si debimos abandonar el talk del UNIX y el ftp, para caer en esos que se abren grupos en facebook, y bots en Messenger para …


¿Has probado ya Windows 7? ¿Qué impresión te da?


Windows 7 es la caña, mola lo mires por dónde lo mires. Ahora estoy en el programa de Beta testing de Windows 7 en español y va a quedar superchulimegabonitoguay.

Windows 7 mantiene la evolución de Windows Vista y éste es una maravilla, a pesar de técnicolistas que no fueron capaces de hacer funcionar un driver o aplicación antigua. En Windows 7, resuelto ya los problemas de seguridad de XP en Windows Vista, se han centrado en la usabilidad, la interconexión, la nube, la web 2.0, etc… porque la gente lo que quiere es … y además es muy bonito. Vamos que un Windows 7 es un sistema superestable, pero que soporta tropecientos millones más de hardware, que tiene policientos millones más de programas, y encima sirve para trabajar en entornos corporativos. I’m loving it!


¿Cuál es la característica que más te ha sorprendido de Windows 7?


Pues mola el DirectAccess que permite tirar una VPN hasta a alguien que no sepa, como yo. Mola el Bitlocker to go, para cifrar volúmenes extraíbles, me pone el XP mode y las pequeñas mejoras en el interfaz. Pero lo que más llama la atención es la optimización del sistema, para hacer una experiencia gráfica increíblemente rápida y ligera. Y lo mejor de lo mejor es que sigue teniendo pelotitas…




¿Qué opinas de los IDS?, ¿y de los IPS? ¿y de los Firewalls de capa 7?


Eres un poco cabrón y mereces morir sólo por obligarme a responder estas tres preguntas, ya que parece un examen de la universidad. En general la tecnología reactiva IDS no es lo que más me pone. Suena superguay eso de inteligencia artificial, etc… pero soy de los que creo que es mejor poner IPSec antes que montar un supermega IDS (aunque sean compatibles). Los IPS me molan un poco más para el tema Web. Para mitigar cagadas en aplicaciones web un IPS puede ser la única solución si no controlas las webs que tienes que aguantar. Si se está dando hosting de manera profesional o se están publicando muchas aplicaciones web, no poner un IPS es una mala idea.

Lso Firewalls de capa 7… me molan, son guays y el nuevo ISA Server, llamado Threat Management Gateway es una solución chulísima. Publicidad: Durante Junio y Julio voy a dar cuatro charlas de TMG en Vigo, Valencia, Barcelona y Bilbao!

¿Vmware o Virtual PC?

Hiper-V y si hablas de máquina virtual en cliente… Hyper-V.

¿Cuál es la vulnerabilidad más gorda que te has encontrado?

Pues…¿te pongo los links?

Como sabes a mí me gustan las aplicaciones web y creo que he visto de todo, pero recuerdo cierta auditoría en la que se podían cambiar los precios de los pisos en venta y sacar los datos personales de más de 1.000 clientes pero al responsable le pareció… “poco importante”. Me hizo mucha gracia que un CSO dijera eso.


¿Cuales crees que serán los problemas de seguridad y las tendencias en los próximos años?

Pues creo que los problemas gordos seguirán siendo debidos al malware y que pasarán cada vez más de buscar vulnerabilidades en productos o webs, los ataques serán más masivos, más elaborados en ingeniería social y mucho más sofisticados una vez que se consigan permisos en una máquina. Y le darán caña a Apple porque es cool.

Los informáticos ganaremos mucha más pasta, los que trabajamos en seguridad informática seguiremos disfrutando de la fama y sobre todo, seguirá habiendo quien acepte todas las alertas.

Y luego el fin del mundo.



¿Cuando tienes planificado hacer el próximo reto de hacking?


Pues me alegra que me hagas esa pregunta porque el Reto Hacking X va a coincidir con el curso de Seguridad en la Universidad de Salamanca, será el reto del Señor Inalámbrico, de realizará por las calles de Salamanca. Tendrá lugar los días 8, 9 y 10 de Julio de este año y vendrá mucha gente interesante al curso. Tienes más info en esta URL: http://www.informatica64.com/CursoDeVeranoSalamanca

Organizas muchos wargames... pero ¿participas en alguno? ¿Cuál es el que más te gusta?

Pues hace bastante que no juego a ninguno. Hice los retos de boinas negras pero después de que los acabaran los grandes y participé en algunas pruebas del reto de blindsec. Realmente juego a muchos “retos hacking” a diario, pero en la intimidad…

La Foca ha tenido un gran impacto y está gustando mucho la solución. ¿Cuáles son las novedades reales que presenta?

La Foca es una herramienta que hicimos porque notamos ciertas carencias en libextractor y metagoofil. La Foca saca más info que libextractor, ya que manualmente hemos analizado cada uno de los tipos de fichero con que funciona la herramienta y se busca no sólo los metadatos, sino que además la Foca busca por información oculta tales como rutas a plantillas, impresoras, ficheros de imágenes y links a URLs. Además la FOCA busca también en Live, que completan mejor la lista de ficheros descubiertos. Además, ¿a que es molona?


¿Dónde y cuando escribes en tu blog? Es impresionante el ritmo y la continuidad ¿cómo lo haces?

¡Mira quién habla! Es público y notorio dónde redacto la mayoría de las profundas y sesudas reflexiones de mi blog, pero lo cierto es que complemento los braindump tronales con post elaborados en el sofá, en el tren, en los aeropuertos o en cualquier cafetería.

En cuanto a lo de escribir todos los días, pues la verdad es que desde hace tiempo lo que hago es dedicarme a vivir y trasponer mis vivencias en posts. Cada vez es menos maligno y cada vez es más yo ese blog… ¡Con lo que disfrutaba yo creando confusión constantemente…!

¿Alguna pista de la próxima herramienta de Informatica64?

Pues lo cierto es que ya hay varias cosas encoladas que iremos publicando. Lo primero acabar las pruebas de MetaShield Protector, luego una segunda evolución de La Foca que coincidirá con la Defcon17, además están pendientes por ahí algunas herramienta de BXI que se podrá ver en el Asegúr@IT VI, el Mummy con la métrica WiFi, una herramienta de Prefetching WebBrowsing muy chula …y alguna otra cosita suelta.


¿Qué tres libros y blogs de seguridad recomendarías?

Soy un lector voraz de casi cualquier cosa que huela a aventuras y ciencia ficción, así que te voy a recomendar muchos libros, pero de lectura.

Tres para saborear de autores españoles: 1) El señor Capone no está en casa de Andreu Martín, que he de reconocer que la novela negra me pone. 2) La ciudad de los prodigios de Eduardo Mendoza, que es una delicia de disfrutar y 3) El club dumas, que si hay un libro que me guste de Reverte es éste (¡Ríete tú del Código Davinci!).

Otros tres libros de literatura no hispana 1) Un mundo feliz, a pesar de que el final sea el de la incomprensión, de Aldous Huxley 2) Snowcrash, que eso de matarse a catanazos con los avatares tiene su aquel, de Neal Stephenson y 3)El misterio de Salmen’s Lot, que no me he cagado más en mi vida, del malote de Stephen King.

De Seguridad informática confieso que me ponen más los whitepapers que los libros y, como la mayoría de los que trabajamos en esto, los consumo masivamente. En cuanto a blogs de seguridad, me gusta SecurityByDefault (boing, boing), el de S21Sec, el de Hispasec, el de radajo, el de ConexionInversa,…y los clásicos guiris.


Porque estás en el lado del mal, ¿realmente eres un producto demarketing de Microsoft?

Es público y notorio que mis post son todos escritos por puño y letra de Bill Gates. Yo recibo una asignación mensual gracias a un acuerdo que tengo firmado que me permite decir lo que quiera menos mentar a la sagradísima señora de mi señor y a cambio, ellos dictan mis mensajes.

Realmente en la intimidad uso un MacOS con arranque dual en Ubuntu 9.0.3 que es más rápida que Windows7, consume menos, es más bonita, más usable y encima trata mejor al medio ambiente. Mi móvil es un Android y uso firefox como navegador habitual.

Pero no se lo digas a nadie.

No, en serio, estaba hasta la polla de tanto subnormal hablando mal de Microsoft cuando no se lo merecía. Entiendo que como todas las empresas, y especialmente las grandes, la caga muchas veces y la ha cagado muchas, muchas veces, pero ya era un cachondeo esto de criticar a Microsoft y se le criticaba cuando se lo merecía y cuando no, sólo por si acaso.


Todos sabemos qué prefieres Vista a XP, pero ¿XP o Ubuntu? y entre ¿Ubuntu y MacOS?

Todos sabes que prefiero Vista a XP, Vista a Ubuntu y Vista a MacOS. Si me das a elegir, prefiero MS-DOS a CPM, pero sigo excitándome todavía con los disquetes de 3 pulgadas.

18 comments :

Omar Rdguez. Soto dijo...

Yo coincido con Chema en que los Lexus pijoteros molan... Da la casualidad de que el fin de semana pasado un amigo me dio un paseito en uno... Quien sera? ;) Un abrazo

Asfasfos dijo...

Ayyyy Chemita como te va el barro!!! :).

Muy buena entrevista chicos, buen trabajo como siempre jaja!!!

Ariel M. Liguori de Gottig dijo...

Y le ha tocado al Chema! Muy buen trabajo mucachos realmente interesante ver al chema bajo la lupa, jaja, Gracias!!
A ver si uds. se vienen con el Chema a la EkoParty asi nos juntamos :-)

Saludos!
Ariel @Argentina.-

Popotxo dijo...

Jodé, otra vez ¿soy el único que cada vez que ve "EkoParty" lee Elsa Pataky?

Anónimo dijo...

Esa persona agradece el esfuerzo y el trato especial.
Una entrevista muy buena, tanto por las preguntas como por esas respuestas cortas.

Anónimo dijo...

como puede preferir vista a todo cuando deberia ser al reves :S me da ami que será por estar en lo del testing de windows 7 ...

Anónimo dijo...

Muy currada y divertida la entrevista!!

Una par de preguntas "out of Sec" por si lo lee (me divierto mucho con sus viñetas)

¿Quiénes son tu dibujante y guionista de cómic favoritos?

y

¿Tienes algún disfraz de personaje de cómic o los alquiláis para dar las charlas?

Salu2

sD6 dijo...

Una charla con el maligno es éxito seguro.

Genial entrevista SbD, alguna pregunta sorprende casi tanto como la respuesta!:D

Un saludo.

Chema Alonso dijo...

@lain, como niño que creció con los mutantes Chris Claremont es como una luz en el camino pero creo que jamás podría hablar de mi guionista preferido de comics sin hablar de otro inglés llamado Alan Moore, pero no me puedo olvidar de Goscinny, Duffoux, Quino, F. Miller, ....

En cuanto a dibujantes... uff, eso sí que es chungo: Vizcarra, Pacheco, Byrne, Art Adams, Jim Lee, Marini, Manara, Ibañez, Alan Davis, John Romita JR y John Romita Sr, Frank Miller, Tim Sale, Uderzo...

Es una de las preguntas más chungas que me podían hacer, ya que como buen géminis soy incapaz de elegir sólo uno.

Respecto a los disfraces... guardo en casa el de Cazafantasmas, pero los disfraces son creados para cada charla y así yo voy conservando el cascco de Darth Vader, las mallas de ....

;)

Saludos Malignos!

Santiago dijo...

Un pequeñisimo detalle . Cuando menciona los libros favoritos, ustedes pusieron "El misterio de Salmen’s Lot" , cuando es "El misterio de Salem's Lot".

Saludos, y el blog muy bueno, como siempre.

Shd dijo...

Buena entrevista. Después de tanto tiempo siguiendo su blog ya tenía ganas de ver al Maligno en el otro lado. Ya solo me queda ir a alguna de sus charlas.
Un saludo!

Anónimo dijo...

Dios, menudo energúmeno...

Chema Alonso dijo...

@anónimo, no lo sabes tú bien....

Il Venturetto dijo...

"un Lexus de esos superchulos y superpijos que llevan los jefes"

ROTFL!!! xDDDDD

Qué grandes sois, coño!

Shd dijo...

Buena entrevista. Después de tanto tiempo siguiendo su blog ya tenía ganas de ver al Maligno en el otro lado. Ya solo me queda ir a alguna de sus charlas.
Un saludo!

Maligno dijo...

@lain, como niño que creció con los mutantes Chris Claremont es como una luz en el camino pero creo que jamás podría hablar de mi guionista preferido de comics sin hablar de otro inglés llamado Alan Moore, pero no me puedo olvidar de Goscinny, Duffoux, Quino, F. Miller, ....

En cuanto a dibujantes... uff, eso sí que es chungo: Vizcarra, Pacheco, Byrne, Art Adams, Jim Lee, Marini, Manara, Ibañez, Alan Davis, John Romita JR y John Romita Sr, Frank Miller, Tim Sale, Uderzo...

Es una de las preguntas más chungas que me podían hacer, ya que como buen géminis soy incapaz de elegir sólo uno.

Respecto a los disfraces... guardo en casa el de Cazafantasmas, pero los disfraces son creados para cada charla y así yo voy conservando el cascco de Darth Vader, las mallas de ....

;)

Saludos Malignos!

sD6 dijo...

Una charla con el maligno es éxito seguro.

Genial entrevista SbD, alguna pregunta sorprende casi tanto como la respuesta!:D

Un saludo.

Omar Rdguez. Soto dijo...

Yo coincido con Chema en que los Lexus pijoteros molan... Da la casualidad de que el fin de semana pasado un amigo me dio un paseito en uno... Quien sera? ;) Un abrazo