lunes, 16 de mayo de 2016

Javier Marcos: "El Red Team siempre gana"

Javier Marcos. Ingeniero de Seguridad y maestro de CTFs.

Javier Marcos es un auténtico guerrero hacker y maestro de guerreros, bregado en decenas de batallas a las que ahora llaman Capture The Flag (CTF). Ingeniero de Seguridad en Facebook, acaba de liberar desde este estandarte una plataforma libre que facilita la organización de CTFs y de ello nos hablará en esta entrevista que no es la primera ni la segunda que le hacen.

Javier, 32 años, alias Javuto, es un chaval de montaña y de pueblo, Vegacervera. Y aunque a los 4 años su familia se trasladó a León, sigue intacta en él la bravura montañesa. Ya con el título de ingeniero informático en la mano vio que la salida tenía que ser "por tierra, mar o aire", así que emigró primero a Portugal, después a Irlanda y de allí a California, aunque en su Twitter asegura vivir en la Tierra de los Valientes (Land of the Brave).

- ¿Cómo te metiste en el mundo de la seguridad informática?

- Muchas horas en IRC, en la red y el ordenador. El recuerdo que tengo es leer todo lo que llegaba a mis manos, incluso cuando no me enteraba ni de la mitad. Antes de tener Internet, sacando libros técnicos de la biblioteca y viendo si era capaz de sacar algo en claro. Nunca hubo un campo que me llamase la atención en particular, practicaba e iba aprendiendo poco a poco de un montón de cosas. Me dió por empezar un máster de Seguridad y unos meses más tarde me pasé al equipo de Seguridad de IBM, donde ya trabajaba como ingeniero de software.

- Has creado algunas herramientas de seguridad. ¿Cuáles destacarías?

He tenido la suerte de formar parte del equipo de desarrollo de Osquery https://osquery.io desde sus comienzos. Nació de la necesidad de monitorizar y extraer información estructurada de sistemas OSX y Linux. Dado que este tipo de herramientas suelen ser agentes que están funcionando todo el tiempo en tu máquina, ni siquiera nosotros mismos queríamos correr algo que no tuviera una auditoría completa, por ello que es totalmente de código abierto. Por otra parte, el concepto de poder aplicar SQL en el sistema operativo es muy potente.

Y no podía dejar de mencionar mi recién liberada plataforma de CTFs! Llevaba como 3 años desarrollando en mis ratos libres esta plataforma y me puse las pilas para poder dejar el código pulido y distribuirla como software abierto.

- Leo que es una plataforma para juegos Jeopardy y “King of the Hill”. ¿Qué tipo de juegos son esos?

- Jeopardy es básicamente un panel de preguntas y respuestas, donde la respuesta puede ser algo que puedes encontrar con una simple búsqueda en Google o una flag o texto que está oculto. Suelen ser retos de criptografía, forense, explotación, web... La idea es que tienes un texto oculto y debes encontrarlo. King of the Hill es diferente, se tiene un sistema que es vulnerable y el primer equipo que lo domina se lleva los puntos. Además, mientras más tiempo se mantiene el control, más puntos se llevan.

- ¿Para qué sirve exactamente la plataforma?

- Para organizar competiciones. Se hace cargo del registro y gestión de equipos, administración del juego y puntuación. Las pruebas no están dentro de la plataforma, ya que depende mucho de la clase de evento que se quiera organizar. No es lo mismo hacer un CTF en un colegio que en una conferencia de Seguridad.

- ¿Es la primera plataforma de ese estilo?

- Creo que es la primera que integra Jeopardy y King of the Hill. Estamos trabajando en desarollar también una solución para competiciones de Ataque y Defensa, donde los equipos deben defender su infraestructura mientras atacan a los demás. Esta clase de competición es la que se juega en las finales de Defcon y para mí es la Champions League de los CTF.

Una de las cosas que no tienen las demás plataformas es una interfaz lo más CYBER posible y que fuera vistosa y llamativa. También hemos intentado usar el código como herramienta educativa para buenas prácticas de programación segura. De todas maneras nuestra plataforma forma parte del Bug Bounty de Facebook por lo que si la gente encuentra vulnerabilidades, bienvenidas sean!

- ¿Cómo se te metió el gusanillo de las CTF?

- Son una manera muy entretenida de pasar el tiempo y además se aprende un montón! No sólo jugando pero también cuando tienes que organizar uno, hay muchas cosas que hacer. Desde escribir tu propia plataforma para el juego, desplegar infraestructura, dejarla a prueba de bombas, desarrollar niveles y ponerlo todo junto y ver cómo la gente se lo pasa bien, y además aprende.

- ¿Qué te gusta más, organizar o participar?

- La clave para organizar buenos CTFs es haber jugado muchos, así sientes de primera mano la frustración de pruebas reguleras o cuando algo se rompe y no puedes hacer nada. Aunque sólo sea echar un vistazo rápido o leer writeups de eventos anteriores, siempre habrá algo que te pueda dar una idea para una prueba. Suelo jugar por mi cuenta, aunque cuando vivía en Dublín echaba una mano a Mario Ballano de int3pids.

- ¿Qué tipo de CTFs te gusta montar?

- CTFs presenciales, así puedes sentir el ambientillo de concentración y ver a la gente dándolo todo. De los últimos que he montado, tengo que destacar la última Navaja Negra-ConectaCon, por el buen ambiente y participación. Para repetir!

- ¿Te sorprenden a veces los concursantes con soluciones que no esperabas? 

- Recuerdo un año en BruCON, tenía una prueba que era una aplicación vulnerable de Android, con una combinación numérica que cambiaba cada segundo, generando códigos diferentes. La forma rápida de pasar la prueba era directamente invocando el código que se llamaba después que se acertase la combinación, pero unos chavales se reversearon todo el algoritmo para así predecir la combinación en un momento futuro. Los puntos fueron los mismos pero la verdad que me dejaron impresionado.

- ¿Cuál es el mejor CTF que recuerdes?

- Tengo un hueco especial en mi memoria para el CTF de la AppSec USA 2011, en Mineápolis. Allí nos fuimos Juan Galiana y yo a presentar técnicas de ataque abusando de HTML5 y había un CTF en la conferencia, que duraba un par de días. Justo después de dar nuestra charla, casi al final del primer día, fuimos a echar un ojo y vimos que había posibilidades, o sea que esa noche en lugar a salir a cenar y tomar algo, nos quedamos en el hotel a preparar la estrategia del día siguiente y las herramientas. Y bueno, después de un día intenso ganamos el CTF.

Aunque no puedo dejar pasar tampoco la oportunidad de mencionar el cochecito de Kachakil. Esto pasó jugando unas prequals de la Defcon en Dublín, había un reto bastante complicado que te dejaba controlar un coche y tenías que evitar obstáculos.

- ¿Participar en CTFs da el mismo entrenamiento que dedicarse al hacking de máquinas reales? 

- Jugando CTFs se pueden utilizar técnicas de intrusión sin tener que hacer nada ilegal. Y además se aprende un montón mientras te montas tus entornos de pruebas. Muchas veces necesitas simular una plataforma y para eso las máquinas virtuales o servidores virtuales vienen fenomenal. No sólo es romper cosas en Seguridad :)

En cuanto a las técnicas, depende a qué nivel estemos hablando. Hay muchos equipos que desarrollan sus propias herramientas y tienen un montón de ejemplos ya hechos, por lo que si el problema es genérico, puede que la solución ya la tengan lista o casi lista. La verdad, con lo que hay público es de sobra para poder jugar CTFs. Y, al fin y al cabo, la naturaleza de las máquinas que se atacan es la misma, sea un CTF o sea otra cosa.

- Hablábamos hace poco con RoMaNSoFt y decía que los CTF son incluso más difíciles que el hacking. ¿Lo crees tú también?

- Estoy totalmente de acuerdo. Muchas veces los retos son bastante mas enrevesados que la realidad, y alguna vez han metido sistemas reales para ver quién los podía comprometer. Al fin y al cabo los CTFs se usan para captar talento, ¿no? ¿Por qué no 0days también? :P

- ¿En la red todo evoluciona muy rápido, existe ya algo que esté sustituyendo a los CTFs?

- No creo que vayan a sustituirlos, pero ahora hay mas opciones para los tipos de juegos, estrategia y aplicación de los mismos. Se están poniendo de moda los eventos de defensa, que la verdad son como un CTF inverso. Por ejemplo, en Estados Unidos, es muy popular el CCDC (Cyber Collegiate Defense Competition) donde los estudiantes tienen que defender su infraestructura, diseñada para simular un entorno corporativo real, y el Red Team está compuesto por profesionales de la Seguridad.

Llevo ya 3 años participando como miembro del Red Team y la verdad que se ayuda bastante a los estudiantes a aprender cómo lidiar con la presión de un incidente, y sobre todo cuando les dices por dónde te has colado y que deberían haber hecho para detectar la intrusión y eliminar la amenaza. Pero bueno, el Red Team siempre gana :P

- Por último, ¿nos regalarías una frase?

- Puedo decirte alguna frase profunda como "El que no arriesga nunca gana", pero la gente que me conoce sabe que me gusta tomarme las cosas desde un punto de vista humorístico y "trolear" cuanto más, mejor. O sea que "Always Be Trolling!" de filosofía de vida para todo el mundo!

Texto: Mercè Molist



0 comentarios:

Publicar un comentario