22 marzo 2013

Entrevista a Javier Marcos - eCrime Analyst en Facebook

@Javutin revisando los Me gusta
Hace dos o tres años conocí a Javier Javuto (@javutin) en alguna de esas conferencias que hay hoy en día por el mundo. De aquellas trabaja en IBM haciendo auditorias internas a los productos de la propia compañía. Poco después aterrizo en el equipo de seguridad de Facebook. 

Cada vez que le preguntas que hace allí te mira y entre risas hace algún chiste sobre su trabajo: reviso cada vez que alguien hace click en Me gusta y lo hacéis mucho, trabajo no me falta.

Cuando le oigo esas frases me imagino que se refiere a ataques de clickjacking y cosas similares. Aunque me temo que directamente me está tomando el ""pelo"".

Tampoco os voy a engañar, la infraestructura, el modelo de empresa, el puesto y todo lo demás me llama la atención, así que en cuanto pude me marque una escapadita para ir a hacerle una visita y que me contase todo lo que su contrato le permitiese.

No os quiero dar envidia, por lo que no os detallaré como Facebook me invitó a cenar, como eran las chocolatinas, y como era el merchandaising del equipo de seguridad que me llevé... Aunque lo mejor, sin duda, es que desde que aterricé se preocupó por mi, me llevó a tomar pintas y comer banofle mientras cotilleábamos de esto y de lo otro. Un máquina profesional pero aún mejor anfitrión.

Os dejo con su entrevista. Eso sí, si alguién quiere preguntarle algo más, que lo deje en los comentarios, a ver si se moja y responde ;-)

- ¿Como empezaste tu a trabajar en Dublin?  ¿Hace falta ser bilingüe para ir?

Pues la cosa surgió por un compañero de carrera que se había ido para allí a hacer un máster mientras yo me fui a Lisboa de Erasmus. Me salió un curro majo antes de terminar y me quedé en Lisboa, picando java para Siemens pero mi colega hizo lo mismo y en Dublín pagaban mejor así que tampoco le costó mucho trabajo convencerme xD. Con una entrevista apalabrada con IBM y bastantes CVs enviados me fui para allá y al mes tenía curro. Tuve suerte pero Irlanda de aquella estaba a tope y la gente cambiaba de curro cada tres meses. Con algo de experiencia y defendiéndote en inglés te valía. No hace falta ser bilingüe pero una conversación tienes que ser capaz de mantener.

- ¿Recomendarías emigrar para buscar un trabajo en Seguridad? ¿Que requisitos hacen falta para entrar en un sitio tan puntero como Facebook?

Yo siempre digo que ahora mismo, los españoles tienen tres salidas: Tierra, mar y aire. No sólo para trabajos en Seguridad, sino en general en IT. Fuera de España te tratan como es debido y valoran tu trabajo, y no hay tanto enchufismo/amiguismo. En la mayoría de los casos, el que es jefe lo es por saber mas que tú o tener mas experiencia relevante.

Para entrar en un sitio como Facebook, tienes que ser una apasionado de lo que haces y no tener miedo al cambio. Aquí las cosas se mueven bastante rápido por lo que no se lo recomiendo a quien le gusta acomodarse y hacer siempre lo mismo! Hay muchas oportunidades para probar cosas nuevas y se valora el llevar la iniciativa. Por cierto, siempre buscamos gente nueva! :P http://www.facebook.com/careers

- ¿Cuales son tus funciones en Facebook? ¿Cuantas chocolatinas diarias comes al día? ¿Alguna anécdota que puedas contar?

Mi posición es analista de cibercrimen (eCrime analyst), básicamente me dedico a resolver problemas técnicos en equipo de eCrime, como construir nuevas herramientas para los investigadores o analizar amenazas. Formo parte también del equipo de respuesta a incidentes (Security Incident Response) por lo que ando metido el todo lo que sea una amenaza contra Facebook o los usuarios. Vamos que no me aburro jeje.

Alex y Javi en el famoso muro de Facebook (Dublin)
Jajajaja, lo de las chocolatinas es un problema. Tienes que controlarte porque si no te pones hecho un botijo (ya me ha pasado) y luego cuesta trabajo el quitarse las lorzas. Pero aún así, alguna que otra cae :P

Una anécdota para que se vea lo rápido que van las cosas aquí, para la gente técnica la formación se denomina Bootcamp y es un curso acelerado en como funciona todo y la manera de aprender es resolver bugs reales de Facebook. Sí, empiezas en la compañía, se te da acceso al código, el backend y los diferentes sistemas y ale, a picar código! Había un problema con una clase que gestionaba todas las URLs en todo Facebook (casi ná!) y en algunos casos extremos, una expresión regular no funcionaba bien (10 líneas de regex...) y había que afinarla. Pues después de unos cuantos días dándole vueltas, más o menos tuve una solución válida que satisfacía a los ingenieros. Envíe el código a las 9 de la noche y a los 10 minutos lo tenía revisado y aprobado. Al día siguiente mi solución estaba en producción, y funcionando!

La verdad que la sensación de tener un trocito de código tuyo haciendo que algo funcione para tanta gente como usuarios tiene Facebook, es muy gratificante! 

A todo interesado por saber más de como funciona Facebook, le recomiendo el artículo de release engineering en arstechnica: http://arstechnica.com/business/2012/04/exclusive-a-behind-the-scenes-look-at-facebook-release-engineering/ .

- Sabemos que vas a muchas conferencias, ¿cual es la que más te gusta de todas? ¿por qué?

Me falta por ir a muchas aún pero entre mis favoritas puede que sean BSidesLondon o HashDays (DefCon Switzerland). Por supuesto, y muy por encima de todas, está la LaCon! ;)

Para que una conferencia me guste y me haga repetir, tiene que tener buen balance entre calidad de las presentaciones y buen ambiente en general. Hay mucha gente a la que sólo ves en conferencias, por lo que siempre está bien para ponerse al día. En Seguridad, es una cosa que recomiendo 100%, ir a todas las conferencias que puedas, conocer gente y compartir ideas. He estado metido en algún que otro proyecto, que la idea surgió en una conferencia :)

- También has hecho muchas presentaciones  en sitios muy prestigiosos y colaborado en el proyecto de BeEF, ¿en que andas metido ahora?

Pues haciendo malabares con el tiempo la verdad, que muchas veces me gustaría participar en mas proyectos pero simplemente no dan las 24 horas del día. Sigo colaborando con el BeEF y he prometido echar una mano en la interfaz web de radare2 (ahora ya si que siendo público no puedo dejarlo pasar más!). También colaboro con el Honeynet Project organizando CTFs. Si alguien se anima, en Mayo organizaremos el CTF de la conferencia SOURCE en Dublín y también en Noviembre el de la NoConName en Barcelona. Habrá buenos premios!

- ¿Qué le recomendarías hacer a alguien que está empezando?  ¿certificaciones si o no?

Lo primero es buscar un buen balance entre lo que le gusta hacer y lo que mejor se te da. De esa forma el progreso se nota mucho más rápido sin frustrarse demasiado. En las cosas en las que vas mas flojo, siempre puedes echarle mas horas y obligarte más a mirarlo. Con respecto a las certificaciones... No me gusta nada la titulitis, ya sean certificaciones profesionales o académicas. Pero también entiendo que es difícil demostrar tu valía sin tener un papel que certifica lo h4x0r que eres (o lo bien que te aprendiste un examen... :P). Afortunadamente, hay un camino alternativo, y las empresas se fijan en ello cada vez más. Jugando CTFs, participando en bug bounty programs, publicando investigaciones y presentando en conferencias también te haces un hueco en este apasionante mundillo que es la Seguridad Informática, y siempre se está buscando gente con talento, sea donde sea.

- ¿Volverás algún día a España? ¿Qué echas de menos? ¿Crees que le falta algo a este país? ¿Que le sobra a Irlanda?

Ufff eso cuanto más tiempo llevas fuera, más complicado es. Y mucho más viendo como están las cosas ahora mismo. No pierdo la esperanza pero, las expectativas no son demasiado buenas la verdad. De todas maneras, estando a gusto, se hace mas llevadero :)

@Javutin trabajando duro en Facebook (Palo Alto)
Sobre todo se echa de menos a los amigos y a la familia. Yo intento ir a casa bastante a menudo, pero aún así te pierdes algunos buenos momentos. La comida es otra de las cosas que se echa de menos bastante, por suerte a los irlandeses les gusta bastante el rollo de las tapas, y hay unos cuantos sitios en Dublín en los que apaciguar la morriña jejeje.

En España sobran caraduras y corruptos, da igual del color que sean. Pero para que algo cambie, se necesita un cambio de mentalidad de base. De todas maneras estas cosas es mejor discutirlas tomando unas cañas y no delante de una pantalla!

¿Qué sobra en Irlanda? Lluvia! Si el tiempo fuera un poco mejor... Pero claro, no estaría todo tan verde!

- Quienes son tus héroes y tus villanos en este mundo.

Pues la clasificación de héroe o villano depende del punto de vista del que mires las cosas! Admiro a mucha gente por sus cualidades técnicas, por lo que han logrado, porque me interesa lo que hacen o han hecho o simplemente porque me caen bien. Como buen profesional de la Seguridad, no pueden faltar entre mis héroes el gran Kevin Mitnick o el creador de nmap, Gordon Lyon (Fyodor Vaskovich), y tuve la suerte de conocer a los dos en la conferencia DefCon del año pasado.

Pero quien realmente son mis modelos a seguir, es toda la gente de la que no paraba de leer artículos, advisories, posts... Noches y noches aprendiendo lo que llegaba a entender y buscando más información en lo que me perdía. Y aquí si que he tenido suerte en poder conocerles en persona e incluso hacer entrevistas para ellos! Desde aquí un 8=======D para la gente de 48bits.com y los int3pids!

- Un libro. Una película. Una serie. Un comic.

Libro: Hacker Épico por supuesto! Venga para que no sea hacer la pelota demasiado: Surely You're Joking, Mr. Feynman! (Richard P. Feynman). 
Película: Los violentos de Kelly (Kelly's heroes).
Serie: Breaking Bad.
Cómic: No suelo leer cómics pero quizá la tira de xkcd.

- Tu exploit favorito y un hack memorable del que podamos escribir otro día.

Tengo especial cariño a aquel pete de Windows98 y 2000, que mandando paquetes IGMP fragmentados, te sacaba una maravilloso pantallazo azul (CVE 1999-0918). La herramienta que había para enredar se llamaba kox y empecé a usar Linux para poder hacer el capullo con ella!
Por supuesto el grandísimo RoMaNSoFt lo tiene en su web: http://www.rs-labs.com/papers/tacticas/ircutils/kox.html

Un hack memorable que no se me olvidará, fue cuando defacearon la web del congreso de los diputados. Hubo revuelo después de aquello porque detuvieron a varias personas y todo llegó a los medios de comunicación, con el correspondiente morbo añadido. Después de aquello, la informática me enganchó por completo y veía los ordenadores, módems, redes... Como algo mágico con lo que, con el conocimiento adecuado, podrías hacer muchas cosas. Buenas o no tan buenas (¡pero divertidas seguro!).


- Alguna cosa que no te haya preguntado y quieras contarnos

Una anécdota bastante curiosa y no me canso de contarla fue cuando, mientras tomaba unas birras en el Antonio's Nut House descubrí que, diez años antes, había estado compartiendo acceso en un servidor de esos "CTF" que se hacían antes [...], con quien en ese momento estaba allí conmigo y al que por cierto, conocía en persona solo  tres años antes. Para explicar ese momento, no tengo palabras, necesito un gif animado:



Y nada más! Agradecer el que me hagáis esta entrevista y espero que sirva para motivar a la gente. La seguridad informática es un campo apasionante, sobre todo si te gusta aprender cosas nuevas, tienes mucha curiosidad y siempre quieres dar una vuelta de tuerca extra a las cosas. Para cualquier cosa me podéis encontrar en Facebook (como no!) y si no en Twitter como @javutin

6 comments :

silverhack dijo...

Lo conocí en la Lacon y ratifico las palabras de Alex... Un puto crack Lo mejor de todo... Sencillo y humilde, cualidades que admiro mucho en una persona.
Salu2!

wiredrat dijo...

Tenia entendido que quien decía LaCon en publico desaparecía misteriosamente...

silverhack dijo...

Creo que te confundes con "BITELCHUS". Todo el mundo sabe que se celebra en Argentina..
https://twitter.com/noticiashacker1/status/132872961408512002
O era en Murcia..
https://twitter.com/noticiashacker1/status/125620175193112576
Ahh noo.. En miami
https://twitter.com/tr1ana/status/249087488537268224
:P

Simplicius dijo...

Bueno bueno....hablando publicamente de la Lacon....ya como alguien desvele las coordenadas, nada bueno puede pasar....:D

Yoya dijo...

Efectivamente es un tío estupendo y un anfitrión inmejorable! Eso sí, en cuanto a los gustos cinéfilos da bastante miedito (y no lo digo por Los violentos de Kelly, que aun no la he visto).

Selvaorejon dijo...

Es un gustazo leer una entrevista así! Muchas felicidades , suerte en tu carrera en Facebook y sigue compartiendos cositas por favor!