La nostra entrevista d'aquesta setmana és per a un altre gran, en aquest cas Chema Alonso ha estat la víctima de les nostres preguntes. Amablement ha volgut dedicar un temps a contestar-nos en exclusiva, cosa que agraïm coneixent la seva agenda.
Crec que Chema Alonso, un dels nostres hackers nacionals més populars, No necessita presentació i entenguin per «hacker» el veritable significat de la paraula. Als que no ho coneguin, podeu saber més sobre ell googlejant i us animo a que accediu al seu blog, on trobareu interessants posts sobre seguretat. ja sabeu Elladodelmal us espera. Mentrestant, pots llegir el que ens ha contestat.
Linux Adictos: 1- La primera pregunta és obligada ... Pablo Motos, Jordi Évole, Mamen Mendizábal i ara jo. Què t'ha passat, Chema?
Chema Alonso: Jo procuro atendre a tothom. Contestar tothom els correus electrònics i els missatges que em ponene. És cert que no dono a bast. Em posen missatges a Twitter, Facebook, Google+, Youtube, Instragram, el bloc, el correu electrònic, etcètera, i m'és totalment impossible treure temps per respondre a tots, però juro que ho intento. Quant als periodistes, la veritat és que he tingut d'estar amb alguns molt bons a la Televisió, però altres també molt bons en premsa i en el món d'Internet. Si sac temps, responc a les entrevistes.
LxA: 2-Tinc entès que has estat professor de Linux i durant la teva carrera has treballat amb distribucions Linux. Què t'agrada i que t'agradaria canviar d'ell?
CA: Sí, és cert. He estat professor de GNU / Linux molts anys i he donat molts cursos de RedHat - que era el que més avançat era a finals dels 90 -. De GNU / Linux m'agrada que pots muntar moltes coses amb aquests sistemes, la modularitat que hi ha per fer-ho al teu gust, i la quantitat d'eines que hi ha. Distribuiciones amb Kali Linux, CentOS, Ubuntu o Debian són exemples de com un mateix core es pot adaptar a molts entorns diferents. No m'agrada la religió que alguns professen amb el programari lliure i la manca d'algunes eines de gestió empresarial i entorns d'usuari. Aquí segueixo preferint sistemes Microsoft Windows o sistemes OS X.
LxA: 3-Com és freqüent, el codi obert desperta simpaties i odi. Alguns pensen que és de mala qualitat o que és més insegur que el tancat. Què li diries als que opinen això?
CA: Qualsevol d'aquestes afirmacions, per si mateixa, és un error. L'important no és si el codi és obert o tancat, sinó el que es faci amb ell. Hi ha projectes molt de programari lliure molt elaborats i treballats, i altres que no ho són. Pensar que un projecte perquè sigui OpenSource serà auditat per tot el món no és veritat. Cal fer molt més que això. A més, per molt que es tingui el codi font, descobrir els errors de seguretat és una cosa que pot ser que aparegui només quan el codi està compilat per a una determinada arquitectura i executat en un determinat entorn. Per això es fan servir les tècniques de fuzzing.
D'altra banda, el codi font i les actualitzacions de seguretat en els projectes Open Source, obre una finestra d'oportunitat als cercadors d'0days a l'hora de generar gestes abans que hi hagi el pegat que ho soluciona en el binari distribuïble. Ho hem vist en molts casos. La meva opinió és que, sigui OpenSource o no, el que importa és la qualitat del programari i si el programari ho hem fet a la nostra empreses per a la nostra seguretat, a més de auditar-bé, prefereixo que el codi font es quedi a casa} :).
LxA: 4-Ets propietari de 0xWord. Tinc diversos títols sobre seguretat vostres i recomano a tots que es donin una passejada per la web. És una llibreria una mica atípica, perquè doneu oportunitats a nous escriptors que vulguin publicar el seu llibre sobre seguretat o altres temes. El programari lliure també ofereix moltes oportunitats i crec que és vital per a l'educació. No creus que les empreses que desenvolupen programari propietari s'haurien de replantejar obrir el seu codi?
CA: Moltes ja ho fan, però no crec que hagi de ser una cosa majoritari. Avui dia hi ha disponibles quantitats enormes de codi font publicat, el que és una gran ajuda per aprendre. Crec que una empresa ha d'obrir el seu codi en certes circumstàncies, però no crec que hagi de ser l'únic camí. Pot ser que una petita empresa obri el seu codi lliure i després ho aprofiti una gran empresa millorant i explotant sense que la petita empresa pugui competir per a això. Crec que per a un estudiant o un professional fer programes de codi obert és una gran carta de presentació, i per a les empreses pot ser una forma de fer comunitat i posicionar millor el producte, però no és l'únic camí.
LxA: 5-I a col·lació de l'anterior pregunta. El nostre bloc està orientat a el programari lliure i Linux, però últimament estem escrivint bastant sobre Microsoft. Ha obert algun dels seus projectes, han aparegut algunes declaracions que ens han sorprès, llancen .NET Core i Visual Studio Code per a Linux i es rumoreja que es discuteix internament sobre un Windows open-source. T'agradaria veure un Windows de codi obert?
CA: Microsoft ja té gran part del seu codi obert, i és probable que en el futur obri més. Potser el treguin en el futur codi obert, però no crec que ho facin a curt - potser m'equivoqui -. A dia d'avui, el sistema operatiu Windows segueix tenint moltes vendes respecte als seus competidors, i en gran mesura és per com fan les coses en el nucli i en la capa d'sistema operatiu. És un avantatge competitiu que volen posicionar per lluitar contra altres sisemas com Android, iOS o OS X que tenen altres avantatges competitives.
LxA: 6-Està darrere d'Eleven Paths, una companyia sobre seguretat digital i que sorgeix d'Informàtica 64 i Telefónica. Aquesta última companyia, amb la qual tens relació, va apostar pel sistema operatiu Firefox OS per a dispositius mòbils. Què opines del Firefox US i quins avantatges li veus sobre iOS, Android, Tizen, ...?
CA: No només tinc relació amb Telefónica, és que treball a Telefónica. La companyia aposta des de fa molt temps per la llibertat d'elecció dels usuaris i la neutralitat a la xarxa. I mentre que algunes companyies parlen de neutralitat a la xarxa per crear serveis amb iguals possibilitats, fan els seus sistemes menys interoperables dia a dia. Moure la teva vida digital d'iOS a Android o d'Android a Windows Phone és un dolor. No són res interoperables per a res. L'aposta de Telefónica és donar suport a un ecosistema més ampli i menys tancat, per això es va apostar per Firefox OS i se segueix donant suport. L'avantatge és que darrere d'ell està Mozilla Foundation creant un ecosistema d'Webapps que puguin córrer en qualsevol sistema. Aquesta és l'avantatge que els «bojos» de Mozilla volen potenciar.
LxA: 7-Parlem ara de FOCA. És un programari meravellós, però des del nostre punt de vista té un "bug" que no ha estat corregit. No està disponible per a Linux! Podem executar-lo des de Wine, comptar amb altres eines o amb MetaShield Analyzer, però tot i així ho trobem a faltar. Hi moltíssimes eines per pentesting, anàlisi forense, etc., per a Linux. També hi ha moltes distros com Kali, Parrot US, Santoku, DEFT, i un llarg, etc. Sens dubte Linux és molt important en aquest apartat. Per què has decidit no portar FOCA?
CA: Mai portem FOCA per falta de recursos, ara estem pensant en alliberar el codi en .NET i que la gent decideixi si el vol compilar per a Linux amb el nou anunci de Microsoft o millorar-lo dia a dia. Haureu d'esperar una mica.
LxA: 8-NeXT va decidir crear un sistema operatiu Unix, que després seria el germen de Mac OS X quan Apple va adquirir la companyia. Unix és sens dubte un gran sistema i Microsoft va coquetejar amb ell amb Xenix. Però finalment va aparèixer Windows NT (OS / 2). Creus que si Windows fos avui un * nix seria millor?
CA: No, ni molt menys. Microsoft no «va coquetejar» amb UNIX, Microsoft va construir XENIX que es va vendre a Santa Cruz Operation i SCO UNIX es va convertir en l'UNIX més desplegat de el món. El nucli de Windows és una meravella i així ho demostra el funcionament i l'experiència d'usuari que es té amb els nuclis 6.x.
De tota manera, pensar que el nucli de Windows i el de UNIX es diferencien en molt ... és un error. Hi ha una conferència genial de Mark Russinovich que es diu «A tale of two Kernels» en què analitza el que tenen els nuclis NT de Windows i els de Linux, i sorprèn veure el quasi exactes que són.
De fet, m'encanta una frase que va dir Linux Torvalds fa anys en una conferència en la qual li preguntaven per què els desenvolupadors de el nucli eren una comunitat que canviava tan poc de cares i incorporava poca gent nova. Ell va dir que, a més de no ser la comunitat més simpàtica, el temps de solucions senzilles a problemes senzills en la creació de nuclis monolítics fa anys que va passar.
LxA: 9-Sempre et escolto dir que s'ha d'utilitzar un antivirus. No només en Windows, també en altres plataformes com Mac OS X. Molts diuen que un antivirus en Linux només serveix per alentir l'equip. Quin consell li dóna als linuxers sobre això i què antivirus els recomanes?
CA: Que si el tema és alentir el sistema, que treguin el tallafocs, les proteccions de tot el sistema operatiu ... ia córrer! } :)
LxA: 10 - I la última la més difícil de totes. Ha estat aquesta la pitjor entrevista de la seva vida? ; p
CA: Nooo, ni molt menys. M'han arribat a preguntar tantes ximpleries ... Un cop a un periodista de ràdio li vaig dir: «Per favor, no em preguntis això que és una bestiesa». Hi ha vegades que els escric les preguntes que m'han de fer perquè pugui explicar-se correctament les coses d'actualitat. Si jo expliqués ....
Un plaer comptar amb gent com Chema Alonso per a la nostra sèrie d'entrevistes i que, a més, en aquest cas ens porta una bona notícia per al futur i és que potser tinguem FOCA per a GNU / Linux ...
Gran feina , Linux Adictos :3 salutacions.
Doncs un munt de gent pensa el contrari a aquest mercenari de Telefónica i fidel seguidor dels nucli NT, i és que un codi obert permet la innovació i l'evolució d'un programari, i per poc que sigui auditat, és menys propens als 0 -days.
Què fa que un codi obert sigui menys propens a 0days, per molt poc auditat que estigui? I de la mateixa manera .. què fa que sigui innovador i permeti la seva evolució si està poc auditat o genera poc interès en la comunitat? raoni el seu comentari.
m'imagino que ho diu per que d'un 100% que fa servir codi obert ni el 10% ha d'analitzar el codi talves a casa teva si ho analitzis però només entres en aquest 10%.
Mercenari de Microsoft, si un cas.
¿Que Telefónica aposta per la neutralitat de la xarxa? Que ho digui al seu cap, César Alierta, a veure com es riu (etílicamente, és clar). De el Sr. Alonso un no pot esperar massa crítiques als seus ocupadors; però, no és difícil trobar-li vorejant el ridícul per defensar-los. Amb això de la millor seguretat dels sistemes tancats, suposo que es referirà als d'empreses o entitats de fiar, no a la seva benvolguda Microsoft (o Apple, Google o tants altres) per les pràctiques contra els seus clients ha quedat tantes vegades desemmascarada ( des de molt abans de PRISM fins ara, amb la informació que envia Windows 10, tant si el client ho accepta com si marca a tot que no)
confons privacitat amb forats de seguretat (fallades anem) i en errors ÉS EL QUE MENYS TÉ
És que també és un tipus de forat de seguretat, ja sigui intencionat, extern, etc però ho és.
Chema és el puto amo!
Vagi fanwin aquest hack no? XD
Enhorabona! molt bona l'entrevista.
Camina, el comentari d'Usuari és una mica antic, avui dia el no auditar el codi va dur a moltíssimes vulnerabilitats en 2014. Vulnerabilitats que portaven més de 20 anys i ningú deia res, moltes vulnerabilitats zero Day que no s'han descobert per investigadors ètics , ja estan en mans d'empreses i delinqüents que se les venen a les autoritats de cada país, aquí s'acaba el mite de el codi obert
Vaig estar en una conferència on va presentar el seu programa FOCA, i va dir q li havia posat aquest nom perquè les foques mengen pingüins xD
Crec que és una resposta molt pobre la de l'antivirus, sobretot per a una persona que està considerada de les millors en seguretat. Posar el consum de l'tallafocs a el nivell de el d'un antivirus és ridícul, a més de no haver respost a la pregunta d'una manera coherent, com per exemple:
Per a una persona corrent l'ús d'un antivirus en linux pot ser pesat, i poc eficaç, però per a una empresa és un requisit de seguretat essencial.
foca no ho va fer el. ja que el programa ho coneixia abans que el ho usés. ja es feia servir per esbrinar coses en les metadades.