domingo, 25 de octubre de 2015

Pepelux: "Hoy al infeliz que tiene curiosidad le cae la del pulpo"

José Luis Verdeguer, experto en VoIP.

Hoy hablamos con un hacker de los buenos que no suele prodigarse en los medios. José Luis Verdeguer, Pepelux, 43 años y de Alicante, es CTO del operador de VoIP Zoonsuite. En sus ratos libres disfruta compitiendo en concursos de hacking o dando charlas de seguridad. No queda CON española donde Pepelux no haya dado una, dos o más ponencias o talleres. Y, además, ha escrito un libro: "Hacking y seguridad VoIP"

Pero que no nos engañe tanta charla. Pepelux es un tipo discreto, tirando a hermético, que no da su confianza a cualquiera. Repetimos: un hacker de los buenos, de los de antes, cuya humildad le regala el don de pasar inadvertido. Esta semana hemos tenido el honor de que nos contase cosas que nunca le hemos escuchado en público: desde su visión del negocio de la ciberseguridad hasta cómo empezó en el hacking. Es por eso que nos permitimos ofrecer una entrevista más completa que otros domingos, dado el valor que consideramos tiene la información facilitada.

- ¿Sabe mucha gente que eres uno de los hackers más veteranos de este país?

- Bueno, me considero de la segunda generación, no soy tan mayor :-P ... Pero sí que llevo muchos años metido en esto, y he tenido un par de nicks más antes de Pepelux. Al igual que la gente de Apòstols hablan de cómo se las ingeniaban para conseguir las cosas, yo tuve la suerte de llegar un poco después y aprender de trabajos suyos, o de los típicos ezines o webzines de la época, como SET o !H (Mentes inquietas). Lo tuve algo más fácil, ya que había muy poca información en castellano pero algo se encontraba.

- Miro tu web, la veo llena de exploits y parece la de alguien orientado al ataque, pero no te dedicas profesionalmente a eso... 

- Siempre me ha encantado la seguridad y hubiera sido genial trabajar analizando fallos, bien reversing o pentesting, pero antes no era tan sencillo como ahora encontrar trabajo en este campo. Ya se me pasó el arroz :) Referente a mi página, hubo una época en que me dediqué a analizar binarios Windows o aplicaciones Open Source en PHP y publicaba lo que encontraba, como forma de seguir hackeando sin meterme en líos, dados los cambios legislativos.

- Has participado en diversos CTFs, acabando siempre de los primeros. ¿Te gusta el hacking sólo como hobby?

- Bueno, antes acababa de los primeros, ahora los más jóvenes vienen pegando muy fuerte :) La verdad es que al no dedicarme profesionalmente a la seguridad, los CTF son una vía de escape. Hoy en día no puedes ni poner una comilla en una web si quieres dormir tranquilo, y nos hacemos mayores, tenemos familia y se pierde esa curiosidad por analizar sistemas de terceros, ya que por cualquier cosa te cae una gorda. Con los CTF puedes dejar volar tu imaginación y aunque muchos de ellos se han convertido en simples pasatiempos, sí que de vez en cuando aparece alguno con fallos reales recientemente publicados y que debes explotar.

- Hablando de CTFs: ¿qué 3 cosas te llevarías a uno?

- Siempre llevo una máquina Linux con mis herramientas y scripts, una Windows con más herramientas y un pendrive con mis soluciones de otros CTF, pues muchos retos son similares y me sirven los scripts ya programados.

- ¿Qué opinión te merece el negocio de la seguridad informática?

- Pues como bien dices, es un negocio. Dinero para las empresas de seguridad y un trabajo no tan bonito para los técnicos, que hacen lo que les gusta entre comillas, ya que normalmente no pueden perder mucho tiempo en los análisis y dedican la mayor parte a elaborar informes. Creo que poca gente llega a disfrutar del pentesting como un arte, laboralmente hablando. Al final se limita todo a usar una serie de herramientas y a elaborar informes. Es como el artesano al que le dan una máquina industrial para aumentar la productividad, pero que al final termina perdiendo su técnica porque lo hacen todo las máquinas.

- ¿Los especialistas en seguridad están defendiendo bien la red y sus habitantes?

- Es como todo en este país. Cuando descarrila un tren marcan el lugar como punto negro y parchean ese trozo. Con la seguridad ocurre lo mismo. Se van tapando agujeros. Los perfiles de los delincuentes han cambiado y por ello se han endurecido las leyes. Pero al pobre infeliz que sólo tiene curiosidad por ver si un sistema es vulnerable le cae la del pulpo por hacer un simple escaneo de puertos, cuando deberíamos centrarnos en el verdadero peligro que son las bandas organizadas.

Hoy en día nos encontramos con mafias perfectamente estructuradas para realizar todo tipo de fraude, hablo tanto de ataques de phishing, malware, ransomware, etc. Por otro lado tenemos el afán de los gobiernos por controlarlo todo, y esto nos lleva a estar paranoicos y no fiarnos de los sistemas operativos o de los drivers de los dispositivos. Ya has visto cómo ciertos países, sobre todo asiáticos, usan su propio sistema operativo, sus propias redes, su propio hardware, y no dejan que entre nada de fuera, tecnológicamente hablando.

Creo que la comunidad está haciendo un gran trabajo y es por ello que cada día aparecen noticias acerca de backdoors detectadas en el firmware de ciertos dispositivos, nuevos sistemas de espionaje, etc. Pero quizás el mayor miedo que pueda tener una empresa hoy en día es ser objetivo de un grupo organizado que arremeta contra ella con un ejército de bots, o que te fijen como objetivo para reventarte el sistema, y si no mira lo que le ha pasado a Ashley Madison.

Hay una película del año 92 que me gusta mucho, que se llama Sneakers, y que refleja cómo llegan a acceder a un sistema supuestamente infranqueable usando tanto ingeniería social como análisis no sólo del sistema sino de las personas que trabajan allí, de las edificaciones, etc. Hoy en día es más fácil aún, porque dada la gran cantidad de información, es muy sencillo acceder a la vida privada de una persona. Imagina una empresa con cientos de trabajadores ... ¿cuánto costaría hacerse con la cuenta del trabajo de uno de ellos teniendo en cuenta que tendrán su Facebook, su Linkedin, su Instagram, su red wifi en casa, etc?

- Eres uno de los pocos españoles que ha investigado a fondo la red Tor. ¿Qué opinión te merece?

- Tor se creó con la idea de ayudar a la gente pero el problema es que lo usan muchas personas con malas intenciones y con ánimo de lucro. Tor es (o era) una buena herramienta para mantener el anomimato si resides en un país en el que por publicar en un blog pueden asesinarte. Pero hoy en día se ha convertido en un mercado ilegal donde se trafica con cualquier cosa, desde drogas, armas, cosas robadas, hasta con la libertad sexual de niños. Hoy en día Tor no trae nada bueno, e incluso las FCSE piensan que si usas Tor es porque haces algo malo.

- Estuve en tu charla sobre VoIP de la NNC5ed. Como demostración llamaste a la vez a todos los móviles del público, desde el número 666 666 666. ¿Magia?

- Simplemente, llamé cambiando el identificador de llamada. Lo hice como broma, pero se puede hacer para otros fines más turbios ... Lo hablé con la abogada Ruth Sala en NNC5ed. Le comentaba lo fácil que es cambiar el identificador de una llamada o de un mensaje SMS y que no sería muy fiable presentarlo como prueba ante un juicio, a no ser que tengas el teléfono desde donde se ha efectuado la llamada (o el envío del mensaje) para verificar que realmente ha salido de ahí.

- Es curioso que, cuando medio mundo investiga la seguridad de la telefonía móvil, tú andes investigando la seguridad de VoIP.

- Bueno, como te decía antes, no me dedico profesionalmente a la seguridad, por lo que investigo acerca de las cosas que tengo cercanas. Actualmente trabajo en un operador de VoIP y lo que 'destripo' viene relacionado con mi día a día. Además, es algo en auge, pues dentro de poco terminará desapareciendo la telefonía convencional y todo irá por VoIP ya que a los carriers les sale más a cuenta. Ya muchos proveedores te instalan en casa un router que va por VoIP sin que el usuario lo sepa, por ejemplo, Orange. Tú sigues con tus teléfonos convencionales y para el usuario es algo transparente, pero el router trae un Gateway SIP y todas las llamadas que hagas o recibas van a través de VoIP.

- Hacker, dime: ¿en qué ha cambiado el hacking?

- Pues ha cambiado todo. Por un lado, hoy en día mucha gente sólo sabe auditar páginas web, ya que hay un buen filón ahí. Si no encuentras un SQLi, encuentras un LFI, sinó un XSS o cualquier otra cosa, luego subes una shell en PHP y ya tienes acceso al sistema, pero todo aprovechando que un programador no hizo bien su trabajo. En los 90 no había PHP, las páginas web eran HTML y no había por donde rascar. En esa época las auditorías se basaban en analizar todos los servicios de red, desde obtener información de usuarios con el finger hasta ver si exportaba directorios sin definir bien las IPs con acceso, si permitía hacer un rlogin mal configurado, o si los routers o servidores tenían contraseñas por defecto. Se invertía el tiempo en ver cada servicio, si estaba bien configurado, si tenía alguna vulnerabilidad conocida, etc. Y lo mejor de todo es que se hacía a mano.

No está mal que haya aplicaciones automatizadas que te ahorren el trabajo, pero creo que es muy importante entender lo que hacen estas herramientas, es decir, si yo lanzo SQLmap contra una web y obtengo toda la base de datos de un servidor, ¿por qué la obtengo?. La aplicación no hace magia sinó que simplemente realiza una tarea que manualmente es un coñazo, pero debo saber que, aunque tarde meses, la podría hacer a mano, porque entiendo la dinámica.

Es lo mismo que ocurre muchas veces con Linux. Mucha gente ejecuta el script de configuración de cualquier cosa, no va y ya están atascados. Esto ocurre porque nunca han tenido que tocar a mano los ficheros y se han acostumbrado a que el script lo haga todo. Creo que mucha gente se ha vuelto más cómoda por la gran cantidad de información y de aplicaciones que hay. Esto es muy bueno, pero también lo es tener que buscarse la vida, porque aprendes cómo funcionan las cosas.

Por otro lado, la gente más joven tiene la mentalidad más abierta. Antes veníamos al mundo con un pan bajo el brazo, ahora lo hacen con un ordenador. Lo que quiero decir es que la gente está mucho más preparada que antes y tienen mucha más capacidad de comprensión, porque la tecnología forma parte de sus vidas. Esto hace que haya muchos expertos de todo, pero es más complicado que alguien destaque, como ocurría en la época en la que no había información. Yo aún sigo flipando con las aplicaciones QueSO y NePED que programó Savage en aquella época, o con el famoso artículo de Aleph One que supuso los inicios del exploiting.

- Y dime, Pepelux: ¿alguna frase es la luz que te guía?

- Hay frases que te repites cuando te atascas y no logras tus objetivos, como 'Cualquier equipo conectado a una red informática es vulnerable' o 'Ningún programa tiene un código perfecto libre de bugs'.

- Sinceramente: ¿El hacker nace o se hace?

- Nace, pero muchas veces es algo que se lleva oculto hasta que ves algo que te abre la mente y descubres un nuevo mundo. Y cuando digo que es algo con lo que se nace me refiero a la pasión, no a cualidades como pueda tener un deportista. Cualquier persona que comparta la ideología puede ser un hacker.

- ¿Y tú, cómo descubriste que eras un hacker?

- La verdad es que siempre he sido muy curioso. Desde bien pequeño, cada cosa que caía en mis manos la desmontaba para ver las entrañas, aunque generalmente al montarla de nuevo siempre me sobraban piezas. No sé la de relojes, radios, juguetes y demás cosas que me habré cargado (mis padres me tenían miedo xD).

Es el típico tópico de la gente de mi edad: un día vas a casa de un amigo al que sus padres han regalado un Spectrum y te quedas maravillado al verlo, teniendo en cuenta que los videojuegos de antes eran para un solo juego, es decir, imagina que tienes una Gameboy para jugar a un único juego y que para jugar a otro diferente necesitas otra Gameboy nueva. Una máquina que era capaz de cargar diferentes juegos y verlos en la tele era lo más.

Con 11 años me compraron un Amstrad CPC-464 monocromo y lo típico, tienes juegos (en casete) que te dejan los amigos y los copias, otros los obtienes de revistas como Micromanía, en texto ... es decir, con el código en Basic impreso en las páginas de la revista y que tenías que copiar línea a línea. Recuerdo la de horas que pasé con mi padre tecleando código. Él me dictaba y yo iba escribiendo. Y por supuesto, a la hora de compilar venían los errores. Bien porque metías la gamba al escribir, o bien porque había alguna errata en la revista. Cuando esto ocurría te cagabas en todo pero a la vez te forzabas a intentar entender el código para corregirlo.

Más tarde, pues terminabas aprendiendo a programar y a crear tus propios juegos en Basic. Recuerdo que hice un Comecocos y un Arkanoid. Qué recuerdos, cuando había tiempo para el ocio :) Me acuerdo también que el tío de un amigo, que era bastante friki para la época y le gustaban mucho los ordenadores, me regaló un libro que tenía sobre lenguaje en ensamblador para el Z80. Me encantó ese libro y me abrió un nuevo mundo. La verdad es que me lo tuve que leer varias veces para llegar a entenderlo, pero gracias a él aprendí a alterar los binarios de los juegos del Amstrad para ponerme vidas o cambiar los colores de la pantalla y demás.

Al tiempo, pasé por un Commodore Amiga 500 que sólo utilicé para jugar y al entrar en la Universidad me hice con mi primer PC, un 486 con Ms-DOS al que con el tiempo le terminé instalando, primero Dr-DOS y luego de nuevo Ms-DOS con Windows 3.11.

En la Universidad trabajábamos con AIX y, desde que leí un artículo en la revista Muy Interesante que hablaba de cómo crackear cuentas de Unix, me empezó a picar el gusanillo. Siempre me ha llamado la atención entender cómo es posible entrar en un ordenador al que no tienes acceso. Aparentemente, accedes y te encuentras una pantalla de login del que desconoces las credenciales. Sin embargo, los sistemas eran vulnerados, pero ¿cómo?.

Fue una época muy divertida - lo siento por José Selvi que no pudo vivirla ;) - donde los sistemas eran frágiles ya que la seguridad no era una prioridad, no existía el /etc/shadow y todo quedaba en el /etc/passwd, accesible por cualquier usuario. Además, no había un listado de sitios donde acceder sino que tenías que buscar máquinas navegando por registros DNS o haciendo escaneos de rangos. La gente montaba máquinas para un uso determinado y no era consciente de que cualquiera que diera con esa IP podía llegar a acceder.

En esa época aparecieron los primeros Linux, que montabas con una serie de disquetes. Invertías muchísimas horas haciéndolos funcionar para luego no saber qué hacer con ellos, pues no habían aplicaciones aún. Recuerdo que el primero que monté era un Slackware, luego me pasé a Suse y finalmente me decanté por Debian.
Pepelux con la organización de ConectaCon
Los primeros manuales de hacking, cracking, phreaking, etc que cayeron en mis manos los saqué de una BBS de Alicante donde tenías que pedir permiso al administrador para que te dejara acceder a la carpeta privada donde estaban estos manuales. La verdad es que los accesos a las BBS eran una pasada para esa época. Tu teléfono llamaba con tu módem y si no había nadie más conectado, podías acceder a un menú que te permitía subir o bajar cosas, dejar mensajes a otros usuarios, etc. La verdad es que al haber tan poca información, la leías con gran entusiasmo. Hoy en día hay información de sobra y sólo se necesitan ganas para aprender.

Después vino la época del IRC, al que accedía primero desde Infovía y luego desde Internet. Hubo un tiempo en que pasé bastantes horas nocturnas hablando con gente en canales de hacking, aunque me terminé aburriendo ya que la mentalidad de antes no era como ahora. Como bien sabes, todo eran guerras, círculos muy cerrados a ver quién era más élite o quién más lamer. Eso es algo que hoy en día ha mejorado mucho, ya que no existe tanto secretismo ni tanta rivalidad y la gente se ayuda unos a otros.



Texto: Mercè Molist

Nota final: dada la extensión de la entrevista,
su versión en inglés se publicará
el próximo domingo, 1 de noviembre.

0 comentarios:

Publicar un comentario