martes, 8 de marzo de 2011

Entrevista a Kachakil

Compartir este artículo:

Hoy tenemos el placer de presentaros la entrevista que tuve el lujo de poder hacerle a Dani Kachakil (@Kachakil). Es un lujo poder contar con personas de la talla de este tipo y poder aprender de sus palabras. No me desvío más y os dejo con la entrevista al completo, nuevamente gracias a Dani ;)

No te queremos meter en ningún lío, pero ¿Qué opinas del tema de los servidores de Hotmail? ¿Qué tarden 8 horas en caducar las cookies?

Pues hace muchísimos años que no uso el correo de Hotmail y no puedo entrar a valorar un sistema tan grande y complejo así tan a la ligera. No sé si a día de hoy bastará con cerrar la sesión para mitigar el posible riesgo, aunque tengo entendido que no es así. En cualquier caso, supongo que no habrán decidido un valor al azar y seguro que existirán razones para haber elegido ese, porque una sesión abierta en un servidor consume recursos. De todas formas, si han podido robarte las cookies, probablemente ese sea el menor de tus problemas...

Hablando en general y ya no de Hotmail, la seguridad siempre se debe implementar en su justa medida y no es cuestión de matar moscas a cañonazos e implementar en todos los proyectos todas las medidas que estén a nuestro alcance. No olvidemos que ese exceso de medidas puede tener un impacto negativo que tal vez no compense asumir en determinados escenarios. Sabemos que el cifrado penaliza el rendimiento, tener que introducir contraseñas o elevar privilegios puede llegar a ser molesto y entorpecer nuestras tareas, etc. Siempre hay que buscar el equilibrio con la funcionalidad de una aplicación o con los procesos de negocio de una empresa y muchas veces nos cometemos el error de limitamos al ámbito puramente técnico, cuando deberíamos analizar todo el conjunto.

¿Qué sensación os dejó el WarGame de SBD?

En general muy buena. La verdad es que no nos podemos quejar, porque todo nos fue muy bien... Aparte de ganar el concurso, nos divertimos, aprendimos algunas cosas y pusimos en práctica otras, que al final es de lo que se trata. Siempre se agradece que existan este tipo de iniciativas que permiten que cualquiera que esté interesado en este mundillo pueda ponerse a prueba y practicar tranquilamente desde su casa, solo o en grupo. Es normal quedarse atascado en algún punto y es ahí cuando más aprendes, ya que te pones a leer documentación de todo tipo y sueles descubrir cosas muy interesantes, aunque sea de rebote y no formen parte de la solución que estabas buscando.

¿Qué opinas del proyecto (Flu Project) que iniciamos en Diciembre de 2010?

Supongo que hablamos del proyecto en conjunto y no solo del "troyano educativo", pero en cualquier caso no importa... Todo lo que sea acercar el mundo de la seguridad a la comunidad me parece muy buena idea y más cuando se hace de forma desinteresada. En Internet hay muchísima información de todo tipo, tal vez en exceso, pero no siempre es fácil separar el trigo de la paja, así que no dejéis de ser originales, porque es una de las principales claves del éxito. Mucho ánimo y mucha suerte con este proyecto que de momento parece ir viento en popa.

¿Crees que sitios como pastebin denuncian la inseguridad que existe en el mundo cibernético o simplemente se jartan de las propias víctimas?

¿Pero qué os he hecho yo para que me preguntéis estas cosas tan raras? Jejeje. Pastebin no deja de ser una herramienta cuyo propósito general dudo mucho que sea el de denunciar ni exponer nada concreto, al igual que Megaupload o Rapidshare. Siempre se ha podido colgar un fichero de texto en cualquier servidor de forma más o menos anónima y en ese sentido no aporta nada nuevo. Esto no es Wikileaks y aquí el mensajero no tiene la culpa… ;-)

¿Qué crees que debería pasar para que el mundo se tomara la seguridad informática como algo principal y no secundario?

Tal y como comentaba al principio, la seguridad siempre es relativa al activo que se pretende proteger. Un buen análisis de riesgos debería determinar en qué medida merece la pena invertir recursos y entonces tomar las acciones necesarias. A día de hoy parece que la mayoría de empresas y usuarios se lo están tomando más en serio y la tendencia está bastante clara: cada día estamos más concienciados, afortunadamente. Por lo menos es un aspecto que hay que poner sobre la mesa, evaluarlo y tenerlo en cuenta. Que sea un aspecto principal o secundario ya dependerá del ámbito concreto en el que estemos, pero lo importante es tomar la decisión que sea y no dejarlo al azar.

¿La ciberguerra ha llegado realmente o es puro marketing?

Bueno, una cosa no quita la otra. Que se utilice también como argumento de marketing no le resta importancia al hecho de que existan claros indicios de ciberguerra en los últimos tiempos. Creo que todos tenemos en mente varios casos recientes y no se puede negar la evidencia. Cuanto más informatizada esté la sociedad en general, mayor protagonismo tendrá la ciberguerra a todos los niveles. Esto ya no es cosa de ciencia-ficción...

¿Stuxnet es el primero de una larga carrera?

Por supuesto que sí y lo dice todo el mundo, no es que yo sea ningún experto en malware. Llevamos años viendo cómo la informática se está introduciendo cada vez más en todo tipo de sectores y no nos debería sorprender que los ataques informáticos evolucionen de forma tan vertiginosa. Ya no solo estamos hablando de comprometer el típico PC doméstico o empresarial para usarlo o venderlo como parte de una botnet, sino de temas mucho más serios como el posible control de centrales nucleares, sistemas bancarios o exponentes tecnológicos como el propio Nasdaq. Está demostrado que la inversión les sale rentable, así que está claro que cada vez tendrán más medios a su alcance y eso implica que lo harán mucho mejor y dejando el menor rastro posible.

¿Qué aconsejarías a los jóvenes que empiezan en el mundo de la seguridad?

El mundo de la informática en general exige un alto grado de dedicación y motivación, al igual que tantas otras profesiones, así que ves pensando en echarle horas si no quieres ser uno más del montón. La cruda realidad es que si te quedas solo con lo que sabes hoy, vas a tardar muy poco en quedarte totalmente desfasado y obsoleto, ya sea como programador, como administrador de sistemas o como experto en seguridad, da igual. Nunca dejes de aprender y formarte continuamente para poder superarte día a día. Intenta familiarizarte con varias tecnologías y ramas técnicas para tener una visión lo más global posible de las cosas. Seguro que al final descubres que algunas de ellas te gustan más, despiertan mayor interés en ti y lo normal es que se te den mejor unas que otras, así que elige el camino con el que estés más cómodo.

Dinos un nombre que te gustaría que fuera el siguiente en ser entrevistado.

Seguro que no os faltan candidatos, pero yo voy a sugerir la entrevista a Miguel Gesteiro (@mgesteiro), a ver con qué anécdotas y experiencias nos sorprende.

 

 

 

3 comentarios:

  1. Excelente entrevista y todo un master que es kachakil, una de las personas que MAS admiro en este mundo de informatica y sobretodo Wargame, y una destreza para escribir increible (writeups). Y sobre todo una persona muy Humilde y Afable, me alegra aceptaran mi recomendacion de entrevistarlo. No me canso de leer cosas acerca de dani..P.D. Dani Kachakil (tienes un admirador no secreto xD) Y muy cierto lo que dice, el proyecto flu, va viento en popa.Saludos ;)

    ResponderEliminar
  2. Genial Dani! Me alegré de verte un rato por la Rooted, un abrazo!

    ResponderEliminar

Related Posts Plugin for WordPress, Blogger...