26 octubre 2011

Entrevista a Klondike

Klondike a la izquierda, foto por
Juan Traverso Viagas 
Si eres asiduo a acudir a eventos de tecnología, cómo puede ser Campus Party, es posible que conozcas a Klondike. Klondike es un interesante Valenciano que, entre otras cosas, se dedica a colaborar con el proyecto Gentoo Hardened y a dar charlas de seguridad en eventos de tecnología.

Le hemos hecho unas cuantas preguntas "de lo suyo" y nos ha contestado gustosamente.

- Antes de nada, cuéntanos. ¿Quién es klondike y a qué se dedica?

Klondike es un ser, según algunos humano, que se dedica a trabajar de "puta". Bromas aparte soy una persona a la que le gustaban todas las ramas de la informática y cuando tuvo que tomar la decisión de cual coger fue por la de seguridad por ser la más extensa. A partir de ahí todo ha sido cosa de dedicarle horas.

- Te vimos en Campus Party Valencia 2011 ofreciendo una ponencia en la que se trataban vulnerabilidades, mitigaciones y algo de kernel hacking. ¿Cuándo podremos volver a verte?

Cuando queráis, por lo general no suelo rechazar invitaciones.

- ¿A qué se dedica tu empresa?

Como cualquier empresa a tratar de conquistar el mundo, un mercado cada vez. Queremos ofrecer soluciones basadas en virtualización clarificando las medidas de seguridad que implementamos, cosa que se echa de menos en el resto de proveedores.

- ¿Qué hace exactamente un Valenciano en el proyecto Gentoo Hardened?

Pues bastantes cosas, me encargo de fomentar el diálogo en la comunidad y de los medios sociales, también de ir actualizando y escribiendo nueva documentación lo que implica tener muy claro como funciona todo (y he de reconocer que en esto el resto de desarrolladores y el equipo de PaX me ayudan). También arreglo problemas con ensablador que no cumple con PIC en Gentoo Hardened (entre otros paquetes que han pasado por mis manos está aircrack). También me dedico a evangelizar sobre las "bondades" de Gentoo y Gentoo Hardened y por último ayudo al resto del equipo en sus tareas de desarrollo cuando me necesitan.

- Para entorno de escritorio, entre Gentoo Hardened, Debian con grsecurity instalado y bien configurado, o la última versión de Ubuntu con las protecciones que ellos se encargan de implementar, ¿cuál eligirías y por qué?

Gentoo Hardened, no porque sea desarollador sino porque es mucho más seguro. Debian no tiene binarios con PIE por lo que cosas como ASLR no funcionarían tan bien. El caso es similar en Ubuntu. Para muestra un pequeño estudio hecho aún cuando el proyecto tenía serios problemas con el toolchain (por eso SSP no sale activado en Gentoo).

- ¿Qué opinas de QubesOS? Ése sistema operativo que está desarrollando el equipo de Joanna Rutkowska y que, desconfiando de todo, crea y destruye máquinas virtuales a modo de sandbox para correr las aplicaciones.

Personalmente me parece una idea genial para fomentar el aislamiento entre dominios pero creo que cometen un par de errores bastante graves, no hablan de como endurecen el Dom0 (lo que es un serio problema pues una máquina virtual podría ser capaz de saltar a través del hipervisor), por otro lado usan xen que trabaja a un nivel más alto que por ejemplo KVM por lo que parches como grsec serán más difíciles de ver y un fallo de seguridad puede ser más malévolo.

Por cierto, me hace gracia ver como en su página web hablan de líneas de código. Generalmente los fallos más graves están en el diseño de la aplicación no en el código.

- Cinco aplicaciones que sean imprescindibles en tu PC.

Te diré 6 :P

KDE, firefox, thunderbird, ssh, wireshark y nmap.

- ¿Crees que la protección en la creciente cantidad de dispositivos móviles también pasa por las mitigaciones?

Mitigar el daño de un ataque es casi tan importante como evitarlos, por lo que no me extrañaría que empiecen a tomarse esto en serio. Al fin y al cabo es preferible que un hacker te cuelgue el móvil a que pueda instalarte un keylogger ¿no crees?

- Hace no mucho Apple implementó ASLR en sus dispositivos móviles, ¿crees que será la tendencia?

Es un buen comienzo y probablemente empiece a ser la tendencia. Lo que no entiendo es como no han pillado los parches de PaX en android todavía ;)

- ¿A qué se dedica klondike cuando no tiene un PC entre manos?

Entre otras cosas a mezclar música con... Oh wait un PC! Y a dirigir la asociación estudiantil en mi edificio utilizando un... PC. Vaya, quizás nunca deje de tener un PC entre manos más que cuando duermo.

- Tres libros técnicos, y tres no técnicos.

No voy a recomendarte ningún libro técnico ni ninguna revista, alguien me dijo alguna vez que los libros tienen esa costumbre de quedarse obsoletos y lo mejor es estar al día usando medios como Internet.

Libros no técnicos:

* Copia este libro de David Bravo puesto que explica las burradas hechas en nombre del copyright.

* Cualquiera de las aventuras de Jerónimo Stilton para los peques ya que es de los pocos que convencen a mi hermano pequeño para que lea.

* Mundo Artificial : Internet, Ciberpunk, Clonación y Otras Palabras Mágicas, de Antonio Dyaz. La verdad es que es un must read aunque tiene más de ficción que de realidad.

6 comments :

Klondike dijo...

 Si alguno de vosotros quiere preguntar más cosas acerca del proyecto podéis usar los comentarios. No puedo prometer respuestas inmediatas pero puedo prometer que cuando pueda las responderé.

jjajaja dijo...

tipo friki gordo sin amigos

jjajaja dijo...

tipico friki gordo

Un compañero dijo...

Hola Klondike, estuvimos un día hablando mientras volvíamos de la manifestación de informáticos de Madrid (era compañero tuyo de facultad). Justamente hablamos de seguridad. No sabía que te estuvieras dedicando a ello!

Un saludo.

jjajaja dijo...

pazo gordo

jjajaja dijo...

gordo mi preguntas es cuantas veces comes al dia