Renaud Bidou está considerado un gurú de la seguridad, un experto todoterreno a nivel europeo. Nacido en Francia, este chico ha sido un "fijo" asistente en las ediciones de Black Hat Europa (Amsterdam), ponente en Black Hat US un par de veces, CanSecWest e IT Underground.Especialista en IPS durante varios años en Radware, fundador del cuarto CERT (Computer Emergency Response Team) más importante en Francia a principios de siglo XXI. Actualmente, es el CTO (Chief Technical Officer) para Deny All (la compañía para la que trabajo).
Después de una mañana de trabajo en Barcelona, le propuse una entrevista para Security By Default y aceptó. Así que ahí vamos!
- Son un montón de años dedicados a la seguridad. ¿Cómo empezaste?
Mi padre me dio la oportunidad de empezar muy joven, teniendo un PC en mi habitación a los 7 años, a principios de los 80. Me dijo que era el futuro y que me tendría que acostumbrar. Era un Victor (nadie los recuerda hoy en día) corriendo en una versión muy temprana de MS-DOS. Así aprendí a programar en Basic. Cuando tenía unos 12 años comencé con el pentest en juegos para tener puntos infinitos, adivinar contraseñas, etc,.
Recuerdo cuando no había Internet, y aprendías por un amigo que aprendió por un tío cuyo padre era desarrollador. Llevó tiempo, mucho tiempo. Recuerdo muy al principio editando un fichero de texto con "debug"... Desde los 7 años los ordenadores son parte de mi vida. Empecé en el mundo de la seguridad desde 1996.
- ¿Has estado alguna vez en el "lado oscuro"?
En términos de seguridad, el objetivo es saber de qué riesgos has de proteger las infraestructuras. Honestamente, si no tienes experiencia "entrando" en un sistema, si sólo confías en rumores, "hechos sabidos" o si te crees a ciegas lo que los fabricantes te dicen, entonces no tienes ni idea de lo que está sucediendo y no tienes oportunidad de proteger nada. Ahorra tiempo y dinero y no hagas nada.
Hacking no es sólo tecnología, sino encontrar otras formas de hacer las cosas.
Las experiencias reales de hacking no son aquellas que funcionan a la primera con un zero-day que has hecho o encontrado, sino las que te han llevado tiempo (horas, días, semanas...) para investigar como entrar que te desesperan y esperanzan y al final generan esta cantidad de adrenalina. Una experiencia necesaria es cuando has invertido mucho tiempo en algo y otra persona que conoces te explica cómo lo hizo en 15 minutos. Esta lección es la más importante: la humildad.
Alguien que no ha vivido estas experiencias se pierde algo para fortalecer apropiadamente un sistema.
- Has dado varias ponencias en Conferencias Internacionales de Seguridad. Actualmente, ¿cuál de ellas es la que más interesante te parece/te gusta?
Depende a lo que vaya. Las que más me gustan son aquellas que incluyen sesiones rápidas. En ellas, las charlas van directas al grano. No necesitas perder 15 minutos contando lo básico de un SQL Injection, porque has de ajustarte a 45 minutos de tiempo total.
Para las demás, no tengo preferencias porque voy a las que me gustan, por su contenido, la gente o el entorno. Mi opinión personal es:
- Por el contenido: CanSecWest, aunque HackitoErgoSum parece muy prometedora.
- Por el entorno: Las Vegas... uy... perdón Black Hat US
- Por la actitud geek: Defcon, también en Las Vegas...
- Por la gente: SSTIC, en Francia, donde me reuno con la mayoría de la gente que conozco de la comunidad francesa.
- ¿Prefieres proteger o reventar la seguridad de un sistema?
Sin lugar a dudas: Proteger. Es mucho más complicado. Cuando diseñas la seguridad de una infraestructura de TI tienes que cuidar miles de cosas. Desde el control de acceso físico hasta los errores en una librería usada por un módulo apache en una máquina perdida en medio de la arquitectura. Además está la red, sistema operativo, bases de datos, usuario (esa gente inconsciente que hace click en cualquier parte, instala software de test como root, etc,...)
Tú estás solo contra cientos de tíos que juntos saben muchísimo más que tú en todos los temas con los que has de lidiar. Es un reto real, porque sabes (o deberías saber) que algún día alguien entrará en tu sistema, y no sabrás cómo, ni cuándo ni dónde, pero entrarán.
Entonces el reto continúa. Tienes que identificar la intrusión, ralentizarla, limitar el impacto potencial y cerrar la puerta.
Mucho más desafiante, y mucho más divertido, como te digo.
- Has publicado en tu web un montón de papers y proyectos interesantes. ¿Todavía creas herramientas en tu tiempo libre para proteger o reventar la seguridad de sistemas?
Siempre lo hago. Y muchas veces escribo herramientas que ya existían y eran mejores que las que terminé haciendo yo. Pero el hecho es que si quieres saber y entender una tecnología, la mejor forma es hacerla por tí mismo. Por ejemplo, tú sabes sobre ARP spoofing y eres un experto usando Ettercap, pero escribe tus propias herramientas y aprenderás mucho más sobre capa 2 de networking que, aunque si tu herramienta es una "mierda", merecerá invertir ese tiempo.
Sobre mi página web (http://www.iv2-technologies.com/~rbidou/) no la actualizo muy a menudo pero está casi todo lo que creo que puede ser de interés a... cualquiera de este campo. No hay copyrights, ni extrañas licencias GNU, GPL, GNUPLs,... Si quieres usarlo sin entender, es tu problema y tu elección permanecer siendo ignorante. Si quieres aprender, entonces es para tí.
- ¿Cuál es tu sistema operativo favorito? ¿y el que usas actualmente? y tu distribución Linux preferida?
Depende de lo que quieras hacer y cuánto sepas del sistema operativo que estás hablando. Si un SO te va bien, ese es bueno para tí, pero puede que no para el resto.
¿Cuáles uso?
- En el portátil de la oficina: Windows XP
- En casa: Windows Vista
- En mi portátil personal: Linux CentOS
- En los servidores de mi laboratorio: Linux Debian and CentOS
- En nuestro producto: Linux Ubuntu
¿Mi distribución favorita? Buena pregunta, empecemos a trollear... y luego hablemos de mi gestor de ventanas favorito...
- Finalmente, ¿quién ganará la guerra: los ciberatacantes o los ciberprotectores?
¿Hmmm, y quién ganará entre el crimen y la ley? Ya sabes que no hay ganador en la guerra, y eso es bueno para todos nosotros estando en el lado que estemos, aunque estés en medio. Si uno gana, todos nos moriremos de aburrimiento.
..
..
..
- ¿Qué hay de mi revisión salarial? ooops creo que esta pregunta no iba en esta entrevista ;D
[+] Entrevista original: Si queréis descargar y leer la versión original en inglés de la entrevista, podéis hacerlo desde aquí
[+] Original Version: If you want to download and read the original version of the interview in english, you can do it here
[+] Version Originale: Si vous souhaitez la version originale de cette interview: cliquez ici
4 comments :
Muy bueno, sobretodo la parte de la humildad...y la de la revisión salarial ;)
Me ha gustado mucho la entrevista.Enhorabuena
Hola! Muy buena entrevista! Me ha encantado particularmente la respuesta a la pregunta "Has estado alguna vez en el lado oscuro". Como sugerencia, me hubiera gustado saber dónde se le va a ver en el futuro, si impartirá nuevas conferencias, si tiene nuevos proyectos o papers en camino... . Pero repito, súper :) Slds!!
Excelente entrevista, me pareció muy positiva y reflexiva. Me gusto mucho la parte donde dice que si realmente quieres aprender a hacer algo debes hacerlo por tu mismo aunque aquello que hagas no sea de lo mejor lo importante es el conocimiento que se adquiere.
Saludos y Excelente Blog.
Publicar un comentario