domingo, 12 de julio de 2015

"He escrito más de 300.000 líneas del código de Radare"

Sergi Álvarez, creador de la suite de herramientas libres para ingeniería inversa Radare.


Sergi Álvarez, 32 años, es un máquina de la informática, una mente privilegiada cuya conversación puede ser tan técnica que parezca que acabará hablando en ensamblador. Viejo conocido de la comunidad hacker bajo los alias Pancake y Trufae, en 2006 se le ocurrió crear una herramienta para recuperar unos ficheros borrados de un MacBook G3. Allí empezó su gran aventura y el mayor proyecto libre de seguridad informática creado en España: Radare, una suite de herramientas para la ingeniería inversa.


Cuenta la leyenda que, cuando Sergi empezaba a frecuentar los hacklabs, algunos asiduos debatían sobre qué cliente de correo era mejor, a lo que el joven respondió con inocencia y para asombro de los asistentes que usaba un cliente escrito por él. Hoy, en Github podemos ver parte del trabajo de este puro hacker, con proyectos propios en marcha como Valabind, ACR, SDB y el principal, Radare2. Sin olvidar su involucración en la revolución Bitcoin, las bases de clave-valor, FirefoxOS, Frida, Fuzzing, NodeJs... y aún saca tiempo para aprender lenguajes nuevos, como Rust.


¿Cuál fue tu primer ordenador?

Un Sanco 4004 con sistema operativo CP/M, pero fue con un 80286SX cuando empecé a programar en QBASIC y más tarde en ensamblador. Me entretenía desensamblando códigos de virus, descargándolos de diversas BBS, aprendiendo sus trucos y escribiendo detectores e infectadores falsos para evitar que siguiesen propagándose. Tengo mucho qué agradecer al no$dbg y al debug.com :) Pero nunca un virus salió de mi casa. Llegué hasta Windows 95 y me pasé a Linux, dejando ya bastante de lado todo lo relacionado con sistemas privativos y cerrados, entre otros motivos porque me obligaban a quitar las manos del teclado para tocar un ratón. Ahora IOS, OSX y Android llenan buena parte de mi tiempo.

Participaste tres años con Sexy Pandas en los concursos Capture The Flag (CTF) de la Defcon. ¿Participas aún?

Me lo pasaba muy bien pero me estresaba bastante. Últimamente prefiero invertir el tiempo investigando o desarrollando herramientas "reales" a estar solucionando problemas artificiales.

¿Qué 3 cosas es imprescindible llevar a un CTF?

-Portátil
-Radare
-Cerveza

Hablando de Radare, ¿estás contento por su éxito?

El proyecto tiene 9 años, pero llevo 7 desarrollando y hablando de él sin mucho feedback. Ahora es cuando se está dando a conocer porque se ha unido al "coreteam" gente que está dando conferencias por todo el mundo. ¡Supongo que tarde o temprano me tocará a mí hablar en público en inglés!

¿Cuántas líneas de código de Radare son tuyas?

En Radare2, que es la reestructuración del código primigenio, unas 300.000, un 60% del total. En el viejo Radare el 90% del código era mío.



Cuando un proyecto se hace mayor, puedes ahogarte en la "administrivia". ¿Te gustaría huir a una cueva a programar tranquilo?

Radare está evolucionando de un proyecto personal a un proyecto comunitario, donde la base de usuarios es cada vez más grande y exigente, pero a la vez aparecen más contribuciones. Además, debido a la envergadura del proyecto es fácil romper cosas sin darse cuenta, así que hay que revisar más, enseñar, documentar, discutir cada una de las contribuciones que se añaden...

Claro que programar es más divertido, pero después de 9 años escribiendo código para Radare casi cada día y ver cómo crece, cómo lo conoce gente de todo el mundo... es como un hijo y me siento en la responsabilidad de seguir con él y hacerlo mejorar.

Eres analista de seguridad móvil en NowSecure. ¿Cómo deberían diseñarse los móviles para que fuesen seguros?

Los principales sistemas operativos móviles evolucionan más rápidamente que los de escritorio y se han centrado en hacer crecer el mercado para conseguir terreno. Pero esto va en detrimento de la seguridad y, más grave, la privacidad. La etapa actual toma conciencia de esta realidad y se centra en mejorar la seguridad. Pero ésta no depende sólo del sistema operativo, también del dispositivo y los medios de comunicación (GSM, Wifi, NFC..), ya que el hardware suele ser cerrado y no se puede actualizar, lo que añade puntos débiles muy graves y no solucionables. También es importante educar a los usuarios, simplificar y que las configuraciones lleven por defecto las opciones más seguras.



En los 90 fundaste CatHack!, el primer grupo hacktivista en España. ¿Por qué el hacktivismo?

En CatHack! no hacíamos defaces ni DoS, pero estábamos implicados en unos ideales libertarios y esto se reflejaba en nuestras publicaciones, donde no sólo hablábamos de HPCVA, también de política. Por desgracia muchas veces se asocia el hacktivismo sólo a vandalismo informático.

Para mi el hacktivismo es importante para advertir de los abusos del poder, como la aprobación de leyes de censura y control que criminalizan el anonimato, el desarrollo de herramientas para descubrir vulnerabilidades e incluso opinar en redes sociales. Internet empezó siendo un espacio libre, pero gobiernos y empresas están rompiendo este ecosistema. El hacktivismo usa los medios digitales como herramientas para darlo a conocer y luchar contra ello.

Te digo una palabra y me dices qué te pasa por la cabeza: Anonymous.

Lo primero, 4chan, y después el año intenso con LulzSec, el hack de Sony, memes, comunicados en Youtube, Wikileaks, la NSA, el bloqueo de VISA, el auge del Bitcoin, la llegada al "mainstream"...

Tienes pareja y una hija. ¿Hacking y vida familiar son compatibles?

La familia, el hacking y el trabajo requieren muchas horas y si además pretendes dormir... no es fácil. Por suerte una compañera comprensiva y la oportunidad de trabajar desde casa con flexibilidad de horarios ayudan bastante. Aún y todo así no es fácil tener todas las horas sin interrupciones que me gustaría y suelo acabar yendo a dormir bastante tarde... Github me delata :$


0 comentarios:

Publicar un comentario