domingo, 13 de marzo de 2016

Alberto Moro: "No sabes de SQL Injection hasta que no has metido una comilla"

Alberto Moro. Analista de malware en Panda Security


A Mandingo se le conoce más por su apodo que por su nombre, Alberto Moro. Saltó a la fama de la cosa informática cuando en 2003 ganó un torneo de hacking llamado Boinas Negras, siendo el mejor de 4.000 participantes. Era la primera vez que se celebraba el concurso, organizado por dos respetables figuras de la comunidad hacker española, Juan Carlos García Cuartango y Gonzalo Álvarez Marañón. Mandingo ganó la primera edición. Se llevó a casa una tabla de quesos, una boina, un libro y un curso de formación en seguridad presencial. 

Por aquel entonces, los concursos de hacking se podían contar con los dedos de una mano, pero Mandingo los tenía controlados: "Ya había participado en otros torneos antes. Recuerdo Izal, con su fondo azul, sus rangos, rankings, foros, y pruebas de lo más variopintas. Allí tuve la oportunidad de conocer virtualmente a Romansoft y a otros. También recuerdo haber jugado a algún que otro wargame como el de S21sec (me saqué algo de cash) y haber "peleado" contra Kachakil y otros, en los retos de Chema (elladodelmal)", explica el santanderino.


- ¿Sigues jugando a retos de hacking?

- Hace años que dejé el tema de participar; prefiero dedicar el tiempo libre a dibujar/pintar, leer, programar, escuchar música, salir, o relajarme con la videoconsola. Pero mantengo un wargame (yoire.com) desde hace ya tantos años que ni recuerdo (>10 diría), el cual ha sufrido múltiples transformaciones. La finalidad, entretener y educar.

¿Qué mejor forma de aprender sobre seguridad informática que retándote? En mi opinión, y no creo que me equivoque, no sabes de SQL Injection hasta que no has metido una comilla ' en una entrada X y obtenido -lo que te interesa-;  no importa lo mucho que leas, si quieres afianzar los conocimientos sobre algo, es necesario practicar y practicar.

- Estudiaste Telecomunicaciones, ¿es así?

- Sí. Cuando acabé el instituto se estaba poniendo de moda y bueno, parecía que podías cacharrear un montón tanto con hardware como con software... y en verdad cacharreé... eso sí, buscando huecos también para estudiar ya que no regalaban aprobados precisamente. Formé parte de una asociación informática y, bueno, pasábamos mucho tiempo "jugando"; conocíamos a muchos de los "guardianes", protectores de los servidores y "cuentas telnet" que daban acceso a Internet; fue bastante interesante conocer cómo funcionaba la red y la seguridad en sus estados más primarios.

-¿De todo el abanico de posibilidades que da la seguridad informática, por qué te dedicas al malware?

- Porque es un tema que siempre me ha parecido interesantísimo. No solamente tengo la oportunidad de trabajar en seguridad (informática) que es lo que me gusta, sino que además, estoy aprendiendo constantemente y peleándome con las últimas rarezas que pueblan este ciber-espacio, combatiendo el crimen y haciendo que nuestra experiencia informática sea más segura. Investigo, analizo amenazas, desarrollo contramedidas, aprovecho todo lo aprendido... reconozco que me lo paso bien.

Durante muchos años trabajé como auditor de seguridad, realizando sobre todo auditorías de seguridad web, de red (internas y externas), pentesting, y esporádicamente temas relacionados con seguridad wifi, voip, moviles, etc. A pesar de que me resultaba interesante el tema, siempre eché de menos conocer aquello que me faltaba. Es decir, cómo operan los criminares, qué información gestionamos, cómo podemos mejorar nuestras defensas, cómo son los "bichos" de última generación, etc. La necesidad de saber y conocer más y más cómo funcionan las cosas me ha llevado hasta aquí.

- Supongo que ahora mismo el ransomware es lo más en tu especialidad. ¿Está el futuro tan crudo como parece, con esos bichejos?

- El fenómeno "ransomware" está siendo importante ciertamente. Solicitar un rescate por limpiar o desbloquear tu equipo es una cosa, pero ¿cifrarte los ficheros? eso ya es pasarse un poco :)

La evolución de este tipo de amenazas ha sido importante estos últimos años, y estudiándolos internamente vemos que cada vez son "productos" más maduros: criptografía asimétrica, servidores de C&C en servicios ocultos de la red TOR, pagos en Bitcoin...      ¿cómo paras algo así? Eso sí que es un reto.

-¿Hay algún ransomware que te llame especialmente la atención?

- Uno que ha aparecido últimamente denominado "KeRanger". ¿Por qué? porque es para OSX (no hay muchos) y por cómo se preparó su distribución. Por lo que se comenta, alteraron el paquete de Transmission, un cliente de Bittorrent bastante popular para Mac y lo firmaron de forma que se saltaron las restricciones del Gatekeeper. Pero no solo esto... hackearon la página web oficial y pusieron el paquete modificado donde estaba el original; un trabajo fino. Una vez desempaquetado el UPX, resulta una lectura interesante :)

-¿Es el ransomware el malware que a tí "te pone" o hay otro que te incite más intelectualmente?

- Sinceramente, me gustan todas las variantes de malware que podamos encontrar, sobre todo cuando son rarezas o evoluciones de lo ya conocido. Pero no solo esto, también ver los exploits locales o utilizados en su distribución (si es que hay), las técnicas anti detección/virtualización/sandboxing que utilizan y tener tiempo para analizar posibles 0days, reproducirlos y analizarlos localmente, mejorar las herramientas, pelearme con las rutinas de cifrado, etc.

-España ha tenido al mejor grupo de expertos en virus casi de la historia, 29A. ¿Seguimos teniendo esta excelencia?

- Creo que la excelencia no se pierde, simplemente evoluciona y se adapta a los nuevos tiempos.  Existen comunidades de todo tipo, con gente apasionada por estos temas y perfiles técnicos muy altos, desarrolladores increibles y "speakers" que llenan salas y locales. ¿Qué más puedo decir? que los más "nuevos" van pisando fuente :)

-Cuando empecé a usar ordenador, hace 30 años, ya había virus. Hoy lo sigo usando y sigue habiendo virus. ¿Jamás nos vamos a librar de ellos?

- Bueno, esto es como pensar que la seguridad total existe y que podemos moldearla con una única medida o solución puntual. Este fenómeno hay que contemplarlo como una carrera en vivo en la que todos quieren ganar, pero que parece no tener final. Por un lado están los que desean hacer negocio, robando o especulando con bienes ajenos, por otro los que intentan que esto no ocurra ofreciendo sus soluciones y combatiendo el crimen, y por otro, los usuarios que solamente pueden elegir qué antivirus, software de protección o medidas van a tomar.

-¿Es el malware el principal problema de seguridad que tenemos en Internet?

- Creo que el principal problema es que no hemos madurado lo suficiente para entender en su totalidad la tecnología que tenemos delante y su potencial. Hace falta más formación en el uso de estas nuevas tecnologías, entender que hacer un backup no es copiar los ficheros a otra carpeta, saber que existen riesgos y soluciones preventivas, que el MW es solamente una herramienta, y que detrás de estos puede haber desde personas individuales hasta organizaciones e incluso gobiernos, que la información vale dinero, la criptografía es necesaria, y la privacidad es un derecho...

-Última pregunta: ¿Hay alguna norma de la ética hacker que guíe tus pasos?

- Espera que miro tu "Hackstory"... me gusta esta: "Puedes crear arte y belleza con un ordenador." :)

- Gracias :)


Texto: Mercè Molist


0 comentarios:

Publicar un comentario