En la Ekoparty se encargó de realizar el CTF Pre-Ekoparty y el CTF de
la misma, pero Andrés Riancho es un tipo que un día dijo: "OK, me voy a
programar una herramienta que me ayude a detectar y explotar las
vulnerabilidades conocidas en páginas web". Y lo hizo. Así debió de
nacer w3af. Una herramienta que ha ido creciendo. La primera vez que
conocí la herramienta y Andrés Riancho fue en el CIBSI 2007 en Mar del
Plata. Desde ese momento w3af ha entrado en el repositorio de Debian,
ha crecido en número de vulnerabilidades detectadas y explotadas y
hasta ha adquirido un entorno gráfico, programado por Ulises, para
hacer la vida más cómoda a los amantes de los Botones.
En la ekoparty le asalté y le pedí una entrevista y esto es lo que le pregunté y lo que él me contestó.
Saludos Malignos!
1.- Vale, venga, asústanos, ¿cuántas líneas de código tiene w3af?
Esa
es una pregunta que me hacen bastante seguido, y ya que esta vez va a
quedar impreso, me tome el tiempo para utilizar cloc [0] y darte una
respuesta exacta:
Lenguaje: Python
Archivos: 380
Líneas en blanco: 14189
Líneas de comentarios: 6443
Líneas de código: 52716
Algo
muy importante en mi opinión en este proyecto, es la documentación y
claridad del código, y parece que esto se ha logrado, ya que podemos
ver que cada 8 líneas de código hay 1 comentario que explica que es lo
que se está haciendo.
[0]http://cloc.sourceforge.net/
2.- ..Y ¿quién es Andrés Riancho? ¿De dónde eres y cómo te dio por acabar rompiendo webs?
Andrés
Riancho es ahora un profesional de seguridad informática, dedicado de
pleno a la seguridad en las aplicaciones Web. Llegué a esto luego de
muchos años de estudiar, leer, aprender e informarme de los temas que
siempre me han apasionado. La seguridad informática tiene "ese no sé
que" para mí, que hace que a uno le apasione y quiera siempre saber
más, lo que me ha llevado a pasar por varios empleos, hasta fundar mi
propia empresa: Bonsai Information Security [1].
[1] http://www.bonsai-sec.com/
3.-
Me ha llamado la atención descubrir que aquí en Argentina, entre los
que se dedican a la seguridad informática no hay tanta afición al
futbol, pero… ¿en tu caso es así o eres un forofo de algún equipo?
Creo
que en Argentina todos son fanáticos de un equipo, eso no quiere decir
que vayamos a la cancha, o veamos todos los partidos! Pero cuando vemos
que ese equipo que nos gusta va a jugar contra su rival clásico de
todos los tiempos, siempre queremos que nuestro equipo gane. En mi caso
soy de Boca Juniors, afición pasada a mí por mi tío, quien es realmente
el fanático de la familia =)
4.- RoMaNSoFt me va a
matar si no le llevo su regalito por el CTF previo a la Ekoparty.
¿Cuánto tiempo ha llevado preparar el CTF que estáis realizando?
El
CTF que estamos realizando en conjunto con Juliano Rizzo de Netifera
[2] nos ha llevado desarrollar algo así como 4 semanas de trabajo (2
cada uno). Es un juego bastante complejo, en el cual cada usuario tiene
una cuenta en un banco central, y existen bancos más pequeños que
poseen las vulnerabilidades a explotar. Una vez que has encontrado una
vulnerabilidad, tienes la posibilidad de transferir dinero a tu cuenta
del banco central, para así subir en la tabla de posiciones.
En
el caso de Ekoparty, el juego fue apasionante, y hubo mucho revuelo
debido a que un equipo pudo robarle dinero al resto de los equipos
(cosa que estaba permitida), y así ganar el juego.
[2] http://www.netifera.com/
5.- ¿Por qué aquí le llaman doblebetresaefe si tu programa es uvedobletresaefe?
Hehehe, es que la "w" en Argentina se dice "doble b", no "uve doble" ;)
6.-
¿Qué ha estudiado Andrés Riancho para aprender Seguridad Informática?
¿Qué les recomendarías a los jóvenes que quieran aprender?
¡Qué
preguntón! Para aprender seguridad informática he leído todo lo que se
me ha pasado por las manos. Cualquier paper, nota o blog post que me ha
interesado, y fue publicado en security-focus, packetstorm, milw0rm,
full-disclosure, etc.
Creo que más allá de las fuentes de
información que he mencionado, lo más importante es tener amigos,
conocidos y contactos que estén en el mismo tema, para intercambiar
información y experiencias.
7.- ¿Quién te ha impresionado y te ha servido de guía en este mundo de seguridad informática?
En
realidad no he identificado nunca una persona como mi modelo a seguir,
más bien tomo lo mejor de cada una de ellas e intento crear mi propio
estilo.
8.- Has dado la vuelta al mundo dando conferencias… ¿cuál ha sido la que más te ha gustado? ¿Cuál no debe perderse uno?
Hace
poco estuve en CONFidence, Krakow, Polonia. Una gran conferencia, muy
bien organizada y con alrededor de 400 asistentes. La ciudad de Krakow
es hermosa, la gente es muy amistosa, y la conferencia estuvo
excelente. Creo que una de las razones por la que la disfrute mucho, es
que no tuve que dar una charla ;)
9.- ¿Has sido gamer? ¿Cuál es el juego que más te ha enganchado?
¡Sí!
Por supuesto que pase por la etapa de gamer, en su momento jugaba mucho
al Counter Strike y al Quake III. Creo que era bastante bueno... un
tiempo después de no jugar pude comprobar que todavía tenía mis skills
cuando le gané a un amigo y ex-compañero de trabajo al Quake III
manejando el mouse con l mano izquierda ;)
10.- ¿Qué sistema operativo corre en tu máquina? ¿Un Windows Vista tal vez?
Desde
hace un par de años que estoy corriendo Ubuntu. Todavía no he tenido la
oportunidad de probar un Windows Vista, pero no creo que lo haga, las
prestaciones que me proveen las herramientas Open Source incluidas en
Ubuntu superan mis necesidades.
11.- ¿Qué ventajas tiene w3af respecto a otros escáneres de vulnerabilidades?
Es fácilmente extensible, es Open Source y posee una comunidad que te dará soporte cuando lo necesites.
12.- ¿Cómo fueron tus orígenes con la informática? ¿Qué recuerdos guardas de tus primeros ordenadores?
Mi
familia es dueña de una Imprenta, y el primer ordenador con el cual
tuve contacto fue el que compraron para realizar el manejo de los
clientes de la empresa. Recuerdo mi abuela diciéndome que no debería
usar la computadora para otras cosas que no fuesen ese sistema, ya que
la iba a romper, lo cual si mal no recuerdo sucedió. Un tiempo después
tuve una 286 en mi hogar, con la cual jugaba como cualquier niño =)
13.- ¿Qué tiene que saber un gallego que visite argentina para no cagarla?
No
mucho, simplemente absténganse de usar la palabra "coger", ya que
nosotros aquí la utilizamos como "tener sexo" y suena muy gracioso
cuando alguien dice: "Me voy a coger un taxi"! jajajaj.
14.- ¿Has estado en España? ¿Qué es lo que más te ha gustado?
No,
no he tenido la oportunidad de estar en España, pero si alguien me
quiere invitar a una conferencia por allí, con todo gusto me hago el
viaje.
15.- ¿Crees que llegará un día en que no haya páginas web con SQL Injection?
Yo
creo que sí, pero esos tiempos no están cerca. Algunos pasos en la
dirección correcta han sido tomados por los desarrolladores de HDIV
[3], pero el framework todavía permite al usuario cometer errores e
introducir vulnerabilidades de inyección SQL.
Es un
cambio radical, pero creo que la única manera de lograr que las
aplicaciones Web no tengan inyecciones SQL es que los lenguajes de
desarrollo eliminen todas las librerías que interactúen de manera
directa con la base de datos, y dejen a los desarrolladores solamente
con prepared statements como opción a la hora de realizar un query a la
base de datos.
[3] http://www.hdiv.org/
16.- ¿Dónde trabaja ahora Riancho? ¿Qué estás haciendo ahora mismo?
Desde
inicios de este año he comenzado con mi propio emprendimiento, Bonsai
Information Security [0], una empresa focalizada en la seguridad en las
aplicaciones Web. Desde Bonsai proveemos de servicios de consultoría y
educación a clientes de todo el mundo que aprecian la calidad del
trabajo que realizamos y nuestra pasión por la seguridad informática.
17.- ¿A quién te gustaría conocer porque lo admiras?
Ahora
que he fundado mi propia empresa, he comenzado a leer otro tipo de
libros y a interesarme en otros ámbitos de la vida además de los
técnicos. Me gustaría conocer a emprendedores como Steve Jobs, Linus
Torvalds y Bill Gates. Creo que mis posibles charlas con ellos no
serían sobre aspectos técnicos, pero sí sobre cómo llevar adelante un
negocio y como invertir.
18.- Es difícil detectar las nuevas vulnerabilidades, ¿Cómo lo haces? ¿Qué lees para estar al día de ellas?
Sí,
es bastante complicado mantenerse al día de todo lo que está sucediendo
en el ambiente de la seguridad informática, por eso es que me estoy
focalizando principalmente en la seguridad en las aplicaciones Web, en
donde me siento más cómodo y puedo hablar con la mayoría de los
investigadores que encuentran nuevos tipos de vulnerabilidades de
manera directa en conferencias o por IRC.
19.- ¿Qué tres herramientas nunca faltan en tu ordenador?
1. Python
2. nmap
3. w3af
20.- ¿Te irías a vivir a otro país por trabajo o aquí estás bien?
Argentina
tiene muchos problemas, pero también tiene a mis amigos de toda la
vida. No sé si me iría a vivir a otro país... es algo que me he
planteado un par de veces, pero todavía sigo aquí!
Autor: Chema Alonso
Fuente: Un Informatico en el lado del Mal
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!