20 sept 2012

Flu Project entrevista a David Hernández (Dabo)

Hola David, en primer lugar muchas gracias por dejarte liar por nosotros para robarte unos minutos y que compartas con nuestros lectores un poco más de ti. Y doblemente gracias, por los siempre gratificantes comentarios que tienes con Flu Project, sobre todo teniendo en cuenta que estamos dando los primeros pasos de una senda que habéis comenzado a forjar hace mucho tiempo profesionales de tu altura.

R –         Si lo de la alto va por tamaño es cierto, ando rondando 1,90 m ;D. En serio, gracias a vosotros, estáis haciendo un gran trabajo y con el nivel de los entrevistados que me preceden, es difícil estar a esa altura que aludes.

1.       Llevas 10 años de daboweb, y a poca gente conozco que tras 10 años siga tan fiel a su estilo y no fallando nunca a los lectores. ¿Cómo es tu día a día? ¿Ha cambiado mucho desde 2002 a 2012?

R -          Sobre Daboweb, sólo puedo decir que sin los que están conmigo ahí desde hace algo más de 10 años, estoy seguro que hubiese sido imposible seguir o empezar con DaboBlog, el Podcast, Caborian, DebianHackers, etc. Les debo mucho a todos ellos, lo mejor de todo es que seguimos en contacto tanto a nivel personal como en nuestros foros a diario. Seguro que me dejaría fuera muchos nombres, en la sección “El team” está todo el equipo actual, pero no están todos los que han estado (gracias amigos!!).

¿Mi día a día? Nada del otro mundo de veras, hay varios registros que se repiten, llevo un GTD “razonable” con RTM sin obsesionarme. Intento estar informado de lo que pasa a mi alrededor para no perder la perspectiva, estar con mi chica, escuchar a mis amigos, procuro dormir algo más, tomar menos cafeína y salir de vez en cuando de la cueva a por víveres.

Fuera de la telaraña, lo que más me ayuda a no caerme de ella, es caminar a ritmo rápido todos los días unos 8 o 10 Km por la ciudad para mejorar mi ritmo en la montaña. Allí, en lo más alto y con lo mínimo imprescindible, encuentro el equilibrio.

En lo electrónico todo es más previsible, la típica lucha diaria por llegar al punto óptimo de priorizar correctamente. Discernir entre lo que es urgente y lo que no. Montones de logs, mails, actualizaciones, alertas, webs, foros, mis propios sistemas, RSS, clientes, estudiar, darle algo a Python, probar nuevas herramientas y técnicas de hacking, Debian, Konsole y más Konsole, leeros a un montón de vosotros e intentar escribir algo más. Paro que me estreso!

Sobre si ha cambiado mucho estos últimos 10 años, definitivamente sí. En el 2002, eso de llevar todo el día contigo un ordenador con el que cuando te queda batería, hasta puedes llamar por teléfono, sería impensable...

2.       Siempre que me cruzo con un Apache en mi trabajo me pregunto, ¿qué haría Dabo en este momento? Y en tono de humor alguna vez me dicen, “Siempre estás con Dabo esto, Dabo lo otro, pero nunca dices Jericó esto, Jericó aquello” (frase que dice el Reverendo Lovjoy en los Simpsons, ¡sabéis cuál es frikis!). ¿Cómo es el día a día en  una empresa como APACHEctl?

R -          Ja ja, vaya frikada, muy grande el Reverendo ! /* Disclaimer */ Un honor que te acuerdes de mi, pero no soy buen ejemplo de casi nada ;D

El día a día en tierras Apaches (tribu Kiowa para ser más exactos;) es un tema aparte. Imagina un ecosistema de servers del tipo: Debian GNU/Linux “a pelo” con un sistema GLAMP mínimo (situación ideal para mi, entiendo que no necesariamente para los clientes) y vaya, puede tener un Nginx, Light o Cherokee Server con MySQL, MariaDB, PostgreSQL o Percona...

Quizás te toca una Debian con el Webmin, ISP Config o Plesk de turno para empezar y sigas con CentOS & Cpanel, dejando un Ubuntu Server en Amazon de camino y termines el día en una Red Hat con Pacemaker, Corosync, Tomcat, Liferay, Alfresco y 10 servers en un “supuesto cluster” o “sistema de alta disponibilidad”...

Trabajamos con empresas de Desarrollo, Hosting, educación, juegos online, alguna Universidad, sector financiero, etc. Te puedes imaginar dentro de esa mezcolanza las cuestiones que afectan a tu trabajo.

Actualizaciones, aplicaciones web, desarrolladores, usuarios finales, múltiples vectores de ataque, picos de carga, bugs, relaciones con las empresas de hosting (cada una con su forma de actuar), instalaciones por defecto inseguras, intervenciones de urgencia en sistemas que no ha montado tu equipo entrando con el traje de bombero, daños colaterales, falta de transparencia en ocasiones por parte del “vendor” de turno (a los que el cliente paga en forma de licencias/soporte...), gestión comercial, etc.

Lo más “divertido” que recuerdo es de la semana pasada, una empresa certificadora de renombre en UK mandando una captura de su Nmap 6 con un “por favor, nos pueden quitar el bloqueo, es que estamos haciendo un pentest a (…) y necesitamos continuar”...

Lo más bestia es ver una Debian Testing en producción con un sistema imposible de actualizar con una app en Ruby que daba pánico y por ponerte un ejemplo, con el famoso bug de Apache (range header), todos los de MySQL y unos cuantos de BIND. Claro, imagino que sería más “fácil” (WTF) irse a Testing para meter el paquete de turno que compilarlo o buscarse la vida con ello...En fin, nada que no sepas ;).

Eso sí, las relaciones con nuestros clientes son muy cercanas y nos ayudan mucho, es lo bueno de ser una empresa (muy) pequeña que no ha caído en la sobredimensión. No queremos abarcar más de lo que podemos llevar adelante ya que son entornos delicados, es nuestra máxima.

3.       ¿Y su equipo?, sois 3 mosqueteros curtidos en el terreno de juego.

Tengo junto a mi a dos grandes amigos, eso es muy importante, dar el paso de frikear juntos a llevarlo al terreno laboral es complejo. APACHEctl como idea llevaba tiempo rondando mi cabeza, no he podido encontrar mejores compañeros de viaje.

Aj lleva muchos años entre servidores y desarrollando aplicaciones, nos conocimos en Daboweb y seguimos juntos. Oreixa en los 90 fundó el primer ISP de Galicia (con las máquinas “en local”), también está en el equipo IT de Suzuki Motorsport. Tienen experiencia y todos aprendemos de todos.

Los 3 juntos, también co-administramos Caborian y hacemos un podcast con  Forat, lur, n1mh, etc. Como puedes ver, el vínculo laboral vino después.

Luego tenemos a “honorables Apaches” en la reserva, dispuestos a coger el arco y las flechas caso que hiciese falta. Somos pocos pero muy unidos ;).

4.       Creo que empezaste en la informática con un Amstrad/Spectrum al igual que muchos que se mueven en el mundillo. Yo también empecé con uno de estos, pero seguro que algunos años más tarde (por el 90-91). ¿Qué recuerdo te traen aquellas cajas de pandora de fósforo verde? ¿o eras de los suertudos que las disfrutaban a “todo color” :-)?

Fosforo verde ! Lo cierto es que llegué tarde y fue con un 286 de segunda mano (costaban mucha pasta) con el que me empecé a pegar de verdad. Cuando estaban los Pentium yo andaba con un 486 DX 2 recuerdo. Quizás de ahí viene mi primer vínculo con GNU/Linux y su “economía de recursos”.

5.       Sabemos que te gusta decir que eres de los que aprende a “prueba-hostiazo-error”, pero seguro que tienes algún libro de informática que recomendar a los lectores para formarse en informática y/o seguridad ¿verdad?

Es cierto, me sigo dando hostias todos los días, a veces con cosas tan previsibles que luego te das de hostias (de nuevo) por no haberlo visto.

Sonará un poco extraño, pero con “mis 60 mejores partidas” de Bobby Fischer he aprendido algo de la gestión de riesgos. Sobre recomendar algún libro uff, no acabo de ver el “definitivo”, te pongo un enlace a un post con una parte de mi biblioteca “analógica”(del día en el que me vi señalado por tener unos libros “supuestamente delictivos”) http://bit.ly/A99wps

Pero hay uno, “Haking Ético, un enfoque metodológico para profesionales” de la editorial Alfaomega que me trajo un colega desde Colombia, muy recomendable para la gente que empieza en este mundillo.

6.       Desde hace poquito colaboras con INTECO, ¿cómo surgió todo esto?

Tuve la suerte de participar en el 5ENISE dentro de la mesa redonda organizada por INTECO-CERT “Bloggers de Seguridad 2011” junto a gente como José Selvi, Manolo Benet, Sergio De Los Santos y Yago Jesús.

Se portaron genial con nosotros (un saludo para Javier, Fran, Jorge, Ignacio, Pablo , Borja, etc) y cuando me llegó la oportunidad por parte de INTECO de escribir sobre temas que me interesan con total libertad, accedí encantado (tengo que escribir más Cristina, lo sé;).

7.       ¿Para cuándo volveréis a las trincheras desde hackeando.com?

Ya veo que el apartado “information gathering” lo tienes bien controlado xD. Ese es uno de esos proyectos a los que no quieres dar el portazo. Cuando tenga tiempo, quiero montar algún tinglado con unos cuantos colegas de la vieja y nueva guardia (estaría encantado de teneros por allí). No sé si en ese dominio o en otro que recientemente registré.

Pero sí, son tiempos de volver a las trincheras como dices, por muchos motivos. Estamos sufriendo una merma importante de nuestras libertades y derechos  civiles fundamentales de unos años a esta parte en La Red (y fuera de ella). Estoy muy cansado de cómo se trata a la comunidad Hacker no ya sólo desde medios “tradicionales”, sino otros que le deben mucho.

Profesionales o aficionados al Hacking (el conocimiento), nos vemos cada vez más en el punto de mira de absurdas leyes hechas por gente que debe vivir en los mundos de Yupi, queriendo poco menos que auditemos sistemas con un ping. ¿Cómo protegerlos sin saber explotarlos llegado el caso?

8.       ¿Qué opinas de Flu Project?

Es un soplo de aire fresco la verdad. Hay diversidad y regularidad en las publicaciones, con una buena mezcla entre herramientas propias, reseñas, material para comenzar o ir un paso más allá. Flu mola -;).

9.       ¿Qué esperas de las nuevas generaciones en el ámbito de la seguridad?

Que me sigan sorprendiendo y enseñando tanto como hasta ahora. Investigando y escribiendo en sus blogs . Sin olvidar la responsabilidad que conlleva para con la gran comunidad de usuarios, esos conocimientos que adquieren. Se está librando una verdadera batalla por la privacidad...

10.      La última pregunta se la realizamos habitualmente a todos nuestros entrevistados, ¿a quién te gustaría que entrevistásemos?

Me vienen un montón de nombres a la cabeza, pero por muchos motivos y conocimientos, con dosis de humildad que me debería aplicar más a menudo, mi amigo y compañero en Daboweb, Alfon, de Seguridad y Redes sería el elegido. (dicen que se alimenta sólo capturando trazas de Red -;).

Recuerdo que dije en Twitter “tu entrevista me resultó corta”, luego veo las 10 preguntas y ¿ves? “por hablar” xD. De verdad, gracias a ti, para mi ha sido como charlar con un colega en voz alta. Saludos a todos vuestros lectores y enhorabuena al equipazo que os estáis juntando en Flu Project.

Muchas gracias David por dejarte robar unos minutos entre log y log, y por lo gran persona que eres.

5 comentarios:

  1. Que Grande Dabo, que Grande!!!Excelente entrevista, muy interesante, gracias !!!

    ResponderEliminar
  2. Un honor para Flu Project disponer de Dabo para la entrevista.Gracias :)

    ResponderEliminar
  3. Muchas gracias a vosotros, un abrazo !!

    ResponderEliminar
  4. Genial David como siempre!!Un abrazo!!

    ResponderEliminar