David Hernández (Dabo), Co-fundador y responsable del área de Hacking de APACHEctl

Hoy tengo el placer de entrevistar a un amigo muy especial David Hernandez (@daboblog), es uno de los profesionales más reconocidos del sector.

Co-fundador y responsable del área de Hacking en APACHEctl, empresa especializada en administración, seguridad y optimización de servidores web bajo GNU/Linux. Se inició en Internet con el proyecto Daboweb, una comunidad de ayuda y seguridad informática que ha cumplido 16 años en el 2018. Es también uno de los fundadores y editores de DebianHackers.

Ha impartido durante dos años el módulo de “Seguridad en Servidores Web” de la Diplomatura de especialización en Seguridad de la Información de la Universidad de Deusto en Bilbao. Además, participa de forma regular impartiendo tanto talleres técnicos como ponencias en diferentes eventos de Seguridad. Su labor como formador y consultor está reflejada en: davidhernandez.es, su blog personal es daboblog.com. Aspirante a Alpinista, preocupado por la Privacidad propia y ajena.

Para quienes no le conozcáis, David es una persona muy especial que tiende la mano a todo el mundo con la voluntad de ayudar y compartir conocimientos. Es una maquina en todo lo que se propone 😉

Os dejo con la entrevista, ¡disfrutadla!:

1.- ¿Qué es lo más complicado para destacar en tu profesión? ¿Qué tres consejos les darías a los que quieran seguir tus pasos?

Estar al día y no perder la perspectiva precisamente por ese «día a día» que a veces te absorbe.

Sobre los consejos a los que aludes, los daré más bien a nivel general, ya que no considero que seguir mis pasos sea lo más adecuado

– Que tengan una mente abierta y un pensamiento escéptico no dando nada por hecho.
– Que escriban y compartan información sobre lo que estén investigando o estudiando, es muy enriquecedor en todos los sentidos.
– Aprender bien las bases, protocolos, etc., pero también profundizar en algún campo determinado buscando la especialización.

2.- ¿Cuál ha sido tu mejor día profesional?

La verdad es que tengo en la mente varios, pero en APACHEctl hace unos años nos enfrentamos a un problema muy serio con un sistema virtualizado y replicado en 15 servidores que no habíamos montado nosotros, que fue hackeado realizando un «defacement» en casi el 100% de las webs hospedadas. Tuvimos que actuar muy rápido ya que el cliente, con toda la lógica del mundo, temía que el ataque pudiese afectar al resto de máquinas en cualquier momento (era una empresa de hosting). Fue muy complejo porque tuvimos que trabajar tanto a nivel de Kernel, como en otras capas. Tras 48 horas casi a full, pudimos dar con el vector de entrada (PHP) y reproducir toda la secuencia con el cliente de cómo se efectuaba la escalada de privilegios (root) y se realizaba el hackeo, pudiendo solventarlo. Fue muy gratificante.

3.- ¿Y el más duro?

Cualquiera de esos en los que pones todo de tu parte y no llegas a dar con la solución al problema al que te enfrentas, sabiendo que acabarás ese día sin resolverlo y no teniendo claro si al siguiente podrás con ello. Son momentos duros, pero afortunadamente (tras el consiguiente esfuerzo) suelen acabar bien (y es cuando más aprendes).

 4.- ¿De qué te sientes orgulloso actualmente?

De poder trabajar con Software Libre en mi día a día y ganarme la vida con ello.

5.-Un error que cometiste y del que has aprendido

Uno reciente. Además del «Hardening» en Servidores bajo GNU/Linux, también me dedico a hacer auditorías de seguridad tipo «Caja Negra». Siempre trabajo a fondo cuestiones aparentemente básicas y como muy elementales, pero en las que ves detalles y recopilas cuestiones que pueden marcar la diferencia para desde abajo, atacar a capas más altas. Pasé por alto algo muy fundamental ¿qué he aprendido? que tengo que documentar mejor mis procesos y ser más exhaustivo y metodológico en mis Pentest. No puedes confiar todo a tu memoria (que algunos tenemos ya el búfer un tanto desbordado-;) y el resultado es que ese «checklist» que cada uno tenemos, en mi caso es ahora más detallado.

 6.-Lo que más respeto te da del mundo digital en el que vivimos

Lo profesionalizada y efectiva que se está volviendo la industria del malware y el alto grado de exposición en innumerables frentes a los que se enfrenta la llamada «masa crítica» que se conecta a Internet diariamente desde múltiples dispositivos (plagado de IOT).

7.-Sobre los menores: ¿Están perdiendo los niños capacidades de socialización?,¿Son capaces los niños de divertirse sin recurrir a la tecnología? Algún consejo para los padres

Acabo de ser padre y ya empiezo a ver estas cuestiones con otro prisma. Mi hija, con 5 meses, no quita el ojo del móvil cuando lo usas y tanto su madre como yo, procuramos no usarlo delante de ella, tengo mucho que aprender. Si bien un uso racional de la tecnología puede llevar a que esos menores socialicen más, no es menos cierto que si no salen de la pantalla para socializar en persona con esas personas del mundo virtual, tendrán posiblemente una visión alejada de la realidad de las relaciones sociales.

Creo firmemente que son capaces de divertirse con tecnología «analógica» y es labor de los padres tanto fomentarlo, como enseñarles a divertirse también (cuando les toque) con lo digital.

Como consejo, quizá algo que me digo a mi mismo y que procuraré llevar a cabo. No me centraría sólo en la tecnología y cómo se usa, sino en fomentar una relación de respeto y confianza entre ambos. Creo que es la base de todo.

8.-¿Cuáles son las lagunas más importantes que tiene la gente de la calle con relación a seguridad en la red? ¿Y las empresas?

Posiblemente la mayor laguna sea aumentar su nivel de desconfianza y cómo gestionar su seguridad desde el móvil de turno, hasta el router de su casa. Un número muy alto de esos ataques se producen a través de engaños y técnicas de Ingeniería Social.

En las empresas, más que lagunas (que las hay) veo una falta de concienciación real sobre la importancia que tienen las auditorías de seguridad a todos los niveles, más allá del miedo que tengan a posibles sanciones cuando vulneran sus datos. Para mi, la Seguridad es un activo que tiene un valor. Habrá gente que diga (no sin razón) que no se valora, que está todo muy complicado, etc, etc, pero también hay que intentar diferenciarse y defender el trabajo bien hecho que hay detrás de las cosas.

Luego hay un error muy común, algunas empresas se empeñan en trabajar con Software pirateado o que ya no tiene soporte y lo mantienen tanto en entornos de producción como en estaciones de trabajos con los consiguientes riesgos. A muchas de ellas no les vendría nada mal aumentar su cuota de Software Libre en general y GNU/Linux en particular, con su consiguiente implementación / migración controlada y formación a los equipos de trabajo en sus respectivas áreas.

9.-¿Es la ciberseguridad cosa de hombres?

Para nada, que seamos más no quiere decir que seamos mejores, o que estemos más capacitados (justamente suele ser al revés).

10.- ¿Qué se debería cambiar para que más mujeres se animen a entrar en el mundo de la ciberseguridad?

Es algo que sobre lo que he reflexionado en muchas ocasiones y que sólo puede explicarse por el alto grado de Machismo existente en una Sociedad en la que la Mujer es ninguneada y sus derechos pisoteados continuamente.  Mientras no salgamos de esos patrones, veo difícil que algo cambie y ese: «no es no», hay que aplicarlo en todos los ámbitos de la vida.

11.-A dónde te gustaría llegar

Tengo unas cuantas Montañas por subir en mente -;)

12.-Tu próximo reto

Retomar el podcast y cumplir las expectativas de las personas que lo siguen.

«Muchas gracias María José por darme la oportunidad de participar en vuestro blog y un saludo para toda la gente que nos lee.»

 

Gracias a ti, por dejarte robar unos minutos y espero verte pronto 😛

Vulnerabilidades Web