martes, 18 de diciembre de 2012

Entrevista al Sr. Alejandro Nolla. A.K.A Z0mbieHunt3r

La entrada de hoy es un homenaje a toda la comunidad de profesionales que trabajan duro cada día para llevar adelante sus proyectos personales, y aún tienen un hueco para contribuir en la difusión del conocimiento a todos los niveles, desde el que empieza, hasta el experto.
Para ellos, nada menos que una entrevista a Alejandro Nolla, un gran profesional que he tenido la suerte de conocer, que admiro, y que sin duda es mejor persona que "Security Consultant. Gracias amigo !!!


¿Quien es zombie hunter? ¿De donde eres? ¿A que te dedicas? ¿A que dedicas el tiempo libreeeeee?
Mi nombre es Alejandro Nolla, lo de z0mbiehunt3r es un juego de palabras para mezclar mi interés por el género zombie en todo lo imaginable (libros, películas, juegos, etc) con el uso de la palabra "zombie" para referirse a un ordenador que forme parte de una botnet. Lo sé, tampoco me rompí la cabeza pensándolo, pero me sonó bien y decidí que así se quedaba, jeje. Nacido y criado en Madrid, aunque con un corazón que pertenece a Asturias, tierra increíble donde las haya, para aquellos que no lo conozcáis os recomiendo que disfrutéis de unas vacaciones por allí.

Actualmente trabajo como consultor de seguridad en la empresa Buguroo, bastante focalizado en las nuevas amenazas que surgen en Internet día a día y los posibles nuevos vectores de ataque puedan surgir o combinarse varios existentes para aumentar su efectividad. En mi tiempo libre me gusta investigar y aprender cosas nuevas, especialmente todo aquello relacionado con los protocolos de red, así como leer, escuchar música mientras paseo o, un hobby que recientemente he recuperado después de muuuchos años, pintar miniaturas de wargames (bueno, y montar legos de Star Wars, jeje).

¿cual es tu especialidad, o en que áreas te desenvuelves mejor?.
Como ya he comentado antes me pirran los protocolos de red y los posibles ataques que se puedan realizar a los mismos, manía que tiene uno de "darle la vuelta a la tortilla", y creo que es el área que mejor se me da. También me gusta bastante la auditoría de páginas web, especialmente cuando se buscan aquellos fallos de lógica de aplicación que "nadie había caído" y que pueden permitir que hagas "maravillas" en la web...



¿Como es un día en tu vida? ¿Como te organizas para trabajar, estudiar y sobre todo vivir.?
La verdad que tengo mucha suerte ya que tengo bastante flexibilidad en el trabajo, algo que creo que es muy importante para conseguir los mejores resultados que puedas dar, y me brinda una facilidad increíble para organizarme. Normalmente trabajo en "jornada de oficina", pero todos sabemos que a veces uno rinde más en horarios más intempestivos - léase un miércoles a las dos de la mañana jeje - y no sería la primera vez que me dan las mil investigando algo o me entran ganas de pasear a la una de la mañana y mi jornada siguiente sufre alguna alteración. Por suerte, siempre me ha gustado estudiar por mi cuenta aquellas cosas que encontraba interesantes, así que aprovecho cuando tengo huecos "muertos" para leerme algún libro o paper para aprender siempre que me sea posible.

Este año te has movido mucho por las conferencias mas importantes de seguridad, como son Rooted Con 2012, ConectaCon,Navaja negra... ¿Estas preparando alguna ponencia para este 2013? ¿te gusta la faceta de formador/divulgador?
La verdad que sí que tengo algunos temas que quiero investigar un poco más para tratar de darles forma, si sale algo interesante claro está, y espero poder publicarlos a lo largo del año. Recientemente envié una propuesta de ponencia para RootedCon 2013, pero hasta enero no sabré si hay suerte o no, jeje. He de decir que también voy a intentar "repetir" en la ConectaCon de Jaén, nunca me he sentido tan arropado y tan "como en casa" como el año pasado con la gente de la organización, desde aquí un abrazo para todos porque hicieron que me sintiese mejor que en mi propia casa.


He trabajado como formador dando diversos cursos de seguridad y he de reconocer que, a veces, es un trabajo poco agradecido, pero otras - en las que ves que la gente tiene un verdadero interés en aprender - creo que la satisfacción de poder enseñar y compartir conocimientos es enorme. Eso sí, es un trabajo MUY duro, que nadie se engañe, preparar un curso lleva muchísimas más horas detrás de lo que uno podría pensar si nunca lo ha intentado: elegir el temario, preparar el contenido y darle forma, preparar los ejercicios/prácticas/soluciones, pensar en posibles problemas que puedan surgir durante su transcurso, intentar conseguir un resultado que agrade por igual a gente de mayor y menor nivel, etc, no es nada fácil, mi admiración y respetos para todos aquellos que se dejan la piel día a día para conseguir divulgar conocimientos, de corazón.
En cuanto a la faceta de divulgador, por ejemplo investigando un tema y publicando los resultados obtenidos, considero que es algo que todos deberíamos hacer en la medida de lo posible si creemos que podemos aportar algo, todos hemos aprendido lo que sabemos porque alguien, en algún momento, se sentó a escribir ese libro, ese post o esa charla en el IRC con la que aprendimos sobre cierta materia. Muchas veces pienso que, aunque sea un pequeño granito de arena, me gusta tratar de devolverle a la comunidad lo que me da día a día.

¿Qué pasa con tu blog "navegando entre colisiones" empezaste con buen ritmo y muy buen material, en castellano. ¿Para cuando la vuelta al ruedo?
Bueno, me alegro de que gustase el blog y que sirviese para dar ideas o compartir conocimientos, a verdad es que me gusta escribir post de aquellos temas que considero interesantes, pero lleva mucho tiempo y no dispongo de él como para darle continuidad yo sólo al blog. De momento no creo que publique, al menos de forma asidua, pero ya hablaremos tu y yo del "community pentest project" por si puedo colaborar ;)

Tienes varias aplicaciones "rulando" por la comunidad como son dnscachesnooping, smtp-enum , pffdetect , loadbalancer-finder háblanos un poco de ellas. ¿Estas trabajando en alguna nueva?
Yo creo que, en estos casos, las herramientas siempre nacen por la necesidad de llevar a cabo alguna determinada tarea. Por ejemplo, loadbalancer-finder en principio no la iba a publicar (no hay más que ver el código, jaja) y la desarrollé para las auditorías de seguridad que hago, lo que pasa que la mandé a la lista del equipo de hacking y mis compañeros me animaron a publicarla. Con el resto de herramientas pasó más o menos lo mismo, salvo en el caso de pffdetect que leí el paper en el que se basa y me apeteció programarlo en python y publicarlo por si alguien podía encontrarlo de utilidad.
Actualmente tengo alguna cosilla a medio programar por ahí, pero es muy probable que próximamente publique mi última ida de olla trasteando con infraestructuras de CDN, no he visto prácticamente nada al respecto y lo considero muy interesante para trastear }:-)

Actualmente trabajas en Buguroo, nos puedes contar un poco cual es tu trabajo allí? como es el ambiente de trabajo en una empresa en la que te rodeas con lo mejorcito de la zona?
Efectivamente me encuentro trabajando para Buguroo como "security consultant / Threat Intelligence Analyst", más allá del rimbombante nombre mi trabajo generalmente consiste en tratar de estar al tanto de los nuevos ataques de seguridad teniendo muy presente cómo podrían afectar a la infraestructura de las empresas con las que trabajamos así como tratar de asegurarlas en la medida de lo posible. Siendo sincero, el ambiente de trabajo es muy bueno en el curro, tengo uno compañeros que son unos auténticos cracks, tanto profesionalmente como en lo personal, y no hay día que no hable con ellos y aprenda algo nuevo, además tenemos la mala costumbre de organizar de vez en cuando cenas que aprovechamos para tomarnos algo juntos, echarnos unas risas y compartir vivencias (no sólo de seguridad, de hecho, en las cenas siempre acabamos hablando de cualquier cosa menos de seguridad jaja). Creo que llevarte bien con tus compañeros y con tus jefes, y que sean más colegas que jefes, es muy importante puesto que pasamos muchas horas a la semana con ellos y si hay un mal ambiente de trabajo es horrible la experiencia y cuesta mucho más hacer bien el trabajo.

¿Cuales son tus blogs favoritos en el mundo de la seguridad informática? ¿Alguna recomendación?
Si te soy sincero ando bastante desconectado de los blogs, creo que son una buena herramienta para dejar constancia de temas para consultar más tarde cuando se necesite o se quiera recordar algo, pero cuando he intentado seguir un RSS al final siempre me he encontrado con que se me acumulan y no los leo, prefiero twitter para el día a día, es una herramienta que brinda la posibilidad de una comunicación prácticamente instantánea por todo el mundo y se va mucho más al grano por la propia limitación de caracteres de twitter.

¿Algún consejo para la gente que se inicia en el apasionante mundo de la seguridad informática?
Basándome en mi propia experiencia, que no hay que desanimarse ni sentirse abrumado por la increíble cantidad de información disponible hoy día y cosas que aprender, siempre habrá cosas nuevas que aprender - lo que, bajo mi punto de vista, hace de este mundillo algo apasionante - y lo importante es tener claro qué te gusta y que es cuestión de proponerse las cosas y no desesperar para poder conseguirlas. También que recomiendo encarecidamente el ser autodidacta y no asustarse ante libros que puedan parecer auténticas rocas en un principio, si el tema que se trata en el libro te gusta pero te encuentras con una parte que no hay quien la trague es mejor saltársela y seguir el libro que dejar el libro apenas empezado, siempre se le sacará más provecho así y siempre se podrá volver a releer esa parte que nos leímos por encima una vez que nos encontremos con más ganas.

gGacias por tu tiempo, ¿algo más que añadir?
Me gustaría daros las gracias a ti y a todos los que invertís parte de vuestro tiempo en hacer llegar la seguridad informática a todo el mundo. Creo que también es necesario que todos tengamos siempre en mente que empezamos por lo más básico porque alguien dedicó tiempo a hacernos llegar, de un modo u otro, esa información y ser agradecidos con los que ayudan desinteresadamente a los demás. Os envío un fuerte abrazo a todos aquellos que hacéis que el mundo de la seguridad sea posible - más allá de intereses económicos, claro está - y contribuís con la comunidad de manera desinteresada, sin vosotros esto no sería posible.