9 dic 2013

Entrevista a Ricardo J. Rodríguez


Buenas a todos, en el post de hoy tenemos el placer de entrevistar a nuestro amigo Ricardo J. Rodríguez, un verdadero crack y al que muchos conoceréis, entre otras muchas cosas, por sus interesantes investigaciones y ponencias en congresos como No cON Name o RootedCon. ¡No os la perdáis!

¿Quién es Ricardo J. Rodríguez?

Pues un chico de barrio de toda la vida, de pueblo por familia política (ese Montalbán (Teruel) ahí!), con demasiados frentes abiertos y que nunca dice no a meterse en todo lo que le parece interesante. Amante de los animales, de la naturaleza, y buen amigo de sus amigos (aunque a veces no esté tanto en contacto con ellos como debería). Así, a grandes rasgos :). En el terreno más profesional, actualmente soy personal investigador de la Universidad Politécnica de Madrid (UPM), en el grupo BABEL, donde investigo en un proyecto de especificación de safety en sistemas basados en componentes.

¿Cómo es tu día a día?

Mi día a día depende muchas veces de las posibles fechas de entrega que estén cerca... Como decía antes, tengo varios frentes abiertos, con lo que intento centrarme en uno o dos (o tres, según el ánimo) cada semana, para ir avanzando, en función de las fechas de entrega que se tengan. Básicamente, labor de investigación: analizar un problema, y buscar las (posibles) soluciones. Luego está la fase de redacción de artículos para la presentación de la solución obtenida, etc, donde se consume más tiempo del deseado, e incluso se trabaja los fines de semana gracias a que ciertas conferencias ponen las fechas de entrega los domingos :(. Pero bueno, así es este trabajo, con algún rato de procrastrinación entre medio que dedico a ver el/los correo/s, responder correos atrasados o simplemente perder el tiempo en Internet.

¿A qué dedicas el tiempo libre?

Pues me gusta salir en bicicleta (carretera, más que de montaña desde hace unos años), de hecho me gusta mucho viajar con la bicicleta -- cicloturismo, mi última aventura duró sólo 2 días :'( y la puedes leer aquí http://deathhc.blogspot.com.es/search/label/cicloturismo  (toma spam, ja!). He recorrido Bélgica, Holanda, y partes de Portugal y España, por ahora. No descarto dentro de un tiempo cogerme medio año o un año entero sabático e irme con la bici a recorrer mundo. Aunque desde hace poco más de un año mi hobby es perderme por el monte con mis perras, simplemente pasear y disfrutar del entorno. Y últimamente estoy empezando a correr con una de mis perras, en una modalidad de deporte que se llama canicross. Como puedes ver, me dedico en mi tiempo libre a no tocar un ordenador en la medida de lo posible -- aunque eso no quita que compruebe el mail o Twitter desde las alturas, siempre que tenga cobertura :).

Ya eres doctor, ¡nuestra más sincera enhorabuena!. Los que estamos en proceso de conseguirlo sabemos lo que se sufre para "parir" una tesis :) ¿Puedes resumir a nuestros lectores los aspectos clave de tu tesis?

¡Muchas gracias! La verdad es que da mucha alegría (y tristeza a la vez) ver que un proyecto de largo plazo (4 años) ve finalmente su fin. Mi tesis está más orientada a la informática teórica que a la aplicada, y versa sobre tres grandes puntos: estimación de rendimiento, optimización de recursos y modelización de aspectos de seguridad en fase de diseño. Trabajo con un formalismo que se llama Redes de Petri (RdP), que permiten expresar gráficamente el comportamiento dinámico de un sistema y analizar ciertas propiedades de ellos. En realidad, se puede hacer el "símil" (espero que ningún cátedro me mate por esto :D) entre autómatas y RdP, mas que estas últimas incorporan la noción de tiempo y probabilidades. El modelo subyacente a una RdP es una Cadena de Markov, seguro que algún lector las conoce...


En resumen, las contribuciones de mi tesis se podrían concretar en: varias estrategias con algoritmos de programación lineal para mejorar el cálculo de prestaciones (rendimiento) en sistemas de alta complejidad; algoritmos para calcular números de recursos necesarios para mantener/conseguir un rendimiento dado en un sistema complejo con recursos compartidos; y un perfil de UML que permite expresar las propiedades de seguridad en los sistemas, para luego poder hacer evaluaciones cuantitativas de los sistemas directamente en fase de diseño, permitiendo evaluar así características de seguridad y relacionarlos con otras propiedades no funcionales del sistema (como fiabilidad, rendimiento, disponibilidad, etc.).


Que conste que he intentado resumir y ser breve, pero coño, que es una tesis :P.

¿Cómo te iniciaste en el mundo de la informática?

Buff... la verdad es que empecé tarde. Si no recuerdo mal, fueron mis abuelos junto con mis padres los que me regalaron un ordenador, acababa de salir el Intel con MMX (de hecho, era un Intel Pentium MMX 233MHz, lo tengo en el trastero pa cutio de recuerdo), me acuerdo porque echando la vista atrás sé que les hice tirar el dinero con características del procesador que no iba a usar, pero bueno... Mi madre me apuntó a unos cursos de informática donde aprendí a manejarme con el Windows 95, ofimática (con el MS Works) y empecé a programar en QBasic (esos GOTO que buenos xD). Me gustó la cosa, y ya empecé a buscar cosas raras, básicamente de hacking, me metía por BBS típicas, me bajaba tutoriales... hasta que me di cuenta que necesitaba Internet para probar la mayoría de las cosas que proponían, así que me dije 'menuda mierda, porque mis padres no me pagan Internet ni de coña'. Así que busqué una alternativa en este mundillo, y acabé en la página de Karpoff. De ahí, y por conversaciones de IRC, acabé en CracksLatinoS. Me di cuenta que necesitaba aprender ensamblador, así que me puse a ello. Un tocho de manual, SoftICE, y la replicación manual de un código fuente de un virus que corría por ahí hicieron el resto. Con 14 años me acuerdo que estaba explicándole en la piscina del polideportivo a un amigo de la escuela cómo había hecho el No-CD del Aliens vs. Predator, juego original que me acaba de prestar él :).

¿Que significa para tí la seguridad?

Esta es difícil. La seguridad para mi implica que algo es certero, fiable, está protegido frente a posibles acciones que atentan contra su buen funcionamiento y hace lo que tiene que hacer (y dice que hace), ni más ni menos. Me pasa como al lenguaje español, para mi "security" y "safety" no están tan diferenciadas como para tener términos diferentes :).

¿Qué recomendarías a los jóvenes que están comenzando en el mundo de la seguridad?

Que lean, que estudien, que pregunten, que prueben, que fallen y vuelvan a leer, a estudiar, a preguntar y a probar. Que se focalicen y hagan lo que más les guste, bien sea leerse un ensamblador como el que se lee a Juego de Tronos, bien inundar *su* red con peticiones ARP y observar las respuestas, o bien sea aprender ataques XSS. El mundo de la seguridad es enorme: también está el campo biomédico, el campo de los sistemas empotrados, seguridad perimetral, biométrica, etc... Sobre todo, que aprendan, y que aprovechen si conocen a alguien que sabe y lo expriman para sacarle todo su saber. Eso sí, para poder preguntar antes has de probar y haber fallado, haber pensado soluciones y haber fallado: la gente que pregunta sin haber hecho antes 'trabajo de materia gris' se encontrará con el merecido silencio como respuesta.

¿Un libro de seguridad?

Mmm soy más de leer capítulos que me interesen en concreto de un libro que de leerlo entero, ya que normalmente todos son bastante generalistas y sólo resultan realmente útiles partes muy concretas. De los últimos que he ojeado y merecen la pena, así en plan general si no se tiene mucho conocimiento y se quiere empezar en el tema de análisis malware, sería "Practical Malware Analysis" (M. Sikorski y A. Honig, NoStarch Press, 2012). 

¿Una herramienta de seguridad?

Déjame que te hable de PEBear (http://hshrzd.wordpress.com/pe-bear/), un visor de ejecutables PE gratuito que me gusta mucho y últimamente enseño cuando doy clases. Y te voy a recomendar otra, a mi parecer de lo mejorcito, Process Explorer (de Sysinternals, http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx). Siento focalizarme tanto, pero sólo hago cositas de seguridad cuando analizo bichos, y esto es lo que suelo usar ;).

La última pregunta se la realizamos habitualmente a todos nuestros entrevistados, ¿a quién te gustaría que entrevistásemos?

Buff... Demasiada presión para elegir entre tantos y tantos miembros OGT/CLS que se me vienen a la cabeza... Yo creo que podríais tantear a César Lorenzana o a Javier Rodríguez, ambos del GDT party :D, seguro que tienen cosas muy interesantes que contarnos desde el lado de los chicos 'buenos' :). Creo que pueden dar y aportar un enfoque diferente, que seguro que le da más valor a la entrevista.

Muchas gracias, ¡un abrazo!

Otro abrazo fuerte, nos vemos el martes! ;)

No hay comentarios:

Publicar un comentario