domingo, 21 de junio de 2015

"Nos centramos demasiado en solucionar los problemas con parches"

Fermín J. Serna, Information Security Engineer en Google.
Qué decir de Zhodiac, el bueno de Zhodiac... Salió del anonimato en los 90 para meterse en un grupo, JJF Hackers Team, del que algunos se reían pero que acabó haciendo historia. Primero porque importó a España el término "hacker blanco", invención de los hackers que empezaban a montar sus propias empresas de seguridad en Estados Unidos. Segundo porque puso en marcha el primer evento público de seguridad/hacking en este país, la No cON Name, con permiso de la venerable Securmática.

Zhodiac saltó a la liga de las estrellas con !Hispahack, siguió dando caña en el cambio de milenio, cuando la comunidad pasaba los momentos más bajos, y estuvo allí en el resurgir, con Sexy Pandas y los concursos Capture The Flag. La vida de Zhodiac, alias Fermín J. Serna ;), madrileño, 36 años, 2 hijas y otra en camino, ingeniero, técnico fundador de S21Sec, 4 años en Microsoft, ahora en Google, es un microcosmos de la historia de los hackers y así lo relataba en el evento CyberCamp. Y es que hay gente que es tan buena que el "under" se les hace pequeño y, quieran o no, la luz les toca.



¿Qué haces en Google?

De todo un poco :)

¿Cómo te metiste en esto?

Es culpa de los genes. A mi padre le regalaron un Spectrum donde aprendí BASIC hace más de 25-30 años. Mi hermano, abogado, trabajó en el primer cibercafé de España y me daba acceso a Internet gratis allá por 1995. Antes, ya teníamos Iberpac y X25 en casa. Conviví con tecnología y redes desde muy pequeñito. Rápidamente me apasionó el cómo funcionan las cosas y cómo romperlas.

¿Te han ofrecido alguna vez mucho dinero para pasarte al lado oscuro?

Es un término un tanto ambigüo. Entiendo como "lado oscuro" el mundo ilegal donde la gente se aprovecha de otros para su propio lucro. Siempre he evitado ese tipo de conversaciones. No me interesa en absoluto. No es ético. Quiero dejar un mundo mejor a mis chicas.

¿Qué 3 cosas imprescindibles te llevarías a un CTF?

3 0days. En los CTF todo debe valer, no? Pues qué mejor que hackear el score
server. Esto ya sucedió en Defcon hace no mucho. :)

¿Sabes que tu blog está parado en septiembre de 2014?

Sí, y es intencionado. Sólo publico cosas que considero relevantes y desarrolladas por mi. Añádele que con estas leyes nuevas no sé si es del todo legal publicar en un blog exploits, técnicas, etc... Recuerda que vivo en EEUU y mi blog está en un servidor dios sabe donde.

Tu perfil de Twitter sólo pone "exploiter". ¿Mande?

Dentro de la seguridad, la explotación de vulnerabilidades de software es el campo que me apasiona. En mi opinión es uno de los campos mas complicados actualmente y llenos de retos. A mi me mueven los retos y el trabajo duro para solucionarlos. Me he especializado en este campo sin dejar de lado los otros... y no me ha ido mal.

¿Cómo le explicaste a tu madre que eras un hacker?

No hizo falta. Ver a tu hijo que de vez en cuando se queda un viernes hasta las mil por la noche en el ordenador da que pensar muchas cosas. Afortunadamente, mi madre fue una "early adopter" y tiene ordenador e Internet desde el 2000. Google fue su amiga para encontrar mi rastro por Internet.


¿Alguien que sabe tanto de ciberseguridad a qué tiene miedo en Internet?

Yo vivo con precauciones en Internet, pero no puedo obviar que si "alguien" quiere comprometer mis sistemas lo acabará haciendo. Sólo puedo poner trabas para que ese "alguien" venga del grupo mas reducido posible y el precio sea tan alto como para pensar si la recompensa es suficiente. El punto más debil es siempre el factor humano.

¿A nivel conceptual, en qué nos estamos equivocando en la defensa de la red?

En mi opinión, nos centramos demasiado en el actual problema y ponerle un parche. Esto, en gran medida, esta muy influenciado por las empresas de seguridad y sus beneficios. En cambio, debería estar centrado en solucionar
problemas de los usuarios.

¿No sería mas rentable a largo plazo para el cliente solucionar el tema del malware con soluciones visionarias y creativas que vender firmas? ¿No sería más rentable a largo plazo para el cliente invertir en frameworks de web donde no sea posible SQL injection, XSS, CSRF, etc? ¿O es mejor tener una auditoría en cada iteración de desarrollo? ¿No sería mas rentable a largo plazo para el cliente invertir en hacer tipos de vulnerabilidades inexplotables en vez de parchear fallos constantemente?

¿Alguna frase que no hayas convertido en password guía tus pasos?

"Trabaja duro, sé humilde, sé buena gente, justo y la recompensa vendrá por si sola"


Texto: Mercè Molist

0 comentarios:

Publicar un comentario