05 noviembre 2011

Entrevista: Daniel Medianero

Daniel Medianero es el responsable de hacking ético de Ecija, una de las empresa españolas que últimamente está pegando más fuerte en auditorias. Lleva una carrera profesional imparable, y es que no puede ser de otra forma cuando se combina un excelente técnico y profesional con una buena persona. 

¿Cómo empezaste en la informática?
Un familiar trabajaba en Unisys por lo que tuve ordenadores en casa desde pequeño. Mi primer contacto fue con un Amstrad CPC y una miniguía para desarrollar un pequeño Arkanoid, de ahí a un 286 con disquetes de 5 y 1/4. Entonces tenía los antivirus Artemis y el Fprot y aun así sufrí el temido barrotes. Tengo en un cajón una caja llega de discos de 5 y 1/4 con un variado ecosistema.

Recuerdo el MSDOS de entonces, y teclear "win" para entrar al Windows 3.11 para el trabajo en grupo, del que guardo una versión original del manual. Para copiar ficheros en modo GUI utilizaba el "dosshell" y para disfrutar de juegos y software acudía a mis primos, y así descubrí el día del tentáculo, uno de los pocos juegos que me ha tenido sin dormir.
Un poco más tarde disfruté de un 386 con lector de CD de "caja": sacabas la caja, la abrías, metías el CD y pa dentro, enseguida llegaron los modems, las peleas en casa entre los que querían llamar y los que queríamos navegar, etc. Un poco más tarde llegaría a Slackware, FreeBSD y como todos sigo esperando las consecuencias del efecto 2000.

¿Cuál crees que es el futuro del hacking?
No me siento muy cómodo en el papel de adivino, pero en mi opinión el hacking tiende a una especialización cada vez más fuerte. Los análisis de vulnerabilidades seguirán siendo necesarios, pero creo que el factor humano cada vez aporta menos en esa fase, y es más necesario en trabajos muy específicos, que requieren de unos conocimientos concretos.

¿Qué hay que hacer para trabajar como hacker ético?
En mi caso concreto, en un momento de mi vida me convencí de que quería trabajar en esto y me dediqué en cuerpo y alma a formarme (luego hablamos de esto). Por otro lado me pateé las páginas de empresas y de búsqueda de trabajos y finalmente una empresa del sector me dió la oportunidad de entrar en el mundo de la seguridad. No entré a trabajar directamente como hacker ético, el salario era bajo y el horario por turnos me hizo mella, pero aprendí bastante y tras muchos sacrificios conseguí una oportunidad para trabajar directamente como auditor en otra empresa.

Volviendo a la pregunta, creo que hay que tener mucha humildad, y estar dispuesto a sacrificarse. Este trabajo es completamente vocacional y eso tiene innumerables ventajas, pero exige muchos sacrificios que hay que aceptar, la formación es permanente y hay que autoformarse contínuamente.

¿Qué opinas del intrusismo laboral en el mundo de la informática?
Ahora es cuando digo eso de "me alegro de que me hagas esa pregunta". Yo soy oficialmente un "Ingeniero Técnico en Informática de Gestión" y sinceramente no creo que eso me haya beneficiado en exceso a la hora de afrontar el mercado laboral. Duante mucho tiempo compaginé mis estudios en la Universidad con otro tipo de trabajos y de hecho realicé mi primera incursión en el mundo de la seguridad antes de terminar la carrera. Es más, dedicaba más tiempo a trastear y estudiar hacking que a las materias universitarias por lo que ya sabes por dónde va mi respuesta.

Creo que a día de hoy la enseñanza universitaria en materia de informática es muy deficiente en lo que a la seguridad respecta. Por poner un ejemplo, en mi carrera la asignatura de redes era opcional, por no mencionar que no dimos seguridad como tal en ninguna de las materias. Es cierto que a día de hoy, con la perspectiva de los años, veo que algunas de las materias fueron muy interesantes, pero no deja de ser curioso que las que más me han aportado son las que a priori más rechazo me generaban, como las relacionadas con las matemáticas: cálculo, matemática discreta, algebra, etc

¿Cuánto tiempo tarda un hacker en formarse?
Toda la vida. ¿Esta no era una pregunta express? ;)

¿Certificaciones si o no? ¿Por qué?
Creo que el mercado de las certificaciones es un negocio en sí mismo. Normalmente lo que indica una certificación es que la persona que la posee ha decidido invertir cierto tiempo en hacer muchos test, lo cual es indicativo de que esa persona es, en cierta medida, disciplinado.

Yo tengo alguna y creo que pueden encararse de tres maneras en función del objetivo de obtener la certificación. Si lo que uno desea es tener el título y sumar una línea a su Linkedin, entonces está, con casi toda seguridad, perdiendo el tiempo, antes o después se descubrirá el pastel. Si se hace la certificación para sumar créditos, cpes o similares, es totalmente factible, ganas una línea en el curriculum y mantienes tus otras certificaciones (como ves, esto es el mercado del que hablaba antes). Yo mismo he sacado alguna certificación en este sentido.

Cuando alguien aborda una certificación para aprender puede obtener muchos beneficios, ya que puede utilizar la certificación como guía o índice de temáticas a estudiar en profundidad, yo saqué el CHFI (Computer Hacking Forensic Investigator) de esta manera. Si bien no te libras de perder el tiempo haciendo tests ;)

¿Cuánto puede llegar a cobrar en España alguien que se dedica técnicamente a la auditoría de sistemas de información?
Depende mucho de las empresas, los proyectos concretos y de la situación contractual de las mismas. Como ves no me he mojado en absoluto, pero para los interesados en cifras un tipo muy simpático dió una charla muy ilustrativa sobre esto en la RootedCON del 2010, pueden encontrar las transparencias aqui:


¿Existe el perfil junior en el mundo del hacking?
Decir que no sería engañar, claro que existe un perfil junior. Medir los conocimientos y las destrezas de la gente es muy difícil, pero en la gestión de las empresas hay que catalogar a los empleados de alguna manera. Un hospital tiene estudiantes, residentes, médicos y doctores, nosotros tenemos becarios, juniors, seniors y dioses ;)

Sobre el perfil junior en sí, por lo que a mi respecta, es una persona que no domina algún aspecto de la seguridad (redes, sistemas, programación, etc) y que no posee la suficiente experiencia en el sector como para defender un informe ante un cliente, poner los resultados en contexto, detectar vulnerabilidades estructurales, de lógica de negocio, etc.

Como ves en esa definición cabemos todos, pues, todos somos juniors en algo. Como decía Albert Einstein, "todos somos muy ignorantes, lo que sucede es que no todos ignoramos las mismas cosas"

¿Cuáles son las mejores empresas de seguridad en España?
Hacer una lista sería muy pretencioso por mi parte, pero si he de decir que en España hay muy buenos profesionales y empresas, y que habitualmente tenemos muchos prejuicios con respecto a las empresas y profesionales de fuera, y debemos valorarnos todos un poco más.

¿Qué piensas sobre PCI, la LOPD , o cualquier otra regulación? ¿sirven de algo?
Por lo pronto sirven para que muchos profesionales tengan trabajo (flame). Es evidente que las normativas nunca serán perfectas y siempre tendrán agujeros (quien hizo la ley hizo la trampa), pero todas tienen algo de bueno. La LOPD por ejemplo, ha permitido que crezca la conciencia sobre la importancia de los datos personales, aunque sea por obligación y por temor a las sanciones aplicables.
Regulaciones como el Esquema Nacional de Seguridad (ENS), si bien en mi opinión no son claras y tienen multitud de incongruencias, facilitan que las administraciones públicas tomen conciencia sobre la seguridad, tantas veces olvidada.

¿Tus hackers favoritos?
He de decir que mi panteón de dioses está reservado para los Mitos de Cthulhu, pero como decía antes a nivel español hay muchísimos buenos profesionales y no quisiera hacer una lista nacional, porque me voy a dejar a mucha gente en el tintero, asique por nombrar a uno diré que a @masajaker (flame otra vez).
Sobre angloparlantes admiro a muchos: Harlan Carvey, Brian Carrier, Robert Lee, Patrick Volkerding, Jeremiah Grossman, Didier Stevens, David Litchfield, HD Moore, Dafydd Sttuard o Richard Beijlich entre otros.

¿Cuánto tiempo os puede costar encontrar vulnerabilidades críticas en una gran empresa?
Depende de lo que tarde en pasar el Nessus (perdona el flame, pero me lo pusiste a huevo).

Las vulnerabilidades más críticas suelen ser las de diseño o estructurales porque además de sus implicaciones, son las más difíciles de mitigar y de corregir. Estas no suelen salir rápido porque requieren de un aprendizaje acerca del entorno y un periodo de comprensión del mismo. No obstante aún hay multitud de vulnerabilidades críticas que son sorprendentemente poco complejas de descubrir. No me refiero a aquellas de versionado o configuraciones por defecto, sino a errores del pasado que se repiten una y otra vez en la programación de entornos web, fundamentalmente las de validación de entrada de usuario.

¿Es más segura la administración pública o el sector privado?
Las comparaciones son odiosas pero en mi opinión el sector privado está más concienciado y en consecuencia algo mejor en materia de seguridad.

¿Cómo estamos en España respecto a otros países?
Creo que estamos a la par que los países de nuestro entorno. Si bien no diría que estemos en la cresta de la ola, aunque todo se andará.

¿Puedes contarnos alguna batallita de una auditoría?
Por supuesto, de hecho aprovecho la pregunta para pediros una sección en el blog acerca de batallitas ;)
Te contaré una situación bastante surrealista: Durante un proyecto tenía que ejecutar cierto tipo de pruebas por la tarde y físicamente en la sede del cliente. Dicha sede cerraba por las tardes y el cliente reunió toda su dureza facial para decirme: "yo no estaré porque por la tarde no trabajamos ninguno, pero llama a la puerta que te abrirán las de la limpieza, eso sí, termina antes de que se vayan porque dejan puesta la alarma antes de salir". Ahí no termina, cuando por la tarde llamo a la puerta y me abren las susodichas y les cuento la historia, no me creen y llaman al cliente para asegurarse antes de dejarme pasar. Huelga decir que por la mañana entré a la sede como Pedro por su casa. Eso me hizo pensar mucho sobre concienciación en seguridad. Dejo una pregunta en el aire ¿Sector público o privado?


Preguntas express:

¿Sistema operativo?
fedora ahora, slackware de corazón

¿Editor de texto?
vim

¿GUI o CLI?
depende

¿Marca de hardware?
lenovo

¿Lenguaje de programación?
perl

¿Top herramienta imprescindible de auditoría?
burp suite

¿Comida rápida?
bocata de panceta

¿Bebida?
café

¿Grupo de música?
fabula

¿Un libro?
Windows Forensic Analysis, de Harlan Carvey, aunque supongo que me preguntas un libro no informático: Las reglas del viento, de Carlos Canales y Miguel del Rey

3 comments :

Root dijo...

Soy ex-empleado de Ecija, y te aseguro que no "estan pegando fuerte en auditorias" ultimamente, Ecija se nutre de grandes profesionales a los que les apasiona lo que hacen, pero la empresa en si es un despacho de abogados que pasan del tema tecnologico, aun asi, mi enhorabuena para Daniel.

Anónimo dijo...

Muy buena entrevista, que acabo de descubrir que tenía marcada en las feeds como "no leída"... y lo que me estaba perdiendo!
Me gusta el modo de preguntas rápidas en las entrevistas.

Alemorenita2006 dijo...

Enhorabuena Dani. Respondiendo a Root tengo que decir que Ecija, aún constituyendose como despacho de abogados, el área de tecnología y seguridad de la información es de las mas hábiles (si me permitis el adj.) que existe en el mercado español.

Ciao