Nuestra entrevista de esta semana es para otro grande, en este caso Chema Alonso ha sido la víctima de nuestras preguntas. Amablemente ha querido dedicar un tiempo a contestarnos en exclusiva, algo que agradecemos conociendo su agenda.
Creo que Chema Alonso, uno de nuestros hackers nacionales más populares, no necesita presentación y entiendan por «hacker» el verdadero significado de la palabra. A los que no lo conozcan, podéis saber más sobre él googleando y os animo a que accedáis a su blog, donde encontraréis interesantes posts sobre seguridad. Ya sabéis Elladodelmal os espera. Mientras tanto, puedes leer lo que nos ha contestado.
Linux Adictos: 1- La primera pregunta es obligada… Pablo Motos, Jordi Évole, Mamen Mendizábal y ahora yo. ¿Qué te ha pasado, Chema?
Chema Alonso: Yo procuro atender a todo el mundo. Contestar a todo el mundo los correos electrónicos y los mensajes que me ponene. Es cierto que no doy a basto. Me ponen mensajes en Twitter, Facebook, Google+, Youtube, Instragram, el blog, el correo electrónico, etcétera, y me es totalmente imposible sacar tiempo para responder todos, pero juro que lo intento. En cuanto a los periodistas, la verdad es que he tenido de estar con algunos muy buenos en Televisión, pero otros también muy buenos en prensa y en el mundo de Internet. Si saco tiempo, respondo a las entrevistas.
LxA: 2-Tengo entendido que has sido profesor de Linux y durante tu carrera has trabajado con distribuciones Linux. ¿Qué te gusta y que te gustaría cambiar de él?
C.A.: Sí, es cierto. He sido profesor de GNU/Linux muchos años y he dado muchos cursos de RedHat – que era el que más avanzado estaba a finales de los 90 -. De GNU/Linux me gusta que puedes montar muchas cosas con estos sistemas, la modularidad que existe para hacerlo a tu gusto, y la cantidad de herramientas que hay. Distribuiciones con Kali Linux, CentOS, Ubuntu o Debian son ejemplos de cómo un mismo core se puede adaptar a muchos entornos distintos. No me gusta la religión que algunos profesan con el software libre y la falta de algunas herramientas de gestión empresarial y entornos de usuario. Ahí sigo prefiriendo sistemas Microsoft Windows o sistemas OS X.
LxA: 3-Como es frecuente, el código abierto despierta simpatías y odio. Algunos piensan que es de mala calidad o que es más inseguro que el cerrado. ¿Qué le dirías a los que opinan eso?
C.A.: Cualquiera de estas afirmaciones, por sí misma, es un error. Lo importante no es si el código es abierto o cerrado, sino lo que se haga con él. Existen proyectos muy de software libre muy elaborados y trabajados, y otros que no lo son. Pensar que un proyecto porque sea OpenSource va a ser auditado por todo el mundo no es verdad. Hay que hacer mucho más que eso. Además, por mucho que se tenga el código fuente, descubrir los bugs de seguridad es algo que puede que aparezca solo cuando el código está compilado para una determinada arquitectura y ejecutado en un determinado entorno. Por eso se usan las técnicas de Fuzzing.
Por otro lado, publicar el código fuente y las actualizaciones de seguridad en los proyectos Open Source, abre una ventana de oportunidad a los buscadores de 0days a la hora de generar exploits antes de que exista el parche que lo soluciona en el binario distribuible. Lo hemos visto en muchos casos. Mi opinión es que, sea OpenSource o no, lo que importa es la calidad del software y si el software lo hemos hecho en nuestra empresas para nuestra seguridad, además de auditarlo bien, prefiero que el código fuente se quede en casa }:).
LxA: 4-Eres propietario de 0xWord. Tengo varios títulos sobre seguridad vuestros y recomiendo a todos que se den un paseo por la web. Es una librería algo atípica, porque dais oportunidades a nuevos escritores que quieran publicar su libro sobre seguridad u otros temas. El software libre también ofrece muchas oportunidades y creo que es vital para la educación. ¿No crees que las empresas que desarrollan software propietario se deberían replantear abrir su código?
C.A.: Muchas ya lo hacen, pero no creo que deba ser algo mayoritario. Hoy en día hay disponibles cantidades enormes de código fuente publicado, lo que es una gran ayuda para aprender. Creo que una empresa debe abrir su código en ciertas circunstancias, pero no creo que deba ser el único camino. Puede ser que una pequeña empresa abra su código libre y luego lo aproveche una gran empresa mejorándolo y explotándolo sin que la pequeña empresa pueda competir para ello. Creo que para un estudiante o un profesional hacer programas de código abierto es una gran carta de presentación, y para las empresas puede ser una forma de hacer comunidad y posicionar mejor el producto, pero no es el único camino.
LxA: 5-Y a colación de la anterior pregunta. Nuestro blog está orientado al software libre y Linux, pero últimamente estamos escribiendo bastante sobre Microsoft. Ha abierto alguno de sus proyectos, han aparecido algunas declaraciones que nos han sorprendido, lanzan .NET Core y Visual Studio Code para Linux y se rumorea que se discute internamente sobre un Windows open-source. ¿Te gustaría ver un Windows de código abierto?
C.A.: Microsoft ya tiene gran parte de su código abierto, y es probable que en el futuro abra más. Tal vez lo saquen en el futuro open source, pero no creo que lo hagan a corto – tal vez me equivoque -. A día de hoy, el sistema operativo Windows sigue teniendo muchas ventas con respecto a sus competidores, y en gran medida es por cómo hacen las cosas en el kernel y en la capa del sistema operativo. Es una ventaja competitiva que quieren posicionar para luchar contra otros sisemas como Android, iOS u OS X que tienen otras ventajas competitivas.
LxA: 6-Está detrás de Eleven Paths, una compañía sobre seguridad digital y que surge de Informática 64 y Telefónica. Ésta última compañía, con la que tienes relación, apostó por el sistema operativo Firefox OS para dispositivos móviles. ¿Qué opinas de Firefox OS y qué ventajas le ves sobre iOS, Android, Tizen,…?
C.A.: No solo tengo relación con Telefónica, es que trabajo en Telefónica. La compañía apuesta desde hace mucho tiempo por la libertad de elección de los usuarios y la neutralidad en la red. Y mientras que algunas compañías hablan de neutralidad en la red para crear servicios con iguales posibilidades, hacen sus sistemas menos interoperables día a día. Mover tu vida digital de iOS a Android o de Android a Windows Phone es un dolor. No son nada interoperables para nada. La apuesta de Telefónica es apoyar un ecosistema más amplio y menos cerrado, por eso se apostó por Firefox OS y se sigue apoyando. La ventaja es que detrás de él está Mozilla Foundation creando un ecosistema de Webapps que puedan correr en cualquier sistema. Esa es la ventaja que los «locos» de Mozilla quieren potenciar.
LxA: 7-Hablemos ahora de FOCA. Es un software maravilloso, pero desde nuestro punto de vista tiene un “bug” que no ha sido corregido. ¡No está disponible para Linux! Podemos correrlo desde Wine, contar con otras herramientas o con MetaShield Analyzer, pero aun así lo echamos de menos. Existen muchisimas herramientas para pentesting, análisis forense, etc., para Linux. También hay muchas distros como Kali, Parrot OS, Santoku, DEFT, y un largo, etc. Sin duda Linux es muy importante en este apartado. ¿Por qué has decidido no portar FOCA?
C.A.: Nunca portamos FOCA por falta de recursos, ahora estamos pensando en liberar el código en .NET y que la gente decida si lo quiere compilar para Linux con el nuevo anuncio de Microsoft o mejorarlo día a día. Tendréis que esperar un poco.
LxA: 8-NeXT decidió crear un sistema operativo Unix, que luego sería el germen de Mac OS X cuando Apple adquirió la compañía. Unix es sin duda un gran sistema y Microsoft coqueteó con él con Xenix. Pero finalmente apareció Windows NT (OS/2). ¿Crees que si Windows fuese hoy un *nix sería mejor?
C.A.: No, ni mucho menos. Microsoft no «coqueteó» con UNIX, Microsoft construyo XENIX que se vendió a Santa Cruz Operations y SCO UNIX se convirtió en el UNIX más desplegado del mundo. El kernel de Windows es una maravilla y así lo demuestra el funcionamiento y la experiencia de usuario que se tiene con los kernels 6.x.
De todas formas, pensar que el kernel de Windows y el de UNIX se diferencian en mucho… es un error. Hay una conferencia genial de Mark Russinovich que se llama «A tale of two Kernels» en la que analiza lo que tienen los kernels NT de Windows y los de Linux, y sorprende ver lo cuasi exactos que son.
De hecho, me encanta una frase que dijo Linux Torvalds hace años en una conferencia en la que le preguntaban por qué los desarrolladores del kernel eran una comunidad que cambiaba tan poco de caras e incorporaba poca gente nueva. Él dijo que, además de no ser la comunidad más simpática, el tiempo de soluciones sencillas a problemas sencillos en la creación de kernels monolíticos hace años que pasó.
LxA: 9-Siempre te escucho decir que se debe utilizar un antivirus. No solo en Windows, también en otras plataformas como Mac OS X. Muchos dicen que un antivirus en Linux solo sirve para ralentizar el equipo. ¿Qué consejo le da a los linuxeros sobre esto y qué antivirus les recomiendas?
C.A.: Que si el tema es ralentizar el sistema, que quiten el firewall, las protecciones de todo el sistema operativo… y a correr! }:)
LxA: 10 – Y la última la más difícil de todas. ¿Ha sido esta la peor entrevista de su vida? ;p
C.A.: Nooo, ni mucho menos. Me han llegado a preguntar tantas tonterías… Una vez a un periodista de radio le dije: «Por favor, no me preguntes eso que es una chorrada». Hay veces que les escribo las preguntas que me tienen que hacer para que pueda explicarles correctamente las cosas de actualidad. Si yo contara….
Un placer contar con gente como Chema Alonso para nuestra serie de entrevistas y que, además, en este caso nos trae una buena noticia para el futuro y es que tal vez tengamos FOCA para GNU/Linux…
Gran trabajo , Linux Adictos :3 saludos.
Pues un montón de gente piensa lo contrario a este mercenario de Telefónica y fiel seguidor de los kernel NT, y es que un código abierto permite la innovación y la evolución de un software, y por poco que sea auditado, es menos propenso a los 0-days.
Qué hace que un código abierto sea menos propenso a 0days, por muy poco auditado que esté? Y de la misma manera.. qué hace que sea innovador y permita su evolución si está poco auditado o genera poco interés en la comunidad? razone su comentario.
me imagino que lo dice por que de un 100% que usa codigo abierto ni el 10% ha de analizar el codigo talves en tu casa si lo analices pero solo entras en ese 10%.
Mercenario de Microsoft, si un caso.
¿Que Telefónica apuesta por la neutralidad de la red? Que se lo diga a su jefe, César Alierta, a ver cómo se ríe (etílicamente, claro). Del Sr. Alonso uno no puede esperar demasiadas críticas a sus empleadores; sin embargo, no es difícil encontrarle bordeando el ridículo para defenderlos. Con lo de la mejor seguridad de los sistemas cerrados, supongo que se referirá a los de empresas o entidades de fiar, no a su bienamada Microsoft (o Apple, Google o tantos otros) por cuyas prácticas contra sus clientes ha quedado tantas veces desenmascarada (desde mucho antes de PRISM hasta ahora, con la información que envía Windows 10, tanto si el cliente lo acepta como si marca a todo que no)
confundes privacidad con agujeros de seguridad (fallos vamos) y en fallos ES EL QUE MENOS TIENE
Es que también es un tipo de agujero de seguridad, ya sea intencionado, externo, etc pero lo es.
Chema es el puto amo!
Vaya fanwin este hack no? XD
Enhorabuena! muy buena la entrevista.
Anda, el comentario de Usuario es un poco antiguo, hoy en día el no auditar el código llevó a muchísimas vulnerabilidades en 2014. Vulnerabilidades que llevaban más de 20 años y nadie decía nada, muchas vulnerabilidades zero Day que no se han descubierto por investigadores éticos, ya están en manos de empresas y delincuentes que se las venden a las autoridades de cada país, ahí se acaba el mito del código abierto
Estuve en una conferencia donde presento su programa FOCA, y dijo q le habia puesto ese nombre por que las focas comen pinguinos xD
Creo que es una respuesta muy pobre la del antivirus, sobre todo para una persona que esta considerada de las mejores en seguridad. Poner el consumo del firewall al nivel del de un antivirus es ridículo, además de no haber respondido a la pregunta de una forma coherente, como por ejemplo:
Para una persona corriente el uso de un antivirus en linux puede ser pesado, y poco eficaz, sin embargo para una empresa es un requisito de seguridad esencial.
foca no lo hizo el. ya que el programa lo conocia antes de que el lo usara. ya se usaba para averiguar cosas en los metadatos.