domingo, 6 de marzo de 2016

Leonardo Nve: "Tengo una sana envidia del equipo TAO de la NSA"


Leonardo Nve. Hacker.


Leonardo Nve se hacía llamar Fuego Fatuo cuando formó parte de la élite hacker española de los 90. Hoy, con 38 años, casado y dos hijos, trabaja de lo que aprendió entonces, de pentester senior para Cisco, después de 11 años en la consultora española S21sec. Leonardo imparte además formaciones certificadas por la universidad Carnegie Mellon y otras, por amor al arte, en foros de la comunidad hacker internacional y nacional. Y es que, dice: "Llevo dando charlas desde la primera Undercon ;)".

La Undercon fue la primera convención de hackers pública en España. Por aquel entonces, Fuego Fatuo andaba en grupos como la Compañía Phreaker Nacional de España o COM30, clonadores de tarjetas, traficantes de números 900 y salteadores de la red. Hoy, Leonardo disfruta pilotando aviones y haciendo magia. Su sonrisa nos transmite un corazón que, como ayer, palpita curioso y rebelde.


- ¿Puedo decir en la entrevista que tu nick en los 90 era Fuego Fatuo?

- Claro, la paranoia no va conmigo.

- ¿Cómo entras en contacto con tu primer ordenador?

- Desde bastante pequeño cuando entra en mi casa un Canon V-20 MSX cortesía de mi tío, yo tenía 5 años. Y claro con 6 años en el club de informática de los Maristas empecé mis primeros programas en Basic.

- ¿Y con el hacking?

- Como era una era pre-Internet, empecé con los virus >:), exactamente en 1989, sé la fecha porque acabo de mirar un libro que se acababa de publicar sobre el 'Viernes 13' y el virus de la 'Pelota' y aún lo tengo.

- Formabas parte de un grupo en los 90... ¿cómo les conociste?

- Es una conclusión inevitable que cuando en Murcia, una ciudad pequeña, se abre el primer Cibercafé nos acabáramos juntando ahí la 'escena Murciana'.

-Estuviste en CPNE, COM30, The Old School.... ¿cómo eran aquellos grupos, la actividad hacker en los 90, qué recuerdas con más fuerza?

- Éramos sobre todo amigos, con los que se tenían unas inquietudes comunes realmente extrañas para el momento, era una época donde la seguridad NO existía, todo lo conectado era virtualmente hackeable. Y lo hacíamos solo por interés técnico/científico, para conocer más los sistemas, cómo funcionan y era un juego sano saltárselos. Luego, como actividad adicional estaba el phreaking, el gran olvidado hoy en día. Lo que no recuerdo con fuerza de esa época son a la mujeres en estos menesteres, una pena.

- ¿Hay alguna norma de la ética hacker que haya guiado tus pasos?

- Básicamente no tener nunca como objetivo el beneficio económico mediante el hacking, el pentesting es otro tema muyyy diferente. Mi ética ha sido siempre científica, o casi siempre vamos... ¡Ojo! A veces, viendo los números hoy en día, no se si esa ética es la mejor.

- ¿A qué números te refieres?

- Me refiero a los números que se manejan con el cibercrimen hoy en día, veo a que a muchos les sale a cuenta riesgo/beneficio ;)

-¿Recuerdas el primer ordenador que hackeaste?

- Recuerdo los ordenadores de mi instituto con mi primer virus, nunca le puse nombre. Y después... Del más antiguo que tengo recuerdo es una estación de trabajo de la Universidad de Murcia, recuerdo hasta con qué bug. Además recuerdo escanear Internet el 'phf' un bug que los de mi época conocerán bastante bien, ¡me rio yo de los heartbleeds o shellshocks de ahora!

- ¿Qué te gustaba más del hacking entonces?

- Las reuniones con los amigos del grupo, discutir objetivos, interesantísimos debates técnicos y ponernos manos a la obra, y creo que puedo decir que se conseguía éxito el 100% de las veces. Como he dicho el concepto de seguridad informática, el de verdad, no empezó hasta bien entrado el siglo XXI.

 - ¿Y ahora? ¿En qué ha cambiado?

- El tiempo, los niños, la gente se hace adulta, gana dinero y pierde ese ímpetu juvenil. Y los nuevos de ahora han entrado en un mundo muy diferente, ahora la ley es más dura con los delitos de hacking, si investigas y encuentras un 0 day, se puede vender o como probablemente tienes un Bug Bounty con el que también te pagan, el altruismo científico se ha perdido en gran parte. La tecnología es más complicada o hay más ahora, antes sabías de todo y ahora o te especializas en algo o el que mucho abarca poco aprieta.

También antes éramos pocos, y se formaba una comunidad de verdad. Nos conocíamos todos de vista, teníamos el teléfono directo y los congresos que hacíamos eran de verdad sin ánimo de lucro. No obstante, no quiero caer en el tópico de todo tiempo pasado fué mejor, ahora vamos a 200Mb con fibra en casa y en su momento yo iba a 9600bps con mi móvil Nokia 5100.

- Del phreaking a hackear satélites, ¿el cambio técnico ha sido muy grande en 15 años o solo nos lo parece?

- Lo parece. En aquella época, y en mi charla sobre satélites lo digo, el tema de los satélites ya estaba en solfa. Incluso era más fácil. Warezzman me enseñó a pincharlos, después para mi charla ya me propuse llegar algo más lejos.

- Saliste hace poco en los principales medios de comunicación norteamericanos por tu investigación sobre satélites. Imagina que no existen las leyes: ¿qué podrías hacer tú con un satélite? 

- Casi de todo, desde introducirme en redes de compañías que tienen estos sistemas contratados, a enviar datos erróneos a estaciones de energía renovables que muchas van vía satélite.

- ¿En qué andas ahora investigando?

- Hace mucho me di cuenta de que hay muchos ataques teóricos pero que luego a la hora de llevarlos a la práctica, nadie sabe hacerlos ni sabe cuánto de 'hype' hay en la descripción. Estoy en ellos, en la Blackhat justamente voy a dar un curso sobre técnicas Man in the middle, intentando montar un laboratorio lo más real posible para que los alumnos aprendan y practiquen más allá de las típicas pruebas de concepto que solemos publicar todos a la hora de presentar un nuevo ataque o vulnerabilidad. Además, como lo que me gusta es siempre presentar algo nuevo y no cosas que son en realidad resultado de la investigación de otro, en este curso voy a introducir técnicas nuevas y mejoras para que la siguiente generación de la NSA haga mejor su trabajo :).

- ¿Cuál crees que es ahora mismo el principal problema en la red que precisa de la atención de la comunidad hacker?

- El terrorismo, pedofilia, crimen organizado, por ese orden. Existen muchos hackers sacando soluciones, parches, consejos, charlas sobre privacidad. Pocos veo, que los hay, que saquen herramientas y den charlas sobre cómo encontrar y seguir cuentas de Twitter de gente del Daesh, o perfiles de Facebook sospechosos. Me parece muy mal que se critique que Universidades investiguen cómo deanomizar Tor para encontrar a los malos. Cierto es que, como todo tiene su doble uso, unos dicen que la encriptación sirve para que los terroristas y otros malos se comuniquen tranquilamente y los otros que los ataques a Tor sirve para atacar a los buenos....

- ¿Qué les dirías a los chavales que empiezan en el hacking?

- Vale para cualquier cosa, pero básicamente que se diviertan (sanamente, claro), cuando uno se divierte con lo que hace, lo hace bien, si no disfrutas leyendo y escribiendo cientos de líneas de código, haciendo una captura de red y leerla al estilo Matrix o leyendo y releyendo para entender los artículos que publica la gente. Dedícate a otra cosa. Si te diviertes con eso que he dicho o haciendo mapas de la memoria de un proceso para hacer un exploit, FELIZ HACKING!

- ¿Pondrías tus artes de hacker al servicio de un ejército?

- Viendo lo que hay por ahí fuera, y aquí dentro, lo haría sin problemas si me lo pidieran. Aparte, los "juguetes" que tienen llaman mucho la atención de mi mente científica y juguetona. Siempre reconozco que tengo una sana envidia del equipo TAO de la NSA.



Texto: Mercè Molist


0 comentarios:

Publicar un comentario