@Javutin revisando los Me gusta |
Hace dos o tres años conocí a Javier Javuto (@javutin) en alguna de esas conferencias que hay hoy en día por el mundo. De aquellas trabaja en IBM haciendo auditorias internas a los productos de la propia compañía. Poco después aterrizo en el equipo de seguridad de Facebook.
Cada vez que le preguntas que hace allí te mira y entre risas hace algún chiste sobre su trabajo: reviso cada vez que alguien hace click en Me gusta y lo hacéis mucho, trabajo no me falta.
Cuando le oigo esas frases me imagino que se refiere a ataques de clickjacking y cosas similares. Aunque me temo que directamente me está tomando el ""pelo"".
Tampoco os voy a engañar, la infraestructura, el modelo de empresa, el puesto y todo lo demás me llama la atención, así que en cuanto pude me marque una escapadita para ir a hacerle una visita y que me contase todo lo que su contrato le permitiese.
No os quiero dar envidia, por lo que no os detallaré como Facebook me invitó a cenar, como eran las chocolatinas, y como era el merchandaising del equipo de seguridad que me llevé... Aunque lo mejor, sin duda, es que desde que aterricé se preocupó por mi, me llevó a tomar pintas y comer banofle mientras cotilleábamos de esto y de lo otro. Un máquina profesional pero aún mejor anfitrión.
Os dejo con su entrevista. Eso sí, si alguién quiere preguntarle algo más, que lo deje en los comentarios, a ver si se moja y responde ;-)
- ¿Como empezaste tu a trabajar en Dublin? ¿Hace falta ser bilingüe para ir?
Pues la cosa surgió por un compañero de carrera que se había ido para allí a hacer un máster mientras yo me fui a Lisboa de Erasmus. Me salió un curro majo antes de terminar y me quedé en Lisboa, picando java para Siemens pero mi colega hizo lo mismo y en Dublín pagaban mejor así que tampoco le costó mucho trabajo convencerme xD. Con una entrevista apalabrada con IBM y bastantes CVs enviados me fui para allá y al mes tenía curro. Tuve suerte pero Irlanda de aquella estaba a tope y la gente cambiaba de curro cada tres meses. Con algo de experiencia y defendiéndote en inglés te valía. No hace falta ser bilingüe pero una conversación tienes que ser capaz de mantener.
Yo siempre digo que ahora mismo, los españoles tienen tres salidas: Tierra, mar y aire. No sólo para trabajos en Seguridad, sino en general en IT. Fuera de España te tratan como es debido y valoran tu trabajo, y no hay tanto enchufismo/amiguismo. En la mayoría de los casos, el que es jefe lo es por saber mas que tú o tener mas experiencia relevante.
Para entrar en un sitio como Facebook, tienes que ser una apasionado de lo que haces y no tener miedo al cambio. Aquí las cosas se mueven bastante rápido por lo que no se lo recomiendo a quien le gusta acomodarse y hacer siempre lo mismo! Hay muchas oportunidades para probar cosas nuevas y se valora el llevar la iniciativa. Por cierto, siempre buscamos gente nueva! :P http://www.facebook.com/careers
Mi posición es analista de cibercrimen (eCrime analyst), básicamente me dedico a resolver problemas técnicos en equipo de eCrime, como construir nuevas herramientas para los investigadores o analizar amenazas. Formo parte también del equipo de respuesta a incidentes (Security Incident Response) por lo que ando metido el todo lo que sea una amenaza contra Facebook o los usuarios. Vamos que no me aburro jeje.
Alex y Javi en el famoso muro de Facebook (Dublin) |
Jajajaja, lo de las chocolatinas es un problema. Tienes que controlarte porque si no te pones hecho un botijo (ya me ha pasado) y luego cuesta trabajo el quitarse las lorzas. Pero aún así, alguna que otra cae :P
Una anécdota para que se vea lo rápido que van las cosas aquí, para la gente técnica la formación se denomina Bootcamp y es un curso acelerado en como funciona todo y la manera de aprender es resolver bugs reales de Facebook. Sí, empiezas en la compañía, se te da acceso al código, el backend y los diferentes sistemas y ale, a picar código! Había un problema con una clase que gestionaba todas las URLs en todo Facebook (casi ná!) y en algunos casos extremos, una expresión regular no funcionaba bien (10 líneas de regex...) y había que afinarla. Pues después de unos cuantos días dándole vueltas, más o menos tuve una solución válida que satisfacía a los ingenieros. Envíe el código a las 9 de la noche y a los 10 minutos lo tenía revisado y aprobado. Al día siguiente mi solución estaba en producción, y funcionando!
La verdad que la sensación de tener un trocito de código tuyo haciendo que algo funcione para tanta gente como usuarios tiene Facebook, es muy gratificante!
A todo interesado por saber más de como funciona Facebook, le recomiendo el artículo de release engineering en arstechnica: http://arstechnica.com/business/2012/04/exclusive-a-behind-the-scenes-look-at-facebook-release-engineering/ .
Me falta por ir a muchas aún pero entre mis favoritas puede que sean BSidesLondon o HashDays (DefCon Switzerland). Por supuesto, y muy por encima de todas, está la LaCon! ;)
Para que una conferencia me guste y me haga repetir, tiene que tener buen balance entre calidad de las presentaciones y buen ambiente en general. Hay mucha gente a la que sólo ves en conferencias, por lo que siempre está bien para ponerse al día. En Seguridad, es una cosa que recomiendo 100%, ir a todas las conferencias que puedas, conocer gente y compartir ideas. He estado metido en algún que otro proyecto, que la idea surgió en una conferencia :)
Pues haciendo malabares con el tiempo la verdad, que muchas veces me gustaría participar en mas proyectos pero simplemente no dan las 24 horas del día. Sigo colaborando con el BeEF y he prometido echar una mano en la interfaz web de radare2 (ahora ya si que siendo público no puedo dejarlo pasar más!). También colaboro con el Honeynet Project organizando CTFs. Si alguien se anima, en Mayo organizaremos el CTF de la conferencia SOURCE en Dublín y también en Noviembre el de la NoConName en Barcelona. Habrá buenos premios!
Lo primero es buscar un buen balance entre lo que le gusta hacer y lo que mejor se te da. De esa forma el progreso se nota mucho más rápido sin frustrarse demasiado. En las cosas en las que vas mas flojo, siempre puedes echarle mas horas y obligarte más a mirarlo. Con respecto a las certificaciones... No me gusta nada la titulitis, ya sean certificaciones profesionales o académicas. Pero también entiendo que es difícil demostrar tu valía sin tener un papel que certifica lo h4x0r que eres (o lo bien que te aprendiste un examen... :P). Afortunadamente, hay un camino alternativo, y las empresas se fijan en ello cada vez más. Jugando CTFs, participando en bug bounty programs, publicando investigaciones y presentando en conferencias también te haces un hueco en este apasionante mundillo que es la Seguridad Informática, y siempre se está buscando gente con talento, sea donde sea.
Ufff eso cuanto más tiempo llevas fuera, más complicado es. Y mucho más viendo como están las cosas ahora mismo. No pierdo la esperanza pero, las expectativas no son demasiado buenas la verdad. De todas maneras, estando a gusto, se hace mas llevadero :)
@Javutin trabajando duro en Facebook (Palo Alto) |
En España sobran caraduras y corruptos, da igual del color que sean. Pero para que algo cambie, se necesita un cambio de mentalidad de base. De todas maneras estas cosas es mejor discutirlas tomando unas cañas y no delante de una pantalla!
¿Qué sobra en Irlanda? Lluvia! Si el tiempo fuera un poco mejor... Pero claro, no estaría todo tan verde!
Pues la clasificación de héroe o villano depende del punto de vista del que mires las cosas! Admiro a mucha gente por sus cualidades técnicas, por lo que han logrado, porque me interesa lo que hacen o han hecho o simplemente porque me caen bien. Como buen profesional de la Seguridad, no pueden faltar entre mis héroes el gran Kevin Mitnick o el creador de nmap, Gordon Lyon (Fyodor Vaskovich), y tuve la suerte de conocer a los dos en la conferencia DefCon del año pasado.
Pero quien realmente son mis modelos a seguir, es toda la gente de la que no paraba de leer artículos, advisories, posts... Noches y noches aprendiendo lo que llegaba a entender y buscando más información en lo que me perdía. Y aquí si que he tenido suerte en poder conocerles en persona e incluso hacer entrevistas para ellos! Desde aquí un 8=======D para la gente de 48bits.com y los int3pids!
Libro: Hacker Épico por supuesto! Venga para que no sea hacer la pelota demasiado: Surely You're Joking, Mr. Feynman! (Richard P. Feynman).
Película: Los violentos de Kelly (Kelly's heroes).
Serie: Breaking Bad.
Cómic: No suelo leer cómics pero quizá la tira de xkcd.
Tengo especial cariño a aquel pete de Windows98 y 2000, que mandando paquetes IGMP fragmentados, te sacaba una maravilloso pantallazo azul (CVE 1999-0918). La herramienta que había para enredar se llamaba kox y empecé a usar Linux para poder hacer el capullo con ella!
Por supuesto el grandísimo RoMaNSoFt lo tiene en su web: http://www.rs-labs.com/papers/tacticas/ircutils/kox.html
Un hack memorable que no se me olvidará, fue cuando defacearon la web del congreso de los diputados. Hubo revuelo después de aquello porque detuvieron a varias personas y todo llegó a los medios de comunicación, con el correspondiente morbo añadido. Después de aquello, la informática me enganchó por completo y veía los ordenadores, módems, redes... Como algo mágico con lo que, con el conocimiento adecuado, podrías hacer muchas cosas. Buenas o no tan buenas (¡pero divertidas seguro!).
- Alguna cosa que no te haya preguntado y quieras contarnos
Una anécdota bastante curiosa y no me canso de contarla fue cuando, mientras tomaba unas birras en el Antonio's Nut House descubrí que, diez años antes, había estado compartiendo acceso en un servidor de esos "CTF" que se hacían antes [...], con quien en ese momento estaba allí conmigo y al que por cierto, conocía en persona solo tres años antes. Para explicar ese momento, no tengo palabras, necesito un gif animado:
Y nada más! Agradecer el que me hagáis esta entrevista y espero que sirva para motivar a la gente. La seguridad informática es un campo apasionante, sobre todo si te gusta aprender cosas nuevas, tienes mucha curiosidad y siempre quieres dar una vuelta de tuerca extra a las cosas. Para cualquier cosa me podéis encontrar en Facebook (como no!) y si no en Twitter como @javutin
7 comments :
Lo conocí en la Lacon y ratifico las palabras de Alex... Un puto crack Lo mejor de todo... Sencillo y humilde, cualidades que admiro mucho en una persona.
Salu2!
Tenia entendido que quien decía LaCon en publico desaparecía misteriosamente...
Creo que te confundes con "BITELCHUS". Todo el mundo sabe que se celebra en Argentina..
https://twitter.com/noticiashacker1/status/132872961408512002
O era en Murcia..
https://twitter.com/noticiashacker1/status/125620175193112576
Ahh noo.. En miami
https://twitter.com/tr1ana/status/249087488537268224
:P
Bueno bueno....hablando publicamente de la Lacon....ya como alguien desvele las coordenadas, nada bueno puede pasar....:D
Efectivamente es un tío estupendo y un anfitrión inmejorable! Eso sí, en cuanto a los gustos cinéfilos da bastante miedito (y no lo digo por Los violentos de Kelly, que aun no la he visto).
Es un gustazo leer una entrevista así! Muchas felicidades , suerte en tu carrera en Facebook y sigue compartiendos cositas por favor!
Conozco a Jabuto de hace ya muchos años y leyendo la entrevista corrobora lo que es, un autentico crack. Gran entrevista, felicidades.
Publicar un comentario