Buenas a todos, en el post de hoy tenemos el placer de entrevistar a nuestro amigo Ricardo J. Rodríguez, un verdadero crack y al que muchos conoceréis, entre otras muchas cosas, por sus interesantes investigaciones y ponencias en congresos como No cON Name o RootedCon. ¡No os la perdáis!
¿Quién es Ricardo J. Rodríguez?
Pues un chico de
barrio de toda la vida, de pueblo por familia política (ese Montalbán
(Teruel) ahí!), con demasiados frentes abiertos y que nunca dice no a
meterse en todo lo que le parece interesante. Amante de los animales, de
la naturaleza, y buen amigo de sus amigos (aunque a veces no esté tanto
en contacto con ellos como debería). Así, a grandes rasgos :). En el
terreno más profesional, actualmente soy personal investigador de la
Universidad Politécnica de Madrid (UPM), en el grupo BABEL, donde
investigo en un proyecto de especificación de safety en sistemas basados
en componentes.
¿Cómo es tu día a día?
Mi día a día depende
muchas veces de las posibles fechas de entrega que estén cerca... Como
decía antes, tengo varios frentes abiertos, con lo que intento centrarme
en uno o dos (o tres, según el ánimo) cada semana, para ir avanzando,
en función de las fechas de entrega que se tengan. Básicamente, labor de
investigación: analizar un problema, y buscar las (posibles)
soluciones. Luego está la fase de redacción de artículos para la
presentación de la solución obtenida, etc, donde se consume más tiempo
del deseado, e incluso se trabaja los fines de semana gracias a que
ciertas conferencias ponen las fechas de entrega los domingos :(. Pero
bueno, así es este trabajo, con algún rato de procrastrinación entre
medio que dedico a ver el/los correo/s, responder correos atrasados o
simplemente perder el tiempo en Internet.
¿A qué dedicas el tiempo libre?
Pues me gusta salir en bicicleta (carretera, más que de
montaña desde hace unos años), de hecho me gusta mucho viajar con la
bicicleta -- cicloturismo, mi última aventura duró sólo 2 días :'( y la
puedes leer aquí http://deathhc.blogspot.com. es/search/label/cicloturismo
(toma spam, ja!). He recorrido Bélgica, Holanda, y partes de Portugal y
España, por ahora. No descarto dentro de un tiempo cogerme medio año o
un año entero sabático e irme con la bici a recorrer mundo. Aunque desde
hace poco más de un año mi hobby es perderme por el monte con mis
perras, simplemente pasear y disfrutar del entorno. Y últimamente estoy
empezando a correr con una de mis perras, en una modalidad de deporte
que se llama canicross. Como puedes ver, me dedico en mi tiempo libre a
no tocar un ordenador en la medida de lo posible -- aunque eso no quita
que compruebe el mail o Twitter desde las alturas, siempre que tenga
cobertura :).
Ya eres doctor, ¡nuestra más sincera enhorabuena!. Los que estamos en proceso de conseguirlo sabemos lo que se sufre para "parir" una tesis :) ¿Puedes resumir a nuestros lectores los aspectos clave de tu tesis?
¡Muchas gracias! La
verdad es que da mucha alegría (y tristeza a la vez) ver que un proyecto
de largo plazo (4 años) ve finalmente su fin. Mi tesis está más
orientada a la informática teórica que a la aplicada, y versa sobre tres
grandes puntos: estimación de rendimiento, optimización de recursos y
modelización de aspectos de seguridad en fase de diseño. Trabajo con un
formalismo que se llama Redes de Petri (RdP), que permiten expresar
gráficamente el comportamiento dinámico de un sistema y analizar ciertas
propiedades de ellos. En realidad, se puede hacer el "símil" (espero
que ningún cátedro me mate por esto :D) entre autómatas y RdP, mas que
estas últimas incorporan la noción de tiempo y probabilidades. El modelo
subyacente a una RdP es una Cadena de Markov, seguro que algún lector
las conoce...
En resumen, las contribuciones de mi tesis se
podrían concretar en: varias estrategias con algoritmos de programación
lineal para mejorar el cálculo de prestaciones (rendimiento) en sistemas
de alta complejidad; algoritmos para calcular números de recursos
necesarios para mantener/conseguir un rendimiento dado en un sistema
complejo con recursos compartidos; y un perfil de UML que permite
expresar las propiedades de seguridad en los sistemas, para luego poder
hacer evaluaciones cuantitativas de los sistemas directamente en fase de
diseño, permitiendo evaluar así características de seguridad y
relacionarlos con otras propiedades no funcionales del sistema (como
fiabilidad, rendimiento, disponibilidad, etc.).
Que conste que he intentado resumir y ser breve, pero coño, que es una tesis :P.
¿Cómo te iniciaste en el mundo de la informática?
Buff...
la verdad es que empecé tarde. Si no recuerdo mal, fueron mis abuelos
junto con mis padres los que me regalaron un ordenador, acababa de salir
el Intel con MMX (de hecho, era un Intel Pentium MMX 233MHz, lo tengo
en el trastero pa cutio de recuerdo), me acuerdo porque echando la vista
atrás sé que les hice tirar el dinero con características del
procesador que no iba a usar, pero bueno... Mi madre me apuntó a unos
cursos de informática donde aprendí a manejarme con el Windows 95,
ofimática (con el MS Works) y empecé a programar en QBasic (esos GOTO
que buenos xD). Me gustó la cosa, y ya empecé a buscar cosas raras,
básicamente de hacking, me metía por BBS típicas, me bajaba
tutoriales... hasta que me di cuenta que necesitaba Internet para probar
la mayoría de las cosas que proponían, así que me dije 'menuda mierda,
porque mis padres no me pagan Internet ni de coña'. Así que busqué una
alternativa en este mundillo, y acabé en la página de Karpoff. De ahí, y
por conversaciones de IRC, acabé en CracksLatinoS. Me di cuenta que
necesitaba aprender ensamblador, así que me puse a ello. Un tocho de
manual, SoftICE, y la replicación manual de un código fuente de un virus
que corría por ahí hicieron el resto. Con 14 años me acuerdo que estaba
explicándole en la piscina del polideportivo a un amigo de la escuela
cómo había hecho el No-CD del Aliens vs. Predator, juego original que me
acaba de prestar él :).
¿Que significa para tí la seguridad?
Esta
es difícil. La seguridad para mi implica que algo es certero, fiable,
está protegido frente a posibles acciones que atentan contra su buen
funcionamiento y hace lo que tiene que hacer (y dice que hace), ni más
ni menos. Me pasa como al lenguaje español, para mi "security" y
"safety" no están tan diferenciadas como para tener términos diferentes
:).
¿Qué recomendarías a los jóvenes que están comenzando en el mundo de la seguridad?
Que
lean, que estudien, que pregunten, que prueben, que fallen y vuelvan a
leer, a estudiar, a preguntar y a probar. Que se focalicen y hagan lo
que más les guste, bien sea leerse un ensamblador como el que se lee a
Juego de Tronos, bien inundar *su* red con peticiones ARP y observar las
respuestas, o bien sea aprender ataques XSS. El mundo de la seguridad
es enorme: también está el campo biomédico, el campo de los sistemas
empotrados, seguridad perimetral, biométrica, etc... Sobre todo, que
aprendan, y que aprovechen si conocen a alguien que sabe y lo expriman
para sacarle todo su saber. Eso sí, para poder preguntar antes has de
probar y haber fallado, haber pensado soluciones y haber fallado: la
gente que pregunta sin haber hecho antes 'trabajo de materia gris' se
encontrará con el merecido silencio como respuesta.
¿Un libro de seguridad?
Mmm soy más de leer
capítulos que me interesen en concreto de un libro que de leerlo entero,
ya que normalmente todos son bastante generalistas y sólo resultan
realmente útiles partes muy concretas. De los últimos que he ojeado y
merecen la pena, así en plan general si no se tiene mucho conocimiento y
se quiere empezar en el tema de análisis malware, sería "Practical
Malware Analysis" (M. Sikorski y A. Honig, NoStarch Press, 2012).
¿Una herramienta de seguridad?
Déjame que te hable de PEBear (http://hshrzd.wordpress.com/ pe-bear/),
un visor de ejecutables PE gratuito que me gusta mucho y últimamente
enseño cuando doy clases. Y te voy a recomendar otra, a mi parecer de lo
mejorcito, Process Explorer (de Sysinternals, http://technet. microsoft.com/en-us/ sysinternals/bb896653.aspx). Siento focalizarme tanto, pero sólo hago cositas de seguridad cuando analizo bichos, y esto es lo que suelo usar ;).
La última pregunta se la realizamos habitualmente a todos nuestros entrevistados, ¿a quién te gustaría que entrevistásemos?
Buff...
Demasiada presión para elegir entre tantos y tantos miembros OGT/CLS
que se me vienen a la cabeza... Yo creo que podríais tantear a César
Lorenzana o a Javier Rodríguez, ambos del GDT party :D, seguro que
tienen cosas muy interesantes que contarnos desde el lado de los chicos
'buenos' :). Creo que pueden dar y aportar un enfoque diferente, que
seguro que le da más valor a la entrevista.
Muchas gracias, ¡un abrazo!
Otro abrazo fuerte, nos vemos el martes! ;)
No hay comentarios:
Publicar un comentario