La entrada de hoy es un homenaje a toda la comunidad de profesionales que trabajan duro cada día para llevar adelante sus proyectos personales, y aún tienen un hueco para contribuir en la difusión del conocimiento a todos los niveles, desde el que empieza, hasta el experto.
Para ellos, nada menos que una entrevista a Alejandro Nolla, un gran profesional que he tenido la suerte de conocer, que admiro, y que sin duda es mejor persona que "Security Consultant. Gracias amigo !!!
¿Quien es zombie hunter? ¿De donde eres? ¿A que te
dedicas? ¿A que dedicas el tiempo libreeeeee?
Mi nombre es Alejandro
Nolla, lo de
z0mbiehunt3r es un juego de palabras para mezclar mi interés por el
género zombie en todo lo imaginable (libros, películas, juegos, etc) con el uso
de la palabra "zombie" para referirse a un ordenador que forme parte de una
botnet. Lo sé, tampoco me rompí la cabeza pensándolo, pero me sonó bien y decidí
que así se quedaba, jeje. Nacido y criado en Madrid, aunque con un corazón que
pertenece a Asturias, tierra increíble donde las haya, para aquellos que no lo
conozcáis os recomiendo que disfrutéis de unas vacaciones por
allí.
Actualmente trabajo como consultor de seguridad en la empresa
Buguroo, bastante focalizado en las nuevas amenazas que surgen en Internet día a
día y los posibles nuevos vectores de ataque puedan surgir o combinarse varios
existentes para aumentar su efectividad. En mi tiempo libre me gusta investigar
y aprender cosas nuevas, especialmente todo aquello relacionado con los
protocolos de red, así como leer, escuchar música mientras paseo o, un hobby que
recientemente he recuperado después de muuuchos años, pintar miniaturas de
wargames (bueno, y montar legos de Star Wars,
jeje).
¿cual es tu especialidad, o en que áreas te
desenvuelves mejor?.
Como ya he comentado antes me pirran los protocolos
de red y los posibles ataques que se puedan realizar a los mismos, manía que
tiene uno de "darle la vuelta a la tortilla", y creo que es el área que mejor se
me da. También me gusta bastante la auditoría de páginas web, especialmente
cuando se buscan aquellos fallos de lógica de aplicación que "nadie había caído"
y que pueden permitir que hagas "maravillas" en la web...
¿Como es
un día en tu vida? ¿Como te organizas para trabajar, estudiar y sobre todo
vivir.?
La verdad que tengo mucha suerte ya que tengo bastante
flexibilidad en el trabajo, algo que creo que es muy importante para conseguir
los mejores resultados que puedas dar, y me brinda una facilidad increíble para
organizarme. Normalmente trabajo en "jornada de oficina", pero todos sabemos que
a veces uno rinde más en horarios más intempestivos - léase un miércoles a las
dos de la mañana jeje - y no sería la primera vez que me dan las mil
investigando algo o me entran ganas de pasear a la una de la mañana y mi jornada
siguiente sufre alguna alteración. Por suerte, siempre me ha gustado estudiar
por mi cuenta aquellas cosas que encontraba interesantes, así que aprovecho
cuando tengo huecos "muertos" para leerme algún libro o paper para aprender
siempre que me sea posible.
Este año te has movido mucho por
las conferencias mas importantes de seguridad, como son Rooted Con 2012, ConectaCon,Navaja
negra... ¿Estas preparando alguna ponencia para este 2013? ¿te gusta la faceta
de formador/divulgador?
La verdad que sí que tengo algunos temas que
quiero investigar un poco más para tratar de darles forma, si sale algo
interesante claro está, y espero poder publicarlos a lo largo del año.
Recientemente envié una propuesta de ponencia para RootedCon 2013, pero hasta
enero no sabré si hay suerte o no, jeje. He de decir que también voy a intentar
"repetir" en la
ConectaCon de Jaén, nunca me he sentido tan arropado y tan "como
en casa" como el año pasado con la gente de la organización, desde aquí un
abrazo para todos porque hicieron que me sintiese mejor que en mi propia
casa.
He trabajado como formador dando diversos cursos de seguridad y he
de reconocer que, a veces, es un trabajo poco agradecido, pero otras - en las
que ves que la gente tiene un verdadero interés en aprender - creo que la
satisfacción de poder enseñar y compartir conocimientos es enorme. Eso sí, es un
trabajo MUY duro, que nadie se engañe, preparar un curso lleva muchísimas más
horas detrás de lo que uno podría pensar si nunca lo ha intentado: elegir el
temario, preparar el contenido y darle forma, preparar los
ejercicios/prácticas/soluciones, pensar en posibles problemas que puedan surgir
durante su transcurso, intentar conseguir un resultado que agrade por igual a
gente de mayor y menor nivel, etc, no es nada fácil, mi admiración y respetos
para todos aquellos que se dejan la piel día a día para conseguir divulgar
conocimientos, de corazón.
En cuanto a la faceta de divulgador, por ejemplo
investigando un tema y publicando los resultados obtenidos, considero que es
algo que todos deberíamos hacer en la medida de lo posible si creemos que
podemos aportar algo, todos hemos aprendido lo que sabemos porque alguien, en
algún momento, se sentó a escribir ese libro, ese post o esa charla en el IRC
con la que aprendimos sobre cierta materia. Muchas veces pienso que, aunque sea
un pequeño granito de arena, me gusta tratar de devolverle a la comunidad lo que
me da día a día.
¿Qué pasa con tu blog "navegando entre colisiones" empezaste
con buen ritmo y muy buen material, en castellano. ¿Para cuando la vuelta al
ruedo?
Bueno, me alegro de que gustase el blog y que sirviese para dar
ideas o compartir conocimientos, a verdad es que me gusta escribir post de
aquellos temas que considero interesantes, pero lleva mucho tiempo y no dispongo
de él como para darle continuidad yo sólo al blog. De momento no creo que
publique, al menos de forma asidua, pero ya hablaremos tu y yo del "
community pentest project" por si puedo colaborar ;)
Tienes varias
aplicaciones "rulando" por la comunidad como son dnscachesnooping, smtp-enum ,
pffdetect , loadbalancer-finder háblanos un poco de ellas. ¿Estas trabajando en
alguna nueva?
Yo creo que, en estos casos, las herramientas siempre nacen
por la necesidad de llevar a cabo alguna determinada tarea. Por ejemplo,
loadbalancer-finder en principio no la iba a publicar (no hay más que ver el
código, jaja) y la desarrollé para las auditorías de seguridad que hago, lo que
pasa que la mandé a la lista del equipo de hacking y mis compañeros me animaron
a publicarla. Con el resto de herramientas pasó más o menos lo mismo, salvo en
el caso de
pffdetect que leí el paper en el que se basa y me apeteció
programarlo en python y publicarlo por si alguien podía encontrarlo de
utilidad.
Actualmente tengo alguna cosilla a medio programar por ahí, pero es
muy probable que próximamente publique mi última ida de olla trasteando con
infraestructuras de CDN, no he visto prácticamente nada al respecto y lo
considero muy interesante para trastear }:-)
Actualmente trabajas
en Buguroo, nos puedes contar un poco cual es tu trabajo allí? como es el
ambiente de trabajo en una empresa en la que te rodeas con lo mejorcito de la
zona?
Efectivamente me encuentro trabajando para
Buguroo como "security
consultant / Threat Intelligence Analyst", más allá del rimbombante nombre mi
trabajo generalmente consiste en tratar de estar al tanto de los nuevos ataques
de seguridad teniendo muy presente cómo podrían afectar a la infraestructura de
las empresas con las que trabajamos así como tratar de asegurarlas en la medida
de lo posible. Siendo sincero, el ambiente de trabajo es muy bueno en el curro,
tengo uno compañeros que son unos auténticos cracks, tanto profesionalmente como
en lo personal, y no hay día que no hable con ellos y aprenda algo nuevo, además
tenemos la mala costumbre de organizar de vez en cuando cenas que aprovechamos
para tomarnos algo juntos, echarnos unas risas y compartir vivencias (no sólo de
seguridad, de hecho, en las cenas siempre acabamos hablando de cualquier cosa
menos de seguridad jaja). Creo que llevarte bien con tus compañeros y con tus
jefes, y que sean más colegas que jefes, es muy importante puesto que pasamos
muchas horas a la semana con ellos y si hay un mal ambiente de trabajo es
horrible la experiencia y cuesta mucho más hacer bien el
trabajo.
¿Cuales son tus blogs favoritos en el mundo de la
seguridad informática? ¿Alguna recomendación?
Si te soy sincero ando
bastante desconectado de los blogs, creo que son una buena herramienta para
dejar constancia de temas para consultar más tarde cuando se necesite o se
quiera recordar algo, pero cuando he intentado seguir un RSS al final siempre me
he encontrado con que se me acumulan y no los leo, prefiero twitter para el día
a día, es una herramienta que brinda la posibilidad de una comunicación
prácticamente instantánea por todo el mundo y se va mucho más al grano por la
propia limitación de caracteres de twitter.
¿Algún consejo para la
gente que se inicia en el apasionante mundo de la seguridad
informática?
Basándome en mi propia experiencia, que no hay que
desanimarse ni sentirse abrumado por la increíble cantidad de información
disponible hoy día y cosas que aprender, siempre habrá cosas nuevas que aprender
- lo que, bajo mi punto de vista, hace de este mundillo algo apasionante - y lo
importante es tener claro qué te gusta y que es cuestión de proponerse las cosas
y no desesperar para poder conseguirlas. También que recomiendo encarecidamente
el ser autodidacta y no asustarse ante libros que puedan parecer auténticas
rocas en un principio, si el tema que se trata en el libro te gusta pero te
encuentras con una parte que no hay quien la trague es mejor saltársela y seguir
el libro que dejar el libro apenas empezado, siempre se le sacará más provecho
así y siempre se podrá volver a releer esa parte que nos leímos por encima una
vez que nos encontremos con más ganas.
gGacias por tu
tiempo, ¿algo más que añadir?
Me gustaría daros las gracias a ti y a todos
los que invertís parte de vuestro tiempo en hacer llegar la seguridad
informática a todo el mundo. Creo que también es necesario que todos tengamos
siempre en mente que empezamos por lo más básico porque alguien dedicó tiempo a
hacernos llegar, de un modo u otro, esa información y ser agradecidos con los
que ayudan desinteresadamente a los demás. Os envío un fuerte abrazo a todos
aquellos que hacéis que el mundo de la seguridad sea posible - más allá de
intereses económicos, claro está - y contribuís con la comunidad de manera
desinteresada, sin vosotros esto no sería posible.