miércoles, 22 de enero de 2014

Entrevista a Chema Alonso...


Chema Alonso es un hacker español y experto en seguridad informática que nos habla de las vulnerabilidades de los sistemas en esta entrevista. La entrevista fue realizada por Jordi Evole, en el famoso programa Salvados de LaSexta y el texto ha sido obtenido de la web El Grupo Informático. Disfrutenla:

1. -Hablemos de uno de tus proyectos: Foca ¿Cómo surgió la idea de crear Foca? ¿De dónde salió el nombre?
La idea inicial de FOCA nació de un artículo que estaba escribiendo sobre cómo era posible hacer un fingerprinting de la red interna de una organización extrayendo metadatos. Necesitaba una utilidad para automatizar ese proceso y puse a uno de los compañeros de mi equipo a programar lo que yo tenía en mente. El nombre fue una broma interna, mezclada con que me gusta el animal en cuestión, que me parece divertido y que podía poner algo como “Fingerprinting Organizations with Collected Archives”. Después fui añadiendo técnicas OSINT para aumentar el reconocimiento de la red y salieron la FOCA 2 y la FOCA 3 que ya hemos liberado desde Eleven Paths. Si quieres saber todo lo que hace, puedes leerte este libro que he escrito sobre el tema: http://0xword.com/es/libros/59-pentesting-con-foca.html


2. - Las redes sociales y las apps de mensajería instantánea están de moda, todos enganchados a ellas. ¿Qué opinas respecto a la seguridad de WhatsApp? ¿Y la red social Facebook?
Sobre WhatsApp ya he escrito mucho. De hecho tengo un artículo en mi blog titulado “Cómo espiar WhatsApp” que recoge todas las formas en las que es posible robar conversaciones de WhatsApp de alguien. Desde el punto de vista forense, es incluso posible recuperar mensajes que han sido borrados con Recover Messages [http://www.recovermessages.com]y hacer que nunca se borren esos mensajes con WhatsApp Anti-Delete Protection Tool. En definitiva, WhatsApp está intentando hacerlo bien, pero aún queda mucho por avanzar.
Respecto a Facebook yo tengo una regla. Todo lo que pongas allí, asume que un día será público, ya sea por un cambio de política, un fallo de seguridad o un robo de tu credencial. Esto puede sonar un poco fuerte, pero es lo que realmente pienso. La herramienta Facebook Recover permite extraer las sesiones de Facebook que se hayan quedado guardadas en un backup o en un iPhone, con un solo clic, y es porque las cookies de sesión de la app de iPhone de Facebook parece no caducar nunca.

3. - La polémica de la NSA nos deja cada día con novedades para dejarnos más sorprendidos aún. Una paranoia que parece real. ¿Cuál es tu opinión respecto a todo esto del espionaje masivo?
Uff, yo creo que todo lo que hemos visto nos ha llevado a un estado de paranoia que ha debilitado mucho la confianza de los países, las instituciones y las personas en Internet. La red de redes es lo que más ha hecho avanzar a la sociedad en los últimos 50 años y esto ha generado una desconfianza grande en lo que es el pilar de nuestra civilización hoy en día. No debería haber pasado. Creo que se deberían poner más trabas a este tipo de acciones y que habría que luchar por construir un Internet mucho más protegido contra personas que quieran hacer daño a la Red.

4. - ¿A qué edad hiciste tu primera "trastada" con un ordenador? Entiéndase por "trastada" el uso de algún tipo de vulnerabilidad encontrada.
Yo nunca he hecho cosas malas. Digamos que empecé con la seguridad informática cuando tenía venti-pocos años }:)

5. -Desmiéntenos algunos mitos… ¿Puede Apple presumir de seguridad?
Apple tiene los mismos problemas de seguridad que las demás empresas. En el SO Windows tiene protecciones más avanzadas que Apple, pero la cuota de uso de Mac OS X es menor y hay menos malware que para Windows. En el caso de iPhone o Windows Phone, iPhone tiene poco malware, pero sin embargo es el que más fallos de seguridad ha tenido que solucionar – precisamente por su cantidad de uso -. Yo creo que pensar que algún sistema es invulnerable es lo que hace a los usuarios pensar que no deben preocuparse por la seguridad. ¡Error!

6. -¿Qué tal con Android? ¿Y Windows?
No soy muy fan de Android. Le reconozco su versatilidad y el gran ecosistema, pero no me gusta nada el sistema de permisos, la facilidad con que la gente puede subir malware a Google Play o rootear el terminal. En Eleven Paths estamos prestando mucha atención a Google Play y no deja de maravillarnos cómo se puede subir tanto crapware simplemente diciendo que son WhatsApp.
Respecto a Windows, creo que su principal problema ha sido la cantidad de muestras de malware que existen y la pobre formación en seguridad que tienen muchos usuarios. Un compañero escribió un libro llamado “Máxima Seguridad en Windows” donde explica cómo sacarle el máximo partido a las herramientas de seguridad de Windows. Es un must read para cualquiera que use Windows.

7. - Son muchos los usuarios novatos los que nos preguntan cómo “hackear”, ¿qué les dirías?
Yo les digo que estudien mucho, practiquen más y que nunca confundan el hacking con cometer delitos. Sobre este tema escribí un par de artículos que recomiendo a todo el mundo:
-Cómo ser hacker o cómo aprender hacking http://www.elladodelmal.com/2013/08/com ... cking.html
-Buscas criminales, no hackers http://www.elladodelmal.com/2012/07/bus ... ckers.html

8. - ¿Algún consejo de seguridad más allá del “sentido común?
Muchos. El sentido común no acaba de resolver los problemas de seguridad. Pero creo que el único en el que voy a insistir hoy es en que hay que tener mucho cuidado con las identidades digitales, poner contraseñas robustas, usar second factor, y si es posible, poner pestillos digitales con Latch.

9. - ¿Nos puedes contar alguna anécdota que te haya marcado?
Anécdotas a lo largo de mi vida me han pasado muchas. Quizá una que tengo guardada es cuando di una de mis primeras charlas en Argentina en la Escuela del Ejercito y dije “puede que el ordenador me de un pete”. Resulta que en Argentina un pete es otra cosas distinta (pete=sexo oral) y un oficial se levantó y me dijo: “Si le da a vos un pete yo se lo compro”… Cuando lo entendí, estuve riéndome durante días…