Entrevista a Raúl Siles co-fundador de Taddong
Cuando se habla de redes inalámbricas es inevitable hablar de Taddong, una empresa referente sobre estos temas en nuestro idioma, quien ha estado presente en diversas charlas como Rooted-Con, conferencias First entre otras y que aporta constantemente información de calidad sobre redes inalámbricas.
Hoy tenemos el gusto de contar con Raul Siles, uno de los fundadores de la empresa Taddong, famosos, sobretodo por los temas de 3GS, UMTS, en fin conectividad enfocada a entornos móviles.
Buenas Raúl, es un placer tenerte aquí como entrevistado en la comunidad DragonJAR, para quien no lo sepa...
¿Quien es y a que se dedica Raúl Siles?
El placer es mío, y antes de nada, muchas gracias por el interés. Raúl Siles es una persona normal, aprendiz, apasionado por la tecnología y dedicado plenamente durante más de una década a la seguridad informática.
Gracias a mi padre, un auténtico hacker en el amplio sentido de la palabra (autodidacta, apasionado por los mecanismos y la tecnología, e interesado en conocer hasta el último detalle de como funcionan las cosas para ser capaz de modificarlas a su antojo y arreglarlas), tuve la oportunidad desde pequeño de experimentar con la informática y los ordenadores, empezando con el ZX-81 (precursor del famoso ZX Spectrum) y con los primeros clónicos de PC basados en la CPU Intel 8086.
Posteriormente, tras el instituto, y con bastante fortuna tanto en lo personal como en lo profesional, acabé estudiando la Licenciatura de Informática en la UPM de Madrid, muy bien acompañado.
En la parte profesional, tuve la oportunidad de comenzar mi carrera en HP, con acceso a multitud de tecnologías y entornos críticos, de nuevo muy bien acompañado, y con la posibilidad de centrar todo mi esfuerzo casi desde el principio en temas fundamentalmente técnicos de seguridad informática. Tras aquella etapa estuve unos años como consultor independiente haciendo los mismos servicios y, hace un par de años, decidimos fundar Taddong (www.taddong.com), con el objetivo de mejorar el estado de la seguridad de la información de nuestros clientes, poder seguir investigando, aprendiendo y disfrutando cada día de lo que nos gusta.
¿Puedes hablarnos del SANS, que cursos realizas allí?
SANS (www.sans.org) es una organización reconocida internacionalmente que proporciona formación técnica sobre seguridad de la información en diferentes áreas y tecnologías, con sus certificaciones asociadas (GIAC).
Desde el año 2005, tras obtener la certificación GSE, me pareció interesante ser instructor de SANS y he estado impartiendo diferentes cursos desde entonces, así como colaborando como autor. Durante los últimos años me he focalizado más en los diferentes cursos de penetration testing y ethical hacking.
Dado que es un área en el que desarrollamos gran parte de nuestros servicios en Taddong, he impartido cursos de pentesting en tecnologías inalámbricas, red, y aplicaciones web. Adicionalmente, en diciembre impartiré por primera vez en Europa el nuevo curso de pentesting y seguridad en dispositivos móviles (SEC575), que parece se va a constituir como un referente en este área tras el éxito que está teniendo en USA.
¿Que proyectos suele abarcar la empresa Taddong?
Ahora que reflexiono sobre ello, puedo decir que Taddong ha sido capaz de dedicarse a lo que inicialmente planteamos como nuestros servicios o proyectos objetivo. Principalmente nos centramos en tres áreas: servicios avanzados profesionales y consultoría, investigación de seguridad en nuevas tecnologías, y formación.
En el área de servicios el objetivo es ofrecer servicios avanzados con alta especialización técnica y de calidad. Pese a que no tenemos una limitación específica, dedicamos gran parte de nuestro tiempo a realizar pruebas de intrusión, de todo tipo, externas e internas, con un alcance muy concreto o que abarcan la totalidad de una organización, y sobre numerosas tecnologías. También analizamos nuevas soluciones o tecnologías de seguridad bajo petición, colaboramos en la investigación de incidentes, y estamos abiertos a cualquier propuesta.
En el área de investigación profundizamos en aquellas tecnologías que por un motivo u otro llaman nuestra atención (o la de nuestros clientes), destacando por ejemplo últimamente el área de tecnologías móviles, tanto de las comunicaciones como de los dispositivos móviles, o la autenticación y gestión de sesiones de las aplicaciones web basadas en smartcards, como el DNIe.
En el área de formación nos centramos en cursos técnicos de seguridad especializados, basados en nuestra experiencia profesional adquirida a través de las otras áreas, y a los que damos una orientación eminentemente práctica. Y todo esto con las 24 horas que los días ponen a nuestra disposición 😉
Dada tu perspectiva y experiencia, ¿Que opinas de la seguridad
informática en el ámbito Español?
La seguridad informática en España no es muy diferente a la de otros países, siendo siempre difícil justificar inversiones y dedicación al no obtenerse resultados claramente tangibles. Toda inversión en seguridad pretende eliminar o mitigar posibles riesgos sobre la organización o su información, algo que parece difuso, mientras que otro tipo de inversiones presentan resultados directos a corto plazo. La necesidad de seguridad suele identificarse a posteriori, cuando ya es demasiado tarde, aunque en realidad nunca es tarde si se desea estar protegido en el futuro.
Adicionalmente, es digna de destacar la calidad de los profesionales de seguridad existente en España, con nombres de reconocido prestigio a nivel internacional, gente aportando proyectos muy interesantes a la comunidad, y con una buena cantera promovida, entre otras, a través de las conferencias de seguridad nacionales, como RootedCON o NoConName.
Una diferencia notable entre España y otros países es la inversión en formación técnica en seguridad por parte de las empresas. Localmente se ve como un regalo o incluso un despilfarro, siendo muy frecuente frases del estilo de "… eso míratelo tú por tu cuenta y verás todo lo que aprendes…", frente a otros países, dónde se ve como una necesidad e inversión muy productiva, incluso en tiempos de crisis.
¿Que le dirías alguien que quiere empezar en el mundo de la seguridad?
Para empezar en el mundo de la seguridad más técnico (frente al mundo de gestión), es necesario conocer en detalle las tecnologías utilizadas en la actualidad, profundizando lo más posible en cómo funcionan. Es muy recomendable que alguien que quiera empezar en el mundo de la seguridad tenga un muy buen bagaje y experiencia técnica (a ser posible) en varios ámbitos, como la administración de redes, sistemas, aplicaciones, bases de datos, dispositivos, y desarrollo de software.
Asimismo, es muy recomendable abarcar las dos vertientes principales de la seguridad, ofensiva y defensiva. La parte ofensiva es siempre más atrayente para todo el mundo, mientras que la defensiva es la que realmente ofrece un nivel de protección efectivo. No es posible defenderse correctamente sin conocer en detalle los ataques y amenazas a los que estamos expuestos, y no es muy útil obtener resultados satisfactorios de los ataques si no sabemos como defendernos de ellos.
Por otro lado, e independientemente del área de seguridad, es muy positivo disponer de una mente inquieta, analítica y crítica, que se pregunte constantemente que pasaría si… en lugar de hacer esto hago esto otro, o si modifico la configuración del entorno de esta u aquella forma, etc, y que esté dispuesta a buscar soluciones.
Debe tenerse en cuenta que con los avances constantes de la tecnología, y en concreto de la investigación en seguridad, dónde nuevas vulnerabilidad, técnicas de ataque y defensa, herramientas, incidentes, etc, son publicadas cada semana, para ser un buen profesional de la seguridad es necesaria una dedicación completa y un elevado esfuerzo para estar al día. Sin duda se debe disfrutar de ello para no perder ese ansia de aprender y practicar con cosas nuevas.
¿MAC, Linux o WIndows? ¿Porque?
Linux, Mac y Windows, ¿porqué no? 🙂 (en orden alfabético para no levantar suspicacias).
En serio, para ser un buen profesional, sin limitaciones, la experiencia me ha enseñado la importancia de aprender y conocer cuantas más tecnologías mejor, y los sistemas operativos (SOs) no son diferentes. En el día a día, uso los tres SOs (directamente y/o a través de la virtualización), empleando para cada tarea aquel que creo que realizará mejor una función concreta, teniendo en cuenta que sin duda en esa decisión entran en juego las preferencias personales.
Un buen ejemplo son las herramientas de seguridad o hacking que empleamos en las pruebas de intrusión. ¿Qué SO es mejor usar para todas estas herramientas? Los tres. En algunos casos la herramienta sólo existe para un SO. Para las herramientas multiplataforma o que están disponibles para varios SOs, una muy buena estrategia es utilizar el SO principal asociado a la herramienta, es decir, el que usa el desarrollador de la misma para crearla. Por un lado el SO principal de la herramienta proporciona mejor rendimiento y más estabilidad, y por otro, en ese SO está disponible antes la última versión y las nuevas funcionalidades.
¿Dos de tus compañeros han sacado un libro titulado "Hacking y Seguridad en tecnologías móviles" ¿Que nos puedes contar de este libro?
Sin duda David y José han realizado una aportación muy relevante al mundo de la seguridad, y en concreto de las tecnologías de comunicación móviles, ya que es un área técnica bastante nicho y en el que es muy difícil profundizar. La documentación disponible al respecto es muy reducida, o inexistente, aparte de las especificaciones y estándares, o algunas presentaciones relacionadas impartidas en conferencias de seguridad durante los últimos años.
Este libro constituye una referencia única para adentrarse en el mundo de la seguridad de las comunicaciones móviles (2/3/4G, tanto voz y SMS, como datos) tan utilizadas por millones de personas a diario a nivel mundial. El mismo refleja de forma resumida y esquematizada el conocimiento adquirido por los autores durante todos sus años de investigación. Profundiza en todos los aspectos técnicos relevantes para conocer el funcionamiento de este tipo de redes y sus protocolos, y poder entender las amenazas y diferentes tipos de ataques a los que están expuestos actualmente, tanto las redes como los dispositivos móviles que hacen uso de ellas.
Eso sí, el nivel de profundidad técnico del libro es elevado y denso, y aquellos que no han tenido ningún contacto previo con las comunicaciones móviles, tendrán que concentrarse en su lectura para aprender un sinfín de nuevas siglas, elementos de comunicaciones y protocolos, sus debilidades y como explotarlas, y las recomendaciones para mitigarlas. Sin duda, una muy buena lectura para ampliar conocimientos técnicos este verano 😉
¿Que certificaciones consideras de las importantes en el ámbito de la seguridad?
Desde el punto de vista técnico, las certificaciones GIAC (www.giac.org) asociadas a SANS son reconocidas internacionalmente. Por este motivo, en el año 2002 y cuando quizás aún no eran tan conocidas, Jorge, David y yo nos planteamos alcanzar un buen nivel profesional y ampliar nuestros conocimientos, por lo que analizamos las opciones que había en el mercado.
Como resultado, y ya que dispusimos de la oportunidad, decidimos optar por conseguir la certificación técnica de seguridad más relevante existente, GSE, que por aquel entonces consistía en un examen presencial de tres días tras haber obtenido otras cinco certificaciones previas con sus proyectos de investigación asociados. La verdad es que fueron un par de años de mucho trabajo y dedicación personal, pero mirando atrás en estos momentos, creo que mereció la pena, y lo pasamos muy bien.
¿Conocías la comunidad DragonJAR?
Sí conocía la comunidad DragonJAR desde hace años, aunque las limitaciones de tiempo (desafortunadamente los días sólo tiene 24 horas 🙂 nunca me han permitido participar en ella activamente, y sin duda es una de las comunidades de seguridad de habla hispana de referencia en Internet.
¿Que profesionales del sector tienes en tu lista de " A estos los sigo siempre" ?
Este es el tipo de pregunta que respondas como respondas, siempre puedes quedar mal con alguien 🙂 En serio, la verdad es que a lo largo de los años he conocido a profesionales, tanto en España como fuera, de muy alto nivel y de los que he aprendido mucho, así que procuro (dentro de lo que el día a día permite) mantener el contacto con ellos, seguir sus investigaciones y publicaciones, y si hay suerte, vernos en alguna de las conferencias de seguridad.