UN INFORMÁTICO EN EL LADO DEL MAL

Entrevista a Chema Alonso

De los hackers, o expertos en seguridad informática más famosos de España, y porque no decirlo del mundo. Encargado de proteger los datos de ataques tecnológicos. Nos cuenta que peligros podemos sacar de este mundo misterioso que es Internet.

1.- El apodo por el que usted es conocido es el de hacker bueno eso es una muestra de lo malinterpretada que está la palabra hacker. ¿Cómo definiría su Trabajo?

Justo es así. En la radio me llaman Hacker Bueno para evitar que la gente confunda Hacker con Ciberdelincuente. Mi trabajo es buscar fallos de seguridad en los sistemas informáticos, no cometer delitos. Nosotros diferenciamos entre hackers, hacktivistas y ciberdelincuentes. Aquí tienes
unos ejemplos de lo mal que utilizan los medios de comunicación el término hacker.

http://www.elladodelmal.com/2013/09/hackers-hacktivistas-ciber-criminales.h
tml

En el mundo de los servicios profesionales, se conocen como Hacking Ético a los proyectos en los que se contratan expertos en técnicas hacking para intentar vulnerar la seguridad de los sistemas de una empresa con el objetivo de solucionarlos. Estas auditorías de seguridad son el tipo de servicios que hacen muchos hackers, pero hay otros que se dedican a hacer investigación y generar nuevos productos y servicios.

-> De todas formas, en mi blog personal. Un informático en el lado del mal - http://www.elladodelmal.com - firmo como El Maligno, algo que a la gente lleva a engaño haciendo creer que soy un tio malo y voy a hacer maldades para ellos. Yo creo que es por eso por lo que recibo tantas
peticiones de hackeame a mi novia.
http://www.elladodelmal.com/2012/07/buscas-criminales-no-hackers.html

2.- ¿Cómo se convierte uno en uno de los mayores expertos del mundo en seguridad informática?

-> Pues creo que con mucha pasión y mucho trabajo. Todos los grandes hackers que conozco son además de pasionales e inteligentes, duros trabajadores que no escatiman esfuerzos en la investigación. No les importa fallar y siempre están pensando y si para probar un nuevo
camino. Mucha gente me pregunta cómo ser hacker o cómo ser bueno en seguridad informática, y yo siempre les contesto que no hay truco, solo pasión y mucho trabajo.

3.- Ahora vivimos en la época tecnológica dónde es necesario las redes sociales y apps de comunicación para subsistir socialmente, lo que nos podría suponer la pérdida de la privacidad de nuestros datos personales. Para evitar estos peligros díganos cinco consejos básicos de seguridad informática.

-> El primer consejo que le daría a alguien es que no es necesario hacer una exposición impúdica de tu vida en Internet para ser un ser social. Yo procuro tener cuidado con lo que publico. En segundo lugar le diría a la gente que cuide su smartphone como si fuera su equipo de sobremesa, poniendo las medidas de seguridad que pondría en su equipo. En tercer lugar que proteja sus identidades digitales en Internet poniendo contraseñas robustas y sistemas de verificación en dos pasos - como un SMS, Google Authenticator o nuestro Latch https://latch.elevenpaths.com -, en cuarto lugar que esfuerce en configurar de forma correcta la red WiFi de su casa para evitar visitas inesperadas y no se conecte a redes
externas sin usar una VPN y en último lugar que actualice siempre el software.


4.- En la explicación que hizo en uno de sus programas de Salvados demostró lo vulnerables que podemos llegar a ser en red. ¿Considera que lasmultinacionales del sector no ponen el suficiente interés en la seguridad de la información personal de sus usuarios?

-> Creo que Internet y las tecnologías tiene fallos de seguridad porque no es la prioridad cuando los usuarios adoptan una tecnología. Cuando la gente comenzó a instalar WhatsApp fue porque se podían enviar mensajes
gratis por Internet, no porque fuera o no seguro. Al final, la seguridad no mueve el negocio cuando hablamos de servicios para la gran mayoría de usuarios, así que no es su prioridad. Como anécdota, cuando grabé el programa de Salvados le pedí el teléfono a Jordi y lo tenía sin passcode y no se veía muy preocupado por ello.

5.- ¿En qué red social de las más conocidas estamos más desprotegidos? ¿Y entre
los sistemas operativos?

No apuntaría a ninguna red social ni a ningún sistema operativo. Hoy en día la web es la zona más peligrosa para estar, y el malware se hace multi-plataforma tanto en sistemas operativos como en navegadores de
Internet. Creo que hay que preocuparse en todos ellos, aunque es verdad que hay diferencias en cómo se pueden atacar. En el caso de los terminales móviles, esto es aún más claro. Sea como fuere, tengas el sistema que
tengas, preocúpate por aprender porque en Internet hay lobos y corderos, y si no eres lobos te tocará ser cordero.



Fuente.

EL HACKER, CHEMA ALONSO.

Chema Alonso es Ingeniero Informático por la URJC, postgraduado en Sistemas de Información y actualmente trabaja en su doctorado en seguridad web. A demás trabaja como consultor de Seguridad en Informática64 desde hace 10 años. Ha sido premiado como Most Valuable Professional en Seguridad por Microsoft durante 6 años. Es ponente habitual en conferencias de seguridad de renombre internacional como BlackHat, Defcon, ShmooCon, TorCon, etc… donde ha dado más de 20 conferencias. Ha sido invitado por Yahoo! para las jornadas d

e Seguridad en San Francisco. Ha publicado más de 50 artículos en congresos académicos y revistas técnicas, siempre sobre seguridad informática y es coautor de 3 libros dedicados a Seguridad Informática. En España ha participado en los más importantes foros de seguridad y escribe habitualmente en su blog, titulado "Un Informático en el Lado del Mal".

Underc0de tuvo el agrado de entrevistar a este curioso personaje. A continuación les dejamos la entrevista tal y como nuestro querido 79137913 (numeritos para los amigos) la realizó. Que la disfruten!

Entrevista:

1.- Cuando empezaste con esto, ¿Pensaste que podías llegar a donde estás ahora?

La verdad es que en un principio solo me planteé tratar de mejorar cada día un poco más. Cada cual tiene la posibilidad de hacer muchas cosas con su vida, en mi caso espero lo mismo, poder hacer cada vez más y mejores cosas; por tanto, considerando la cantidad de objetivos que aún tengo por delante, no considero que haya llegado tan lejos.

2.- Vos siempre fuiste autodidacta. ¿Te parece bien que para empezar la gente realice cursos?

Si bien he estudiado en la Universidad, mi formación la completé de forma autodidacta. Aprender a aprender es lo mejor. Así que yo recomiendo a todo el mundo que vaya a la Universidad, preste atención a todo lo que le cuentan allí, pero también a todo lo que cuenten compañeros, profesionales, y amigos. Tener un buen grupo de colegas es fundamental para seguir creciendo.

3.- ¿En algun momento fuiste o te planteaste ser BlackHat?

No, nunaca

4.- ¿Qué es para vos el Hacking Etico?

Creo que el hacking es una forma de vida, y los que adoramos esto no tenemos en mente hacer daño a nadie. Adoro jugar con la tecnología y descubrir cosas nuevas. Me encanta.

5.-¿Creés que sin Ingenieria Social se puede llegar a hacer algo?

Hay muchas disciplinas en el mundo del hacking. Yo no soy muy bueno en Ingeniería Social, pero me encanta leer historias de los que son buenos con ella.

6.- ¿Cuál es tu lenguaje de programacion favorito? ¿Por que?

C y derivados. Me gusta que mis productos se desarrollen en .NET porque me parece que usar Visual Studio agrega varios enteros de productividad y calidad en los proyectos. Pero internamente hacemos cosas en muchos lenguajes, como Java, Objective-C, C++, etc…

7.- ¿Que es lo que mas te cuesta hacer y que es lo que se te hace mas fácil?

Me cuesta hacer las cosas de gestión empresarial. No me gusta la parte menos técnica. Me encanta ver cómo una idea pasa de un germen a una PoC y a un producto. No me gusta la gente que empieza cosas y no las termina.

8.- ¿Ves a android como una plataforma estable y robusta? ¿Qué plataforma movil recomendarias para un usuario avanzado?

A mí Android me da un poco de miedo por la manera en que funcionan los permisos, la falta de actualizaciones para muchos terminales, lo fácil que es rootearlo, etc… Pero entiendo que es más juguetón para los que se quieran enredar. Yo me propuse aprender iOS y a día de hoy es lo que más conozco y lo que mejor manejo.

9.- ¿Recomendarias al usuario promedio a usar Windows o una Distro Linux? ¿Por que?

Windows me parece un sistema fantástico para el usuario. Me gusta mucho como solución y como herramienta de productividad es un camión en el día a día de trabajo. Oigo a mucho looser hablar mal de Windows sin saber cómo funciona el Active Directory, las GPOs, la integración de Kerberos con ellas, o cómo IPSec funciona con GPOS y Kerberos. Normalmente es gente que solo sabe criticar sin opinión. Yo uso Windows, Mac OS X y Linux cuando toca. Esto no es una religión. A todos los que hablan mal de Windows les recomiendo el libro de Máxima Seguridad en Windows.

 

10.- ¿Cuál fue tu mejor logro en el ambito de la seguridad informatica? ¿Y en tu vida personal?

Me siento muy orgulloso en el ambito de la seguridad de todos los proyectos en que he gastado mi vida profesional como FOCA, (Blind) LDAP Injection, la Evil FOCA, MetaShield, las técnicas de Time-Based Blind SQL Injection y Arithmetic Blind SQL Injection, los ataques de Connection String Parameter Pollution, Dust RSS, mi doctorado, El lado del mal, la creación de 0xWord.com, RecoverMessages.com y todas sus tools, Eleven Paths, Faast y cómo no Latch. En mi vida personal mi mayor logro es conseguir que aun muchos de mis vecinos no sepan nada de mí.

11.- ¿Tenes algun Proyecto en marcha , o ayudas en alguno?

¿Os parecen pocos los de Eleven Paths? Pues habrá más. Y también más libros en 0xWord, más papers nuevos en los que estoy trabajando y más tools en RecoverMessages.com. El día que me muera dejaré de hacer cosas.

12.- ¿Donde darás tus proximas Charlas?

Depende del día. Hago muchas y casi no llego ni al 10% de las que me piden, pero de verdad es que no me da la vida para más.

13.- ¿Qué piensas acerca de Underc0de, su foro y su gente?

Cualquier iniciativa que cree comunidad alrededor de la seguridad informática y el hacking me parece digna de ser apoyada para conseguir avanzar un poco más en esta profesión que tanto amamos.

14.- ¿Qué le podrias decir a los jovenes que están aventurándose en el mundo de la seguridad informatica?

Que estudien, que estudien, que estudien y que estudien. No hay más secreto que el trabajo, nadie nace sabiendo.

15.- Si un joven te preguntara por dónde empezar, ¿qué le responderias?

Por elegir lo que le guste, porque va a tener que dedicar muchas horas a esa disciplina si quiere ser bueno de verdad.


Fuente. UNDERCODE

Chema Alonso: “VIVO PENSANDO QUE YO VOY A SER EL SIGUIENTE EN SER HACKEADO”

Chema Alonso es un experto de seguridad informática reconocido en todo el mundo. Este reconocimiento ha traspasado las barraras del mundillo de la Informática gracias a las múltiples conferencias que a todos los niveles imparte sobre seguridad, y posiblemente a un gorro a rayas que nunca le abandona. 

Hace 14 años fundó Informática 64, la semilla de ElevenPaths, con el objetivo de prestar servicios de consultoría y auditoría de seguridad. En Informática 64 se crearon muchas herramientas reconocidas en el mundo de la seguridad, como FOCA o Metashield, que son usadas por profesionales por todo el mundo.

Chema escribe diariamente en el blog “Un informático en el lado del mal”, comentando temas de actualidad sobre hacking y seguridad. Desde 2010 es el Director del Master de Seguridad de la Universidad Europea de Madrid (UEM), y profesor del Master de Seguridad de la Universidad Oberta de Catalunya (UOC). En su labor de concienciación, además de presentar su experiencia por todo el mundo, participa también de forma habitual en la radio, televisión y periódicos, aconsejando y comentando aspectos relacionados con la seguridad en la tecnología.

Ayudé a hacer un poco más ajetreada su ya ajetreada vida solicitándole esta entrevista que no dudó en concederme (Go ahead!). 

1. Para unos un gurú de la seguridad informática para otros, permíteme, un desconocido. ¿Quién es Chema Alonso?

Pues nada más que un informático que disfruta con la seguridad informática y ha volcado su vida en el hacking. Soy una persona muy activa que disfruta escribiendo en mi blog, escribiendo libros, participando en la radio, cuidando de Cálico Electrónico, dando conferencias de hacking y dando clases a los más jóvenes.

2. Da la sensación de que te pases las 24 horas del día tras una pantalla de ordenador. ¿Qué sueles hacer cuando apagas el ordenador? ¿Cuáles son tus aficiones?

Es cierto que me paso casi 24 horas pegado a la pantalla. De hecho suelo decir que para dedicarse a seguridad informática hay que dedicarle 26 horas al día. Cuando no estoy detrás de la pantalla me gusta dibujar, leer y ver alguna película. Por suerte – o por desgracia – mi hobby es mi trabajo y eso hace que casi no haya diferencia entre cuando estoy trabajando o cuando estoy disfrutando.

3. Me preocupa la seguridad de empresas y organismos oficiales. ¿Podemos estar tranquilos?

En seguridad informática no se puede bajar la guardia. Creo que lo bueno es que se está empezando a tomar conciencia de esta necesidad, pero por desgracia – personalmente – creo que aún nos queda mucho camino por recorrer. Hemos visto que el mundo ha cambiado en los últimos años hacia un escenario mucho más beligerante en términos de ciberespionaje, ciberguerra o e-crime, y por lo tanto las medidas de seguridad que proporcionaba un gobierno a sus ciudadanos hace 30 años se han visto superadas. Hay que evolucionar los sistemas de seguridad al mismo tiempo que cambia el espacio de amenazas.

4. Todos somos iguales ante la ley incluidos vosotros los hackers éticos. ¿Qué haces si por ejemplo descubres una brecha de seguridad en la web de Hacienda? Dará cosilla informar, ¿no? ¿Dificultan las leyes cada vez más restrictivas vuestro trabajo?

Yo dije tiempo ha que las webs deberían tener un fichero hackers.txt al estilo de robots.txt que informara sobre cuál va a ser la reacción de una empresa cuando alguien le reporte una vulnerabilidad para saber si va a haber problemas o no. Hace tiempo conté la historia en mi blog de The Sur, un hacker y amigo que con el objetivo de conseguir una beca de prácticas en una empresa le hizo una pequeña auditoría de seguridad y le reportó una vulnerabilidad de seguridad. Al final acabó denunciado y detenido.

Por suerte, hoy en día, existen canales para comunicar los descubrimientos vía fuerzas de seguridad del estado que garantizan el anonimato del informante. No obstante, si cuando se reporta una vulnerabilidad de seguridad se toman acciones legales en contra del que lo ha hecho, al final los fallos seguirán ahí y quien los acabará por descubrir serán los “malos”. Mejor tratar bien al que te dice que tienes un fallo.

5. Ya tengo mi webcam tapada, mi antivirus instalado, mi contraseña tiene 26 caracteres… y ahora me entero del error de seguridad de OpenSSL (heartbleed) que ha permitido desvelar información sensible y descifrarla. Lo más seguro es no usar Internet, ¿no crees?

No creo. Internet es un regalo para nuestra sociedad que debemos disfrutar y cuidar. Es como decir que no usas tarjetas de crédito porque hay quién las clona o que no cruzas la calle por los pasos de peatones porque hay series de coches con frenos defectuosos. Lo que debemos hacer es tomar precauciones porque sabemos que hay fallos de seguridad que existen y existirán, así que al igual que procuras tener cuidado con lo que se hace con tu tarjeta de crédito, usas tarjetas Chip&PIN o miras a ver si el coche decelera cuando vas a pasar por un paso de peatones, en Internet debes tomar medidas constantemente. En este caso cambiar la contraseña y si puedes, en lugar de usar contraseñas de 26 dígitos poner un segundo factor de autenticación como Latch. Al final, un PIN de 4 números más un segundo factor de autenticación como Latch es más seguro que una única contraseña de 26 dígitos.

6. Windows XP dejó de recibir actualizaciones por parte de Microsoft el pasado 8 de abril, noticia que ha creado un gran revuelo mediático. ¿Te parece más una estrategia de marketing de Microsoft y sus partners o un problema real de seguridad para los usuarios de este sistema operativo?

Me parece un problema real de seguridad. No se puede seguir con un sistema que tiene más de una década. Al final Microsoft dijo que iba a dar soporte muchos menos años, y ha extendido el soporte hasta ahora. Incluso después del 8 de Abril ha publicado un parche de seguridad para un serio bug de Internet Explorer y ha consentido en extender un año el soporte del sistema para organismos públicos y grandes empresas bajo contratos especiales de soporte. Las amenazas cambian y necesitamos mejores medidas de seguridad. En el mundo Apple, mientras que Microsoft ha dado soporte a Windows XP, la compañía de la manzana mordida ha abandonado 5 o 6 sistemas operativos. La longevidad de XP, para ser un sistema operativo de propósito general ha sido excesivamente excesiva.

7. Cuando te invitan a prestigiosos eventos de seguridad informática por todo el mundo. ¿No tiene la sensación de que algunos de los presentes estarán en el “lado oscuro de la fuerza”? ¿Saca uno el teléfono y felizmente mira su WhatsApp o el correo electrónico delante de otros hackers? ¿De qué se habla en el “coffee break”?

En esos eventos internacionales hay de todo. Ciber espías, fabricantes de software, cuerpos de seguridad del estado, algunos ciber criminales, investigadores de seguridad, hackers y hacktivistas. De todo he visto en los últimos 8 años que he pasado dando vueltas por el mundo de conferencia en conferencia. En todos esos eventos, como he dicho más de una vez, todos van con papel y lápiz que usar el smartphone o el ordenador en esos eventos es peligroso. En la DefCON hay ataques de todo tipo esperando a pillar a las víctimas. Desde Rogue AP, pasando por Rogue BTS, ataques a las redes oficiales, hacking de todas las redes WiFi de los hoteles que son atacadas, ataques bluetooth, ataques de Evil Grade o de JuiceJacking, etcétera. Mejor relájate y disfruta viendo las charlas y tomando cervezas con el primero que te encuentres en el bar, que seguro que tiene historias interesantes que contar. ¿De lo que se habla? De todo y de nada que te pueda contar por aquí, casi todas son charlas privadas.

8. Siendo informático como tú a ratos tengo la sensación de ser menos vulnerable a ataques y robos que el resto de los usuarios. Pero en otros momentos rozo la paranoia. ¿Cómo llevas tu protección a nivel personal/profesional? Debe ser más chulo entrarle en el ordenador a Chema Alonso que a la vecina del quinto.

Llevas toda la razón. Vivo pensando que yo voy a ser el siguiente en ser hackeado. Al final, cuando estás en el campo de batalla te llueven las balas así que mejor haz lo que puedas para esquivarlas. Yo procuro tomar todas las medidas de seguridad que me son posibles e intentar evitar la paranoia….

9. Siendo tan fácil contactar contigo recibirás peticiones de lo más variopinto. ¿Me cuentas alguna anécdota curiosa? ¿No entran ganas a veces de convertirse en una especie de Robin Hood e incluso saltarse las normas para defender a pobres y oprimidos?

He recibido peticiones de todo tipo, y las suelo ir publicando en mi blog o en charlas. Desde hace poco he decidido poner en la zona de contacto de mi blog una alerta diciendo que no hago cosas ilegales nunca y por suerte han bajado un poco las peticiones. Yo no puedo ser juez de nadie y aunque intento ayudar a la gente, siempre les dejo claro que hay una línea legal que no se debe cruzar.

10. ¿Qué pregunta te hubiese gustado responder? ¿me la respondes?

La pregunta que me hubiera gustado responder es “¿Cuánto peso puede llevar una paloma en el pico?” y la respuesta es “¿La paloma de Europa o de Asia?”


Fuente.