Entrevista de Humanlinks a David Mora: Experto en seguridad de la información.

Publicado: agosto 11, 2010 en Uncategorized

Entrevista de Humanlinks a David Mora experto en seguridad de la información:

Hoy hablamos con el Ingeniero electrónico David Mora quien es un experto y consultor en el área de la seguridad informática, David tiene una Maestría en seguridad de la información, y además a estado en eventos de tal magnitud como el Defcon y el Black hat, además hace parte del equipo el Hacklab.

Hace cuanto estas en el cuento de la seguridad informática y que lo motivo a ingresar en esta área. Cuentanos de las experiencias vividas en esta?

Ingrese en el mundo de la seguridad mas o menos en el año 95 donde habían unos exploits que se podían obtener..Eran unos exploits de hacer clic y ellos corrían cierto ataque a una vulnerabilidad en los sistemas de Microsoft donde se generaba una denegación de servicios, en esa época todo era muy incipiente donde yo no contaba con los conocimientos para entender de que se trataba pero básicamente esos fueron mis primeros contactos con el tema de la seguridad y esa sensación de utilizar los sistemas de una forma en que no habían sido destinados para ser utilizados.

Con tantas cosas que hacer, usted como administra su tiempo para trabajar elaborar conversaciones, laboratorios y otros proyectos como el Hacklab?

Eso me lo preguntan muchas veces, entonces hay que empezar a utilizar esas horitas entre las 12:00 AM a 6:00 AM 🙂

Que nivel en cuanto a la seguridad de la información tiene Colombia en comparación con otros países latinos y que nos hace falta para estar a un nivel de países como Estados Unidos?

Bueno la verdad es que como en todos los países, podemos encontrar profesionales que están bien preparados, que todavía tienen un camino que recorrer, la sorpresa que yo me he encontrado es que no estamos tan atrás, tenemos gente que sabe que es lo que esta haciendo, la seguridad es un mundo demasiado grande, hay expertos en cada un a de las áreas y pues vamos creciendo. Aplica tanto para países latinoamericanos que pueden estar en una escala de crecimiento similar a la de nosotros, como con otros profesionales Estadounidenses, pero podemos decir que podemos competir con ellos en este tema de la seguridad y temas profundos. De pronto a mi me parece que uno de los problemas que tenemos aquí en Colombia es esa falta de confianza en los productos que nosotros somos capaz de desarrollar y tal vez si pudiéramos vencer esa barrera, las cosas serian mucho mejor.

Sabemos que la vulnerabilidad mas grande que puede tener una compañía es el factor humano, por ataques como la ingeniería social, y otras técnicas. Que contra medidas hay para este factor y cuales nos aconsejas?

Yo creo que todos vamos a estar de acuerdo en que para combatir los problemas de errores humanos no hay otra vía que la formación y conciencia en cuanto a la seguridad, pero este tema no solo aplica a los ataques de ingeniería social, sino a como la falta de entrenamiento de los administradores de sistemas, a los desarrolladores de dispositivos y de productos en los que no se es muy consciente de los riesgos y de las cosas que pueden llegar a suceder sino se tienen unas buenas practicas en cual sea el área en la que se este desenvolviendo una persona.

Quisiéramos saber cuales son los pasos para realizar un análisis de vulnerabilidades?, y cuentenos buenas practicas sobre este tema.

Un análisis de vulnerabilidades digamos que se puede entender de muchas formas y todo depende de cual sea el propósito de ese análisis de vulnerabilidades, de todas formas como quiera que sea se debería pasar por una etapa de recolección de información y tal vez es la parte mas importante, conocer bien si se esta realizando una prueba de intrusión entonces que es el objetivo, quien es el objetivo. Si se esta haciendo un análisis de vulnerabilidades de procesos organizacionales buscando una acreditación de alguna normatividad de cualquiera que sea, pues entonces conseguir toda la información que rodea ese proceso y a los activos de información que hay allí, y lo mismo si se están haciendo unas pruebas a un producto que se este desarrollando, entonces comprender bien eso que estamos haciendo, y esto puede sonar un poco obvio pero en la practica cuando un desarrollador se enfrenta a la tarea de darle alguna capacidad a la tarea que esta haciendo voy a poner un ejemplo: Quiere incluir comunicaciones inalámbricas con un protocolo distribuido de pronto muchos desarrolladores se quedan en simplemente usemos una biblioteca y no estudian bien en que consiste la tecnología que están usando, entonces un análisis de vulnerabilidades debería empezar por una fuerte recolección de información y pues con esa información empezar a armar las piezas y mirar donde si están y donde no están las vulnerabilidades.

En cual área de la seguridad de la información se orienta mas, y porque?

A mi el área que me parece mas fascinante es la manipulación de memoria de los sistemas operativos para explotar objetivos, sobre todo el tema de desarrollar ese tipo de vulnerabilidades, entonces es un poco de bajo nivel de ensamblador…. Eso es como lo que me gusta y el motivo es que me parece fascinante y no hay otro motivo para eso.

Cuentanos un caso de cibercrimen que halla marcado un hito en la seguridad de la información?

No se… Digamos que cada caso de cibercrimen, ni siquiera de cibercrimen sino cada tendencia nueva o cada vulnerabilidad descubierta marca un paso mas en la obtención de sistemas mas seguros en el desarrollo de nuevas técnicas de ataque. Innegablemente la seguridad siempre sera una carrera del gato y el ratón siempre habrán nuevos fabricantes, o los viejos fabricantes anunciando nuevos productos que contrarestan las medidas anteriores y siempre habrán nuevas estrategias para burlar las nuevas medidas de seguridad, entonces mas que mencionar algo de la historia; Hace poco se acaba de liberar una vulnerabilidad que puede afectar a todas las redes 3GSM, y que permitiría a una persona con el equipo adecuado escuchar conversaciones de manera no autorizada y va a golpear fuertemente a los proveedores de este servicio.

Con que deberíamos tener mas cuidado cuando estamos navegando por la red?

Es como todo en seguridad; Se trata de conocer bien los riesgos y por eso siempre que se habla de seguridad van a ver que todos los autores mencionan las palabra “riesgo” allí. Entonces si los riesgos de un navegador son la inyección de código en el mismo la descarga de código malicioso, la divulgación de información personal… Pues entonces eso es lo que hay que estar cuidando, como? Conociendo entonces cuales con las medidas de seguridad que aporta el navegador o el sistema que están usando, verificando que si sean adecuadas porque no todos los sistemas ofrecen las mismas condiciones de seguridad y validando los avisos que el navegador va diciendo. El ejemplo mas claro es cuando las paginas no aportan un certificado de seguridad valido y las personas ni siquiera nos tomamos la tarea de revisar que es lo que esta pasando allí, habrá excepciones donde no tiene importancia pero a veces puede ser crucial que el certificado sea verificado por la persona que este usando el navegador mas allá de si el navegador es capaz o no es capaz de validarlos

Nosotros que estamos interesados en este tema de la seguridad: Tenemos que aprender de programación para conocer de seguridad? Si quiero ser experto en seguridad que debo estudiar?. Concejos para aquellos jóvenes que estamos decidiendo ingresar en esta área de la seguridad de la información.

Voy a responder la pregunta de la mitad primero, y es: Que debería estudiar para entrar en el área de la seguridad? Y yo respondería: Todo lo que se pueda. Una de las cosas que a mi me parecen mas interesantes de la seguridad es que es un campo donde se puede abarcar muchos campos de tecnología, se necesita para ser competitivo tener conocimiento de muchas cosas, el que estudiar siempre esta dirigido por las inclinaciones de cada persona, por eso me hacías la pregunta de que “cual era mi área de interés”. Todas las personas que vas a conocer en el área de la seguridad van a tener una área especifica diferente y van a enfocar sus estudios hacia allá. Ya con eso entonces respondo la primera pregunta de si alguien debe saber de programación? Si porque de trata de saber todo lo que se pueda y mas porque la programación da una visión muy especial de como es que se construyen las cosas, es probable que todas las buenas aptitudes de un desarrollador no las logre desarrollar un experto en seguridad en cuanto a tener la destreza de hacer algoritmos rápidamente de conocer la respuesta a las preguntas, pero lo que si es cierto es que es necesario conocer como se escriben las cosas en necesario comprender como se hacen los sistemas para llegar a poder determinar cuales sos sus vulnerabilidades y donde pueden llegar a estar el error humano que al final es el que crea todos los agujeros de seguridad: Los sistemas no se equivocan, se equivocan las personas que los construyen.

Que tipos de ataques son mas comunes, y que sistemas operativos son mas vulnerables a estos?

Yo hoy en día diría que el sistema mas susceptible es el que estas usando, entonces como así? Pues si estas usando un celular Symbian, es vulnerable, si estas usando un equipo Windows es vulnerable, si esta usando un equipo con Linux, es vulnerable, todos los sistemas tienen mas o menos vulnerabilidades en muchos campos. Los ataques mas comunes varían dependiendo del escenario: Si estamos en el hogar pues no tiene mucho sentido ataque a servicios, pero si tiene mucho sentido ataques de tipo malware, manipulación de trafico en la red….Esas cosas…En todo hay que procurar por tener los sistemas parcheados, debemos tener unas medidas de seguridad proporcionales a lo que estamos arriesgando,básicamente de esto se trata, pero no hay algo que se diga esto es seguro o siempre va a estar seguro y en mi concepto personal no va a existir tal panacea.

Bueno David muchas gracias por compartir su tiempo con nosotros, esperamos entonces vernos pronto.

Muchas gracias a ustedes, y vengan a el Hacklab.

Agradecimientos especiales:

A nuestro compañero de equipo: Yeison Stiven Ramirez…… Que por errores de edición no apareció en el vídeo…. Pero que estuvo mas que presente 🙂

Anuncios
comentarios
  1. Jose Bran dice:

    Muy bueno.

    Felicitaciones por el blog.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s