lunes, 25 de abril de 2016

RoMaNSoFt: "Un buen defensor debe haber sido antes buen atacante"

Román Medina-Heigl Hernández. Ingeniero de Seguridad Informática para Repsol YPF. 


Román Medina-Heigl, más conocido como RoMaNSoFt, se ha ganado a pulso un lugar en el panteón de los hackers españoles. Su currículum se remonta casi al principio de los tiempos del "underground", cuando los hackers lucían con orgullo la bandera del pirata informático. Salió entonces de la oscuridad, escribiendo un gran éxito de la época: las "Tácticas de guerra en el IRC". Y ya no ha parado.

Hoy su localización más conocida es el grupo Int3pids, guerreros de los concursos de hacking desde Rusia hasta Las Vegas, pasando por Corea. Puntilloso a veces hasta la exasperación (como buen hacker), crítico implacable e impecable (lo que le ha reportado grandes amigos y enemigos), Román vive hoy como ayer en la periferia de los fastos y boatos de la Comunidad, en una BatCueva donde recibe a otros grandes también oscuros que siguen ahí, sin hacer demasiado ruido, pero muy atentos.


- ¿De dónde viene tu nick, RoMaNSoFt?

- De muy pequeño vendía juegos y todo tipo de "soft"(ware) de Amstrad CPC 6128 y ese era mi nick. He de decir que para mí nunca fue un negocio sino una afición, ya que lo poco que ganaba lo reinvertía en comprar más soft. Pero eso me permitía tener todo lo último y conocer gente y, por supuesto, no perderme una en cuanto a protecciones.

En esa época (que duró unos cuantos años), pasé por distintos ordenadores: Spectrum, Amstrad CPC/PCW, Amiga 500 y finalmente un PC. Y siempre usé el mismo nick para todo, incluso durante mi paso por la "demo-scene" del Amiga (Amiga Rules!! :-)) y acabando, como no, en la escena del hacking, donde quizás habría quedado más "cool" utilizar otro tipo de nick. A pesar de todo decidí no cambiarlo. Al fin y al cabo, lo que importa no es el nick sino la persona.

- Muchos hackers abandonaron la universidad el primer curso. ¿Tú no?

- La universidad me sirvió, entre otras muchas cosas, para acabar de despertar en mí ese gusanillo de la seguridad informática, y me permitió el acceso a recursos (estaciones de trabajo, redes... e incluso Internet) que por aquel entonces (casi) nadie tenía en casa. Se podría decir que estudié dos carreras: la oficial (Ingeniería Superior de Telecomunicaciones) y extraoficialmente me empapé todo libro de Unix a mi alcance y me pasé horas y horas en el CdC (centro de cálculo) "trasteando", que es como (en mi opinión) verdaderamente se aprende.

- Te diste a conocer cuando escribiste las "Tácticas de guerra del IRC". ¿Esas guerras fueron tu primer contacto con el mundo de la seguridad?

- No, mi primer contacto fue en el año 1993, cuando entré en la Universidad, tuve acceso a sistemas multiusuario interconectados... y por qué no decirlo, fácilmente hackeables. La llegada de Infovía (1995) también dio mucho juego y muchas divertidas noches tanto dentro como fuera del IRC }:-). La primera versión del doc de Tácticas creo recordar data de 1997.

- ¿La seguridad informática es como una guerra?

- Es una disciplina (y para algunos "locos" como yo, nuestra pasión), que se puede utilizar para el bien o para el mal. Tan importante es la parte ofensiva como la defensiva, están completamente ligadas. Yo no concibo a alguien que sea un buen defensor si no ha sido antes (o es) un buen atacante. Y viceversa.

De hecho, no has dejado las guerras, ahora con los concursos Capture The Flag (CTF). ¿La sensación de ganar una prueba en un CTF y la de asaltar un servidor ajeno es la misma?

Son distintas sensaciones (aunque en ambas hay "subidón"), al igual que lo son las implicaciones :) Asaltar un servidor ajeno (sin permiso) es ilegal y puedes acabar en la cárcel. Aclarar que no lo era antaño (había
un limbo legal) siempre que no provocaras daños ni te lucraras con ello, y es por ello que básicamente era la única opción posible para aprender (era lo más parecido a un CTF ya que estos últimos ni existían).

- ¿El aprendizaje es también el mismo en "fuego" real que en simulado?

- No exactamente pero se complementan (y en algunos puntos intersectan). En fuego real (pongamos, atacar un host o una red) la superficie de ataque es relativamente amplia, mientras que en un problema de un CTF normalmente está muy acotada.

Por poner un símil, en el primer caso te dan una casa "normal" (con su ventana, puertas, chimenea, etc; sin una seguridad especial) y tienes que entrar; en un CTF la casa que te van a dar es pequeñita, no tiene ventanas ni chimenea, y la puerta (a priori la única forma de entrar) está sellada a cal y canto. La forma de enfocar ambos casos es muy diferente (y por tanto, se aprenden diferentes cosas).

De fiesta con el legendario hacker Kevin Mitnick
En el primer caso (por ejemplo, durante un "pentest") se suele seguir un enfoque más metodológico, se utilizan herramientas que automatizan pruebas (scanners) o que incluyen un repertorio de exploits/técnicas conocidos y el truco es lanzar, en el menor tiempo, el mayor número de ataques posibles, ordenando los ataques de mayor a menor probabilidad de éxito, hasta que uno funcione.

En una prueba de un CTF los ataques suelen ser manuales y enfocados a explotar una vulnerabilidad muy concreta (a veces hasta te dan el código fuente o el binario a explotar) pero en condiciones muy adversas (o incluso un "corner case" -o caso límite- que es difícil de ver y/o de explotar). Hay muchos tipos de CTFs, pero se podría decir que *en general* suelen ser más complicados y suelen requerir de conocimientos más avanzados que, por ejemplo, un pentest o ataque tradicional (también los puede haber complicados, ojo).

- ¿Veremos algún día la paz en seguridad informática?

- No lo creo. Siempre habrá atacantes y atacados :) Y por mucho que evolucione la tecnología, siempre habrá al menos una vulnerabilidad explotable: el factor humano :) (me llama la atención el concurso de DARPA -Cyber Grand Challenge [https://cgc.darpa.mil/]- en el que el objetivo es construir sistemas totalmente automatizados que ataquen y defiendan de forma autónoma).

- Fuiste miembro destacado de !dSR, uno de los últimos grupos de la vieja escuela española. Érais críticos con la industria de la seguridad informática. ¿Por qué?

- !dSR fue un grupo atípico y "caótico". No éramos más que unos ocho amigos que compartíamos los mismos intereses por la seguridad informática y que nos juntábamos con cierta frecuencia en algún garito madrileño para tomarnos algo y contarnos nuestras "batallitas". De vez en cuando, alguna de estas batallitas salía publicado como !dSR y nos echábamos unas risas }:-)

Eso no quiere decir que todos estuviéramos de acuerdo con ciertas acciones o que estas fueran conjuntas. De la misma forma, algunos de nosotros éramos más pro-whitehats (mi caso) y otros... errrrrr, menos :) Sinceramente, creo que los que defendían el "Project Mayhem" (anti-whitehats) lo hacían más por hacer el gamberrete que por firmes convicciones.

Hoy día, !dSR persiste como una lista privada de correo, con unos ~80 miembros actualmente y muy poca actividad, que co-administramos "crg" (un crack al que deberías pensar en entrevistar }:-)) y yo.

- Has ayudado a organizar importantes cons españolas pero, Román, ¿tú aprendiste a ser hacker en comunidad o en solitario?

- Realmente aprendí en solitario, en parte por mi carácter bastante tímido y reservado, y por otro lado porque estaba lejos de las grandes urbes (donde sí que había más movimiento de grupos y quedadas). Siempre me he nutrido especialmente de documentación que he encontrado en la red y de ahí que todo se lo deba a la Comunidad, entendiendo por ella a los hackers que de un modo altruista comparten sus conocimientos (papers, exploits, técnicas, etc).

Por eso, en el año 1997 decidí comenzar mi documento de "irc-war" (que fui actualizando por un par de años), y en mi etapa más prolífica (2001-2009) puse el foco en publicar "advisories", exploits y "write-ups" de distintos retos/concursos. Fue mi forma de tratar de devolver a la Comunidad lo que antaño absorbí de ella.

Luego vino mi "época de organizador de Cons", en la que aprendí otro tipo de cosas y también traté de ofrecer algo diferente a la Comunidad. En 2009 fundamos "RootedCon" (la historia completa con todos los detalles la tenéis aquí), proyecto que decidí abandonar una vez celebrada (y con un rotundo éxito) la primera edición (2010). En 2013 me uní a la organización de ConectaCon, celebrando dos ediciones (2013 y 2014), y finalmente culminando en la NNC5ed (NavajaNegra-ConectaCon) del año pasado (2015), probablemente el mejor congreso de seguridad -no privado- que se ha celebrado en España hasta la fecha.

Actualmente me planteo pasar página y volver a mi antigua vida de ermitaño-absorbe-papers (en solitario), compaginándolo en la medida de lo posible (con un crío de poco más de un año no sobra el tiempo precisamente) con la participación en CTFs con mis inseparables compañeros de "int3pids".

- Cuando tu hijo sea mayor y los humanos, una parte más de las redes omnipotentes... ¿seguirá existiendo la opción de ser hacker?

- Siempre que haya mentes inquietas y curiosas, existirán los hackers.


Texto: Mercè Molist


0 comentarios:

Publicar un comentario