Hoy tengo el placer de poder entrevistar a una persona ya cercana a mí, y a todo lo que envuelve a Flu Project. Hoy tengo el placer de poder entrevistar a Roberto de HighSec, @leurian. Hace ya casi un año, Roberto venía al FTSAI que se impartía en Informática 64 para formarse en temática de seguridad, y allí fue dónde pude conocer a una persona que quería saberlo todo, que quería saber el porqué de las cosas, como llevar a cabo auditorías de seguridad, cómo funciona ese negocio, conocer las técnicas... La verdad tengo que decir que me deslumbró por su inquietud y por su forma de querer saber, para él desde luego el saber no ocupa lugar. Sigue así amigo.
Sin más dilación os dejo con Roberto, el protagonista de hoy en Flu Project.
Sin más dilación os dejo con Roberto, el protagonista de hoy en Flu Project.
1. ¿Quién es Roberto y qué es highsec?
Estudiante de último curso de Ingeniería Informática en la
Universidad Autonoma de Madrid.
HighSec es un proyecto de seguridad que he creado con mi amigo
Eduardo Arriols hace menos de un año. La base del proyecto es un
servidor vulnerable que vamos cambiando periódicamente. Lo tenemos con
una IP pública para dar la oportunidad de aprender a gente que se está
iniciando en la seguridad. Alrededor del proyecto hay un blog, un foro,
un canal IRC y una pequeña biblioteca de documentos propios. Organizamos
HighSecCON, unas conferencias de seguridad gratuitas. Además de ser
Eduardo y yo, contamos en el equipo de HighSec con María Jose Montes
Díaz, Umberto Schiavo y Adrian Losada. La idea es crear un punto de
encuentro de gente interesada en aprender seguridad.
2. ¿Qué te ha motivado a entrar en el mundo de la seguridad?
Tuve mi primer ordenador hace 15 años aproximadamente y poco
después tuve internet. Me encantaba trastear con todas las opciones y
pestañas que tenían los programas y el ordenador. Y así poco a poco me
fui enganchando al ordenador hasta que navegando por internet di con
paginas de hacking y me fascinó ese mundo de virus y troyanos. Después
de infectarme el ordenador con todos los virus posibles, lo único que
acabé haciendo funcionar fue un troyano. Poco después empecé a tener
otros intereses y dejé el tema. Ya en la universidad conocí a mi amigo
Eduardo, y fue el quien me volvió a picar el gusanillo de la seguridad.
Ahora me gusta porque me parece la parte más divertida de la
informática. Siempre tienes que estar aprendiendo, y cuando más aprendes
más cuenta te das cuenta de lo poco que sabes.
3. ¿Qué opinas del mundo de la seguridad y la gente que está dentro de
él?
Me parece que hay una gran unión entre los profesionales que se
dedican a él por trabajo o por hobby, y veo un gran apoyo entre todos.
Me fascina la gran cantidad de gente que aporta todo su conocimiento,
gracias al cual todos podemos aprender, cosa que no ocurre con tanta
facilidad en otros sectores.
4. ¿Qué trabajo te gustaría desarrollar próximamente?
Siempre me han gustado las películas de robos donde un equipo
multidisciplinar tiene el robo como objetivo. Me parece muy interesante
y necesaria esa forma de medir la seguridad de una empresa. Es decir,
que no se quede solo en el estudio de la seguridad de los sistemas
informáticos, si no que se compruebe la seguridad a todos los niveles.
Sería divertido ser el informático del grupo. Pero siendo más realistas,
con poder trabajar en cualquier campo de la seguridad estaría contento.
5. Con todo lo que has vivido hasta ahora, ¿Qué momentos han sido
interesantes/importantes para ti?
Pues tengo ya ganas de terminar la carrera y poder así dedicarle
más tiempo a la seguridad, así que creo que ese será mi momento más
importante =). Pero hasta entonces me quedo con el momento en el que se
nos ocurrió crear el proyecto HighSec, ya que me ha permitido conocer a
una gran cantidad de gente en el mundo de la seguridad. También es muy
gratificante que el tiempo libre que dedicas a algo que te gusta luego
le pueda servir a alguien.
6. Cambiando de tema, ¿Qué opinas de la privacidad en Internet?
Creo que hay gente que ha perdido la noción de la privacidad con el
nacimiento de las redes sociales a través de las cuales narran su vida
privada. Se han hecho varios experimentos en donde un extraño deslumbra
a alguien haciéndole saber que conoce toda su vida y este reacciona
asustándose. Te das cuenta de que hay gente que no es consciente del uso
que le dan a las redes sociales. Pienso que todavía queda mucha labor de
concienciación para un uso responsable de las nuevas tecnologías, para
que sea el propio usuario quien proteja su privacidad.
7. ¿Crees que en Internet es posible tener privacidad? ¿Qué opinas del
caso de la NSA?
Pienso que la privacidad y la seguridad van a tardar mucho tiempo
en llevarse bien. Ahora mismo tienen una relación inversamente
proporcional, es decir, que cuanto más seguridad menos privacidad, y
cuanta más privacidad menos seguridad. Hay que tratar de encontrar la
balanza entre uno y otro. Creo que sí que es posible tener privacidad en
internet, pero que no está al alcance de un usuario medio, si no que es
para usuarios con conocimientos técnicos y aun así nunca tendrás total
privacidad.
Con respecto al caso de la NSA no me sorprende porque los gobiernos
siempre han espiado. Lo que realmente me ha llamado la atención es la
gran facilidad que tienen para hacerlo y la gran cantidad de información
que son capaces de procesar.
8. ¿Crees que el modelo de educación universitario en Informática piensa
en la seguridad y la formación de los alumnos en ese mundo?
Pues desgraciadamente no se piensa en la seguridad. Son
mayoritariamente las empresas privadas las que ofrecen formación en
seguridad. Se están añadiendo asignaturas optativas de seguridad en
algunas universidades, incluso como asignaturas obligatorias. Pero
personalmente, no pienso que tener una breve noción de la seguridad en
general sea suficiente. Para mí la solución sería añadir el concepto de
seguridad en todas las ramas de la informática. Es decir, que el último
tema de cada asignatura, o bloque de asignaturas de la misma temática,
hablase sobre la seguridad en esa área. Es decir, en la asignatura de
Redes por ejemplo, que te expliquen las inseguridades de los protocolos
de comunicación. O cuando te enseñan a programar, que te enseñen que es
la programación segura.
Tengo la suerte de tener en mi universidad el Instituto de Ciencias
Forenses y de la Seguridad en donde Álvaro Ortigosa, profesor de la
universidad, lleva el departamento de ciberseguridad y ciberinteligencia
y nos apoya en todas las iniciativas que llevamos a cabo, desde el
servidor que ponemos a disposición de la gente, hasta las jornadas de
seguridad que organizamos. Con todas estas cosas que hacemos lo que
pretendemos es acercar el mundo de la seguridad a nuestros compañeros de
la facultad, ya que cuando nació HighSec estaba dirigido a los
estudiantes, pero al final ha acabado teniendo más éxito fuera que
dentro.
9. ¿Para cuando una nueva invitación a una Highsec CON?
La idea que tenemos es que la gente se ofrezca para dar las
charlas, ya que es un evento gratuito y necesitamos contar con el apoyo
de ponentes que quieran venir a exponer su conocimiento. Ya que si no
fuese por ellos este evento no sería posible. Así que quien quiera venir
está invitado! Y muchas gracias a todos los que estáis haciendo posibles
las jornadas, en un par de meses iremos a por la tercera edición.
10. La última pregunta y ya clásica, ¿Qué opinas de Flu Project?
Con el tiempo te das cuenta de que si no hubiese gente tan generosa
con su tiempo y sus conocimientos, muchos de nosotros no habríamos
podido aprender lo que sabemos de una forma completamente gratuita, así
que seguir así ;). Y por Flu-AD me gustaría daros la enhorabuena por
aportar este gran grano de arena por hacer un mundo mejor.