domingo, 30 de agosto de 2015

José Selvi: "Abres tu sniffer y te pones a hacer cosas inesperadas..."

José Selvi. El pentester.


Da la impresión que a José Selvi le toca muuucho la moral no haber vivido la época del underground hacker de los 90. Es igual que le digamos que la mayoría de hackers de su edad, 34, no la vivieron. Es un lugar interesante que no ha podido visitar su curiosidad, su avidez de conocimiento. Juraríamos que aceptaría cambiar todas sus certificaciones, y mira que tiene un montón*, por haber asistido a una UnderCon.

De todas formas, no imaginamos a ese hombre tranquilo haciendo de pirata en un chat del IRC-Hispano. Selvi es un mago blanco que ha accedido al hacking por el camino del estudio reglado. Sin moverse de Valencia, ha pasado poco a poco las pantallas del videojuego de la ciberseguridad, desde su carrera de Ingeniería en Informática hasta su actual trabajo de Senior Penetration Tester en la empresa británica NCC Group.


Se te conoce por tu blog y tus charlas, las has dado en la mayoría de CONs españolas y extranjeras. ¿Por qué?

Ya sabes como va esto, es un ciclo incesante de leer, leer, leer, jugar, jugar, jugar. Durante mucho tiempo me dediqué a eso, y llegó un momento en el que pensé que estaba aprendiendo muchas cosas de gente que colgaba información de forma completamente altruista, y que quizá era el momento de continuar "el ciclo de la vida" y ser yo el que empezara a compartir lo poco o mucho que haya podido aprender. Así empecé a escribir mi blog. Poco tiempo después, Christian Martorella y Vicente Díaz me liaron para dar una charla en las FIST de Barcelona, y descubrí que me gustaba hacerlo.

Eres el único español que ha dado este verano una charla en Defcon. ¿De qué iba? 

El concepto es muy sencillo. Nuestros ordenadores sincronizan sus relojes automáticamente con Internet, de forma periódica, utilizando un protocolo que la mayoría de fabricantes no han configurado de forma segura. Mi ataque consiste en interceptar ese tráfico y manipularlo para cambiar la fecha del ordenador y hacerle creer que estamos en 2008, o en 2042, o el año que yo quiera. Para eso desarrollé una herramienta que llamé Delorean, como guiño a una de las películas favoritas de mi infancia. Manipulando esta fecha consigo, por ejemplo, que el ordenador acepte certificados SSL que expiraron en 2008 y que en la actualidad no son seguros, y consigo interceptar tráfico SSL de la víctima.

¿De dónde sacas las ideas para tan demoníacas investigaciones?

No existe una receta, lo que sí que es imprescindible es conocer lo máximo posible sobre la tecnología que estás investigando, y a partir de ahí es un proceso totalmente artístico. Abres tu sniffer, o tu debugger, y te pones a hacer cosas "inesperadas" a ver si el software hace alguna cosa rara. Hay mucho de instinto y de intuición, o
al menos así lo veo yo.

A la hora de ponerle creatividad, ¿prefieres imaginar que eres un malvado blackhat ruso o te tira más el Fu Manchu? :D 

Jajajaja. Fu Manchu Smirnoff Do Santos sería lo ideal :´D Lo mejor de cada casa ;)

¿El pentesting es como se llama al hacking para que no se asusten los clientes?

Más o menos xDDD Podríamos decir que es un subconjunto del Hacking. El Hacking es mucho más abierto, no tiene barreras. El Pentesting sería la parte "vendible" del Hacking. Durante tiempo se ha usado "Hacking Ético" como sinónimo del Pentesting, para aprovechar el tirón de marketing de la palabra "Hacker", pero nunca me ha gustado, porque parece que entonces el "Hacking" a secas no es ético. Es como si una banda de ladrones de bancos usan Karate y ahora los que lo practican tuvieran que decir que practican "Karate Ético". Es absurdo ¿No crees?

¿Qué área dentro del pentesting te gusta más?

La parte de red. Imagino que porque casi todas las personas de mi círculo cuando estaba empezando tiraban por Web, y a mi nunca me ha gustado ir en la misma dirección que los demás. En los últimos años, la parte de sistemas operativos móviles me gusta bastante, aunque no he podido meterme tan a fondo en la parte del OS como me
gustaría. Tiempo al tiempo :)

Cuando tienes que explicarle a tu tía la de Murcia a qué te dedicas, ¿cómo le explicas qué es un pentester?

A veces hago la coña de que me dedico a probar bolis, y que me paso todo el día dibujando caracoles en libretas :P

Vivimos en el paraíso del script-kidding, con Metasploit y similares. ¿Te molesta porque da la impresión superficial de que cualquier puede hacer tu trabajo o te gusta porque automatiza las tareas aburridas y te permite ir más allá?

Desde luego ahora las cosas cuesta mucho menos hacerlas, porque hay herramientas alucinantes como Metasploit. A mi me gustan, porque me permiten hacer cosas de forma mucho más rápida. Es cierto que hay personas que también podrán hacerlas sin tener la capacidad de haber desarrollado la herramienta, pero esa gente se queda atascada en cuanto la herramienta no va, o el exploit no les devuelve shell de primeras.

Hay una buena discusión alrededor de quién debe poder usar herramientas de hacking. ¿Qué opinión te merece?

Es cierto que la ley, al menos como yo la leo, es un poco genérica, y que puede dar lugar a que, si se quiere ir a por alguien en concreto, se pueda, pero tampoco creo que haya habido la intención de atacar a la comunidad, como creen algunos. Yo por mi parte no pienso cambiar nada de como lo estoy haciendo hasta ahora, porque me parece que actuo de forma correcta, de cara, y si alguien opina lo contrario y me denuncia, pues bueno... se lo explicaremos al juez a ver que opina :)

Pero no creo que se llegue a ese extremo, porque lo que ocurriría es que mucha gente dejaría de contribuir, publicar, alertar a los usuarios de forma altruista, y volvería al compartir técnicas y herramientas en privado, en círculos de confianza, y eso sería malo para todos, y estoy seguro que no es lo que quieren los legisladores.

Selvi, en la universidad.
Pareces un tío serio. ¿Dónde vuelcas tu alegría, qué te hace reir?

Mi mujer dice que soy un soso xD Soy de apariencia seria, eso es cierto, pero sí me gusta mucho bromear. La que me arranca más carcajadas es mi mujer.

Por cierto: ¿Cómo te subiste al tiovivo de la seguridad informática?

Mis primeros pasos los di en la universidad, pero a un nivel muy elemental. Luego acabé la carrera y empecé a trabajar en Panda Security, en la oficina de Valencia. Éramos solo 5 personas en mi grupo, pero todos eran de un nivel excepcional (uno de ellos un ex-29A). Eso fue "mi perdición", acabé irremediablemente metido hasta las cejas en este mundillo.


*- GIAC Security Expert (GSE)
- GIAC Certified Penetration Tester (GPEN)
- GIAC Certified Incident Handler (GCIH)
- GIAC Certified Intrusion Analyst (GCIA)
- GIAC Certified Forensic Analyst (GCFA)
- GIAC Certified Forensic Examiner (GCFE)
- GIAC Security Essentials (GSEC)
- Certified Information Systems Security Professional (CISSP)
- Certified Information Systems Auditor (CISA)

Texto: Mercè Molist 

0 comentarios:

Publicar un comentario