La cosa estaba clara. Quería a Lorenzo Martínez en mi blog. Después de una dura negociación, aceptó venir por un par de euros (¡¡y tan par!!). Así que, mientras le voy haciendo la transferencia bancaria nos va a responder a unas preguntas. }:))
Para los que no le conozcáis, Lorenzo es editor de SbD, lo cual ya dice mucho de él si seguís el blog. Luego el ya os hablará de todo lo personal, pero quiero aclarar que además de ser un tipo con muchísima paciencia (y buen amigo) está siempre de buen humor y sonriendo. }:))
- ¡Buenas! ¿Qué tal Lorenzo? ¿Qué has estudiado? ¡Háblanos un poco de tí!
Pues aunque no te lo creas, desde niño siempre quise ser ingeniero (aunque de caminos, en vez de informática) puesto que no me llamaban la atención los ordenadores. Después se despertó en mí una faceta diferente y quise enfocarme a la veterinaria, aunque curar animales y mascotas, tiene ciertas incompatibilidades conmigo, sangre e interioridades que son superiores a mí. Afortunadamente, en lo que antes era 2º de BUP (antes de que estuviera la ESO, la LOGSE y esas destrucciones de la educación) conocí al que hoy es uno de mis mejores amigos, que incentivó en mí el mundo de los bits,... bueno, de los bits, los bytes, integers, floats, etc,... porque aprendí lo básico de programar en C con él, que ya era un avezado en la materia. Devorábamos revistas de ordenadores y consolas de videojuegos de la época (Microhobby, Micromanía, PCActual, Hobbyconsolas, etc...)
Así que finalmente al destino y a mi amigo Domingo le debo el haberme dedicado a Ingeniería, pero Informática,... y así empezó todo.
Pues aunque no te lo creas, desde niño siempre quise ser ingeniero (aunque de caminos, en vez de informática) puesto que no me llamaban la atención los ordenadores. Después se despertó en mí una faceta diferente y quise enfocarme a la veterinaria, aunque curar animales y mascotas, tiene ciertas incompatibilidades conmigo, sangre e interioridades que son superiores a mí. Afortunadamente, en lo que antes era 2º de BUP (antes de que estuviera la ESO, la LOGSE y esas destrucciones de la educación) conocí al que hoy es uno de mis mejores amigos, que incentivó en mí el mundo de los bits,... bueno, de los bits, los bytes, integers, floats, etc,... porque aprendí lo básico de programar en C con él, que ya era un avezado en la materia. Devorábamos revistas de ordenadores y consolas de videojuegos de la época (Microhobby, Micromanía, PCActual, Hobbyconsolas, etc...)
Así que finalmente al destino y a mi amigo Domingo le debo el haberme dedicado a Ingeniería, pero Informática,... y así empezó todo.
- ¿Tienes algún otro "hobby" aparte de la seguridad informática?
Desde siempre he sido un amante de la velocidad y de los coches, por lo que siempre reservo unos cuantos ciclos de CPU para echar un vistazo a foros de la marca de coches que he tenido en cada momento... Últimas tendencias, averías más comunes, dudas de la gente, trucos varios y curiosidades escondidas (legales) a aplicar sobre menú de información que da el coche, etc,... Desde hace unos 7 años no me pierdo una carrera de Fórmula 1, madrugando o trasnochando según corresponda para verla en directo.
Desde siempre he sido un amante de la velocidad y de los coches, por lo que siempre reservo unos cuantos ciclos de CPU para echar un vistazo a foros de la marca de coches que he tenido en cada momento... Últimas tendencias, averías más comunes, dudas de la gente, trucos varios y curiosidades escondidas (legales) a aplicar sobre menú de información que da el coche, etc,... Desde hace unos 7 años no me pierdo una carrera de Fórmula 1, madrugando o trasnochando según corresponda para verla en directo.
- ¿Cómo empezaste en esto de la seguridad informática y el hacking?
Mis inicios en seguridad fueron en la Universidad, cuando tuve la suerte de que el único profesor que estaba en su despacho, el día que me aventuré a buscar temática para el proyecto de fin de carrera, fue Javier Areitio: "el de redes". Me propuso que hiciese un proyecto en el que implementara alguna aplicación práctica basada en PKI.
A partir de ahí, cuando lo de encontrar trabajo era medianamente sencillo, entré en una de las empresas con mayor nombre en seguridad: SGI (del grupo GMV). Y ahí fue cuando me dí cuenta de que no tenía ni idea de nada y que esto de la seguridad, las redes y los sistemas era un reto más que interesante. Después volví a ser afortunado y empecé a trabajar en un proyecto de seguridad en ONO, donde conocí a Yago, otro de mis "muy mejores amigos", también editor de Security By Default. Fueron una época en la que aproveché la buena sintonía y las ganas de compartir conocimientos que tenía Yago, así como sus amplias y divertidas experiencias en el mundo de la scene.
Mis inicios en seguridad fueron en la Universidad, cuando tuve la suerte de que el único profesor que estaba en su despacho, el día que me aventuré a buscar temática para el proyecto de fin de carrera, fue Javier Areitio: "el de redes". Me propuso que hiciese un proyecto en el que implementara alguna aplicación práctica basada en PKI.
A partir de ahí, cuando lo de encontrar trabajo era medianamente sencillo, entré en una de las empresas con mayor nombre en seguridad: SGI (del grupo GMV). Y ahí fue cuando me dí cuenta de que no tenía ni idea de nada y que esto de la seguridad, las redes y los sistemas era un reto más que interesante. Después volví a ser afortunado y empecé a trabajar en un proyecto de seguridad en ONO, donde conocí a Yago, otro de mis "muy mejores amigos", también editor de Security By Default. Fueron una época en la que aproveché la buena sintonía y las ganas de compartir conocimientos que tenía Yago, así como sus amplias y divertidas experiencias en el mundo de la scene.
- Ahora casi todos los chavales tienen un ordenador y conexión a internet. ¿Qué le recomiendas a las personas que se quieren especializar en seguridad informática?
Pues la verdad es que hoy en día, todo es mucho más sencillo para quien quiere aprender. Todo está al alcance de pocos clicks de ratón. "En mis tiempos", leíamos documentos impresos en papel, de gente que le gustaba "bloggear" en TXTs. Desde siempre he tenido claro que hay que es importante estar al día. Mis mejores consejos son que elijan el lector de RSS que más les guste y que se marquen un hábito de lectura diaria suscribiéndose a diferentes blogs de seguridad, así como las conocidas listas de correo como las de Bugtraq o Full-disclosure (que distribuyen también por RSS sus contenidos) en las que se publican de forma diaria y actualizada los diferentes tipos de ataques que se observan y que están en cada momento afectando a Internet.
- Después de 'hackear' practicamente todos los cachivaches que tienes por casa, ¿estás centrado en algún proyecto personal ahora mismo?
Pues la verdad es que mi To Do es un pelín extenso en cuanto a cantidad de cosas se me pasan por la cabeza. Según entro a la ducha por las mañanas se me ocurren nuevas cosas, que salgo empapado a apuntar en mi lista. En general, nuevas funcionalidades a añadir a Skynet, trastear con el Raspberry Pi y,... últimamente posibilidades de negocio nuevas de las que te hablo en otra pregunta más abajo.
- Después de miles y miles de charlas con información al alcance de todos, ¿crees que hoy en día las personas se toman la seguridad informática más en serio?
Desgraciada y rotundamente NO. El mayor problema de la gente es que no sabe qué es lo que se puede y lo que no se puede hacer. El mundo de Hollywood nos deja ver que, con la correcta "motivación", es posible romper una clave RSA de 2048 bits (me parece que era) en "Operación Swordfish" y la gente se echa las manos a la cabeza pensando que incluso en un servidor apagado es posible dumpear la base de datos que contiene desde la otra punta del planeta. "Oh Dios, me puede pasar a mí!" Sin embargo, luego no tienen ningún tipo de cuidado dónde meten sus contraseñas (amén de reutilizarlas para múltiples sitios), no analizar la integridad de un cajero automático antes de sacar dinero o tapar el teclado antes de meter el PIN, entregar la tarjeta de crédito a un camarero que se la lleva para pagar cómodamente en la caja, etc, etc,... luego vienen los sustos en plan: "I've been hacked!" Yo creo que debería ser obligatoria, en los tan prostituidos planes de estudios actuales, la inclusión de una asignatura que se llamase "Seguridad y Paranoia para la ciudadanía", en las que se debería enseñar desde corta edad, las formas de hacer las cosas para llevar una conducta segura.
- Como ya sabemos, eres editor de SbD (Security By Default), felicidades por el blog porcierto, además también trabajas en esto de la seguridad informática. ¿De dónde sacas el tiempo?
Es increible la gran aceptación que ha tenido nuestro blog, Security By Default [http://www.securitybydefault.com], en la comunidad de seguridad de habla hispana. Desde este blog, en mi nombre y en el de mis compañeros de SbD (Alex [http://www.twitter.com/aramosf], Jose Antonio y Yago [http://www.twitter.com/yjesus]), quiero dar las gracias a todos nuestros lectores y fieles seguidores vía twitter, por la gran difusión que hacéis de nuestros artículos. Asimismo hago extensible el agradecimiento a los colaboradores que nos enviáis vuestras contribuciones para expresar en nuestro blog, los artículos escritos como resultado de vuestras inquietudes en seguridad.
Como bien dices me dedico a "esto de la seguridad". Llevo toda mi vida profesional trabajando en integradores y fabricantes de soluciones de Seguridad,.. y actualmente, en 2012, he sido uno de los locos "entrepeneurs" que ha decidido montar su propia empresa de asesoría, consultoría y auditoría de seguridad. Además imparto cursos a medida de comunicaciones, sistemas y seguridad. Llevo un par de meses con ello y he tenido la suerte de no parar de trabajar, cosa que con la que está cayendo no puedo tener ninguna queja. Todo el esfuerzo de comenzar una empresa, compaginándolo con la vida de charlas que llevo este año, entre España y Sudamérica, así como la colaboración activa que llevo de forma con la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (www.antpji.com), ayudando en la creación, en el desarrollo por Latinomérica e incluso y en algún que otro peritaje. Con decirte que no he tenido tiempo ni siquiera de hacer la web de la empresa, aunque ya tengo el dominio registrado en www.securizame.com y el correo corporativo he sacado tiempo para configurarlo y ya me funciona lorenzo (at) securizame.com. A todo esto súmale que, menos de lo que me gustaría (y pido por ello disculpas a mis compañeros), escribo cuando puedo en Security By Default.
¿Que de dónde saco tiempo? Pues como casi todos los que nos dedicamos a esto, por la noche, arañando minutos de sueño para terminar ofertas, posts, devorar documentación, generar proyectos nuevos, etc,...
Desgraciada y rotundamente NO. El mayor problema de la gente es que no sabe qué es lo que se puede y lo que no se puede hacer. El mundo de Hollywood nos deja ver que, con la correcta "motivación", es posible romper una clave RSA de 2048 bits (me parece que era) en "Operación Swordfish" y la gente se echa las manos a la cabeza pensando que incluso en un servidor apagado es posible dumpear la base de datos que contiene desde la otra punta del planeta. "Oh Dios, me puede pasar a mí!" Sin embargo, luego no tienen ningún tipo de cuidado dónde meten sus contraseñas (amén de reutilizarlas para múltiples sitios), no analizar la integridad de un cajero automático antes de sacar dinero o tapar el teclado antes de meter el PIN, entregar la tarjeta de crédito a un camarero que se la lleva para pagar cómodamente en la caja, etc, etc,... luego vienen los sustos en plan: "I've been hacked!" Yo creo que debería ser obligatoria, en los tan prostituidos planes de estudios actuales, la inclusión de una asignatura que se llamase "Seguridad y Paranoia para la ciudadanía", en las que se debería enseñar desde corta edad, las formas de hacer las cosas para llevar una conducta segura.
- Como ya sabemos, eres editor de SbD (Security By Default), felicidades por el blog porcierto, además también trabajas en esto de la seguridad informática. ¿De dónde sacas el tiempo?
Es increible la gran aceptación que ha tenido nuestro blog, Security By Default [http://www.securitybydefault.com], en la comunidad de seguridad de habla hispana. Desde este blog, en mi nombre y en el de mis compañeros de SbD (Alex [http://www.twitter.com/aramosf], Jose Antonio y Yago [http://www.twitter.com/yjesus]), quiero dar las gracias a todos nuestros lectores y fieles seguidores vía twitter, por la gran difusión que hacéis de nuestros artículos. Asimismo hago extensible el agradecimiento a los colaboradores que nos enviáis vuestras contribuciones para expresar en nuestro blog, los artículos escritos como resultado de vuestras inquietudes en seguridad.
Como bien dices me dedico a "esto de la seguridad". Llevo toda mi vida profesional trabajando en integradores y fabricantes de soluciones de Seguridad,.. y actualmente, en 2012, he sido uno de los locos "entrepeneurs" que ha decidido montar su propia empresa de asesoría, consultoría y auditoría de seguridad. Además imparto cursos a medida de comunicaciones, sistemas y seguridad. Llevo un par de meses con ello y he tenido la suerte de no parar de trabajar, cosa que con la que está cayendo no puedo tener ninguna queja. Todo el esfuerzo de comenzar una empresa, compaginándolo con la vida de charlas que llevo este año, entre España y Sudamérica, así como la colaboración activa que llevo de forma con la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (www.antpji.com), ayudando en la creación, en el desarrollo por Latinomérica e incluso y en algún que otro peritaje. Con decirte que no he tenido tiempo ni siquiera de hacer la web de la empresa, aunque ya tengo el dominio registrado en www.securizame.com y el correo corporativo he sacado tiempo para configurarlo y ya me funciona lorenzo (at) securizame.com. A todo esto súmale que, menos de lo que me gustaría (y pido por ello disculpas a mis compañeros), escribo cuando puedo en Security By Default.
¿Que de dónde saco tiempo? Pues como casi todos los que nos dedicamos a esto, por la noche, arañando minutos de sueño para terminar ofertas, posts, devorar documentación, generar proyectos nuevos, etc,...
- Y por último, ¿qué sistema operativo corre en tu ordenador personal? ¿Eres amante de algún sistema operativo en particular?
Bueno, como expliqué en más de un post y en otras entrevistas que me han hecho, desde hace unos 3 ó 4 años utilizo Mac OS X como sistema operativo de escritorio y Linux como servidor. No es que sea amante de un sistema operativo en particular, ni creo que se me pueda encasillar como un fanboy [http://www.securitybydefault.com/2012/04/flashback-botnet-vulnerabilidad-de-java.html], pero, hasta ahora Mac me ha demostrado ser lo más cómodo para mi trabajo diario, aunque posiblemente, entre Windows, Linux y Mac, sea este último el que menos conciencia de seguridad aporta ¿qué contradicción, verdad?
La seguridad total de un usuario no puede dejarse únicamente en manos del sistema operativo, sino en los hábitos del propio usuario. Está claro que cuanto más seguridad implemente el propio sistema operativo, más protegido estará el usuario. En mi caso, de momento, he sobrevivido con Mac, porque... cuadno no hay aplicaciones levantadas, ¿es normal que haya tráfico de red continuo con una IP rusa, verdad? ;D
Para quien no le quede claro algo y quiera contactar conmigo, lo puede hacer al correo que he indicado en alguna respuesta de la entrevista o directamente por twitter en @lawwait.
Bueno, como expliqué en más de un post y en otras entrevistas que me han hecho, desde hace unos 3 ó 4 años utilizo Mac OS X como sistema operativo de escritorio y Linux como servidor. No es que sea amante de un sistema operativo en particular, ni creo que se me pueda encasillar como un fanboy [http://www.securitybydefault.com/2012/04/flashback-botnet-vulnerabilidad-de-java.html], pero, hasta ahora Mac me ha demostrado ser lo más cómodo para mi trabajo diario, aunque posiblemente, entre Windows, Linux y Mac, sea este último el que menos conciencia de seguridad aporta ¿qué contradicción, verdad?
La seguridad total de un usuario no puede dejarse únicamente en manos del sistema operativo, sino en los hábitos del propio usuario. Está claro que cuanto más seguridad implemente el propio sistema operativo, más protegido estará el usuario. En mi caso, de momento, he sobrevivido con Mac, porque... cuadno no hay aplicaciones levantadas, ¿es normal que haya tráfico de red continuo con una IP rusa, verdad? ;D
Para quien no le quede claro algo y quiera contactar conmigo, lo puede hacer al correo que he indicado en alguna respuesta de la entrevista o directamente por twitter en @lawwait.
Saludos a todos!
Quiero aprovechar para agradecerle por responderme a esta entrevista. ¡Como ya he dicho, es un crack! }:))
0 comentarios:
Publicar un comentario en la entrada