miércoles, octubre 29, 2008

Entrevista a Dani "The Doctor" Kachakil

Inteligente, trabajador, curioso, constante, preocupado... Dani "The Doctor" Kachakil es de esas personas que auna muchas de las características más deseadas en una única persona. Su nivel de conociento es equiparable al de su constancia. Detallista en su trabajo, afable y cercano... Es un pedazo de ingeniero... joder, es una puta "oveja blanca", coño. De esas que te dejan mal en la comparación.... Pero las cosas como son, hay que quitarse el sombrero con él!!


The Doctor

1.- Vale... ¿Cuántos años llevas en esto de la seguridad informática?

Menos de tres años. Si te vale como fecha orientativa, recuerdo que a mediados de 2005 descubrí que existía algo llamado "inyección SQL", pero solo a nivel de programador (tener cuidado con las comillas y poco más). A finales de 2006 me enteré de que el MD5 era "reversible", gracias a tu primer reto de hacking, así que imagínate si ha llovido desde entonces…

Profesionalmente nunca me he dedicado al tema de la seguridad (al menos por ahora, que nunca se sabe lo que deparará el futuro), por lo que no deja de ser una más de tantas inquietudes y aficiones que tengo y por ello solo le dedico parte de mi tiempo libre.


2.- Esto... ¿Kachakil es un nick chulo como el de Maligno?

Sí, tan chulo que hasta lo tengo impreso en mi DNI debajo de la etiqueta de "primer apellido". ¿Para qué calentarse la cabeza buscando otro nick?

3.- ¿Cómo un hacker como tú puede dejarse mangar pasta de la cuenta bancaria?

Para qué te cuento yo estas cosas… Pues sí, tiene su explicación y supongo que le puede pasar a cualquiera. Y no, no hablo del típico phising ni de fraudes online, que es lo primero que me pregunta todo el mundo cuando se lo cuento. Me refiero al que suele ser el eslabón más débil de la cadena: la estupidez humana. Ahí va el procedimiento:

Llega un tío a una sucursal de un banco y dice que quiere ingresar 5 euros en la cuenta de fulanito. El empleado del banco busca a fulanito en su base de datos y le dice que tiene N cuentas bancarias, preguntándole en cual de ellas quiere hacer el ingreso. Tras elegir cualquiera de ellas, el delincuente ingresa los 5 miserables euros y obtiene un resguardo de la operación en la que aparece el número de cuenta completo. Después de falsificar cualquier tipo de documento (en mi caso parece ser que fue un pasaporte de Guinea Ecuatorial), se planta en otra sucursal de cualquier ciudad suplantando la identidad de fulanito y dice que quiere sacar un extracto de su cuenta y a partir de ahí empieza a recorrer más sucursales pidiendo reintegros en efectivo de cantidades inferiores a 3000 euros (para evitar comprobaciones en la oficina principal). Si el empleado del banco sospecha, el tío no tiene más que salir por la puerta tan tranquilo y buscarse otra sucursal (a lo mejor le toca currarse otro documento falsificado, pero parece que eso les cuesta poco). Si esto se hace en pleno agosto, en oficinas pequeñas y en hora punta, mejor aún.


El procedimiento coló en tantas ocasiones que en un par de días se zumbaron mi cuenta casi al completo (sí, eso de tener tu propia empresa no implica que ganes tanta pasta). En fin, aceptaron un medio identificativo que no tiene ninguna validez en España, no comprobaron mi firma, ni cotejaron la foto con el escaneado de mi DNI y nadie se extrañó de nada. Afortunadamente estaban ahí las grabaciones y se vio que el delincuente en cuestión era de raza negra (vamos, que comprobaron claramente que no era yo intentando tomarle el pelo al banco). Al final me devolvieron todo el dinero, pero aún así no tiene ninguna gracia que accedieran así a mis datos.

4.- ¿Qué tomas para no tener que dormir? Porque tú no duermes, ¿verdad?

Nunca tomo nada ni para dormir ni para estar más tiempo despierto. Sí que duermo, aunque normalmente lo hago menos de lo que toca, por lo que en los días laborables se va acumulando el cansancio y, siempre que la ocasión lo permite, intento compensarlo el fin de semana levantándome bastante tarde. Siempre he preferido la noche al día, pero no bebo sangre fresca, ni muerdo cuellos ni nada por el estilo. ;-)

5.- ¿.NET o Java?

Pues depende de mil factores, porque la elección de una plataforma u otra no es cuestión de fe o de capricho. Es como preguntarse si es mejor hablar español o inglés, si conducir por la derecha o por la izquierda, si elegir una marca u otra de ropa, de coche o de cualquier otro producto…

Habiendo estudiado Java y otros lenguajes en la universidad, finalmente opté por .NET, pero no quiero que nadie tome esto como referencia o recomendación, porque yo tenía mis razones y no tienen por qué coincidir con las de otros. El que quiera dedicarse a esto, que se lo piense bien, que compare, pruebe, analice y extraiga sus propias conclusiones basadas en sus propias necesidades. Nunca os dejéis llevar por ninguna opinión o recomendación sin haberla cuestionado antes.

En ambas plataformas se puede hacer prácticamente lo mismo, pero esto evoluciona de una forma vertiginosa y para ser competitivo, en mi opinión, sale más rentable centrarse solamente en una de ellas (quien mucho abarca poco aprieta). Para estar al día hay que invertir muchísimo tiempo leyendo y probando, pero es algo muy agotador si quieres enterarte de todo lo que va saliendo (por ejemplo, WPF, WCF, LINQ, AJAX, Silverlight, etc.)


6.- ¿Se liga más siendo informático y hacker que sólo desarrollador?

"Informático" y "ligar" suelen ser términos incompatibles. Todo el mundo sabe que somos bichos raros y en el fondo creo que no les falta razón. A veces usamos tantas siglas y tecnicismos que parece que estemos hablando en otro idioma. Si le dices a una tía que tienes colgada una herramienta para hacer inyecciones a ciegas, lo más probable es que piense que eres un salido. Por cierto, si alguna está interesada en que le enseñe cómo se usa mi herramienta, que contacte conmigo, jeje. (Para malpensados) ;-)

7.- ¿Cómo te dio por meterte en esto de la seguridad informática?

¿No dicen que el conocimiento es poder? Siempre he sido una persona muy curiosa y me gusta saber un poco de todo, así que empecé a adquirir este tipo de conocimientos que me han sido de gran utilidad como analista, como desarrollador e incluso como simple usuario de informática. Cuanto más sabes de algo, más ángulo de visión tienes y por ello puedes ver las cosas de otra forma más completa. La clave está en que como desarrollador sabes cómo actuaría un atacante y como atacante sabes cómo suele actuar un desarrollador (o un técnico en redes y sistemas).

8.- ¿Qué sistema operativo usas "en la intimidad"?

¿En la intimidad? Pues te puedo contar que uso Symbian en mi móvil, Windows Mobile en mi PDA y supongo que un montón de sistemas operativos empotrados en un montón de dispositivos de uso diario. Si te refieres al que aparece cuando minimizo el Visual Studio, siguiendo la máxima de la informática "si funciona no lo toques", sigo usando Windows XP (no sea que me instale ese Vista Ultimate promocional que me regalaste y me deje colgado a los 365 días). Todo llegará… ;-)

9.- ¿Y Linux?

Supe de su existencia al entrar en la universidad, por lo que en su día me lo instalé con actitud bastante positiva porque además tuve que usarlo en muchísimas asignaturas, así que por entonces me defendía bastante bien con él y no tengo nada en su contra (lo digo porque conozco a mucho talibán anti-loquesea). Pero nunca he tenido razones suficientes como para dejar de usar Windows, ni tampoco para usar ambos a la vez y en ese sentido apliqué el mismo criterio que comentaba en la pregunta de Java o .NET, así que me quedé con uno de ellos y ya está, porque me hace la vida más fácil. Y lo dejo aquí porque no me gusta entrar en la clásica discusión que divide a tantos informáticos y que al final nunca llega a ningún sitio.

10.- ¿Qué has estudiado?

A nivel de títulos universitarios, principalmente ingeniería informática y un master en ingeniería de software, pero supongo que eso solo representa un porcentaje mínimo de los conocimientos que uno va adquiriendo en sus diversas áreas de interés (en mi caso, aprendo mucho de forma autodidacta). Por eso considero que un curriculum dice muy poco de las habilidades y conocimientos de una persona, pero a su vez es uno de los métodos más utilizados en la selección de personal de cualquier empresa, así que tampoco es cuestión de descuidarlo. Paradójico, pero es así…

11.- ¿Qué haces para ganarte la vida?

Pues antes de terminar la carrera creo que elegí el camino más duro y sacrificado para ganarse la vida, que es el de montarte tu propia una empresa desde cero y además sin haber tenido ninguna experiencia profesional previa. En su día empezamos cuatro socios y ahora quedamos dos, así que al ser una pequeña empresa de unas 7-10 personas (dependiendo de la época) me ha tocado hacer casi de todo, pero a lo que dedico más tiempo es al análisis y desarrollo de software.

12.- ¿Hay crisis en el sector informático?

La crisis te afecta en la medida en la que se ven afectados tus clientes y así sucesivamente hasta llegar al cliente final. Como el sector informático suele ofrecer servicios a otros sectores, unos se verán muy afectados por la crisis mientras que otros se verán incluso favorecidos, así que depende del trabajo concreto. Para muchos incluso puede ser positivo que tras este vendaval se reduzca la competencia con una base de negocio menos sólida.

Personalmente considero que precisamente ahora que se habla tanto de crisis y ahorro es cuando más hay que invertir en esas soluciones informáticas que te ayudan a optimizar los procesos de tu negocio y a controlar los pequeños hurtos por parte de algunos clientes o de tus propios empleados, pero no todo el mundo lo ve tan claro.


13.- ¿Cuánta gente te ayuda para pasar los retos?

Supongo que mucha gente lo hace sin saberlo, porque la documentación que hay disponible en Internet no estaría ahí de no ser por ellos. Por lo demás, los suelo sacar por mi cuenta, aunque cuando llegas a un punto de desesperación en el que has probado de todo y ya no sabes que hacer, es cuando te da por comentar cosas con otros participantes habituales como RoMaNSoFt, Mandingo o Bambú, pero si alguien se merece un reconocimiento especial en tus retos, ese es Alekusu, porque muchas fases no se podían haber superado sin su inestimable ayuda (levantando un servidor caído, parcheando fallos, etc.). ¿Pagas horas extra los fines de semana? ;-)

14.- ¿Cuál ha sido el reto hacking que más te ha gustado de los que has ganado?

Todos me han servido para aprender y poner en práctica varias técnicas, así que guardo un buen recuerdo de todos ellos y no sabría concretar cuál me ha gustado más. El primero fue muy especial, porque fue el que despertó mi curiosidad. A nivel estético sin duda el reto 5, al del mejor premio el badge del reto 9 para mí es como una reliquia (gracias a la donación de José Parada). También me han gustado muchas fases de otros retos, aunque no los haya ganado, como los de Warzone (increíble que mi nombre aún siga en el top 10, jeje), Yoire o BlindSec.

15.- ¿Hay tensión cuando compites con Palako, RoMaNSoFt, Bambú, etc...?

No hay más que ver las fechas de finalización de los primeros retos y compararlas con los últimos para darse cuenta de que cada vez hay más nivel y más competencia. Es como una carrera en la que no solo tienes que llegar al final, sino que tienes que hacerlo lo más rápido posible. Es normal que la adrenalina esté ahí presente para ponerte las pulsaciones a tope cuando te están pisando los talones, cuando se te adelantan, cuando pasas de fase o cuando descubres algo que te permite avanzar.

16.- ¿Y piques?

Supongo que también existe cierta "rivalidad", en el buen sentido de la palabra, porque en el fondo esto es un juego. A veces se gana y otras no (porque perder no perdemos nada), pero lo importante es divertirse y aprender. Solemos comentar detalles tras finalizar los retos y es algo muy enriquecedor. Unas veces hemos intercambiado ideas o técnicas muy interesantes y otras veces simplemente nos hemos partido de risa en más de una conversación.

17.- ¿A quién has conocido que te ha impresionado en tu vida?

Pues en el ámbito de la seguridad, gracias a esto de los retos y al primer AseguraIT he tenido el placer de poder conocer en persona a bastante gente de este mundillo. Y cuando no ha podido ser en persona, a veces ha sido en alguna conversación a través de Internet. En fin, hay mucha gente a la que admiro, a veces no tanto por sus conocimientos y habilidades como por otras cualidades personales, pero creo que para "conocer" a alguien se requiere muchísimo más tiempo.

18.- Gracias por no dedicarte a los buffers overflow que si no... ¿La web es lo que más te gusta romper?

Hombre, "romper" no creo que sea la palabra más adecuada, porque parece que me dedique a hacer travesuras o cosas con mala intención y eso tampoco es así. Como comentaba antes, me gusta saber un poco de todo y creo que mi hemisferio izquierdo ocupa el 80% de mi cerebro, así que se suele dar bien todo lo que tenga que ver con matemáticas, lógica, algorítmica, análisis, memoria, etc. De todas formas, me encantaría ampliar mis conocimientos de ingeniería inversa, porque es un tema que me apasiona y le veo mucha utilidad (no creo que tarde mucho en dedicarle algo de tiempo).

19.- ¿Has roto alguna vez alguna web a algún cabronazo que se lo mereciera?

Bueno, ante un juez lo negaré todo, jeje, pero hace varios años estábamos desarrollando nuestra primera plataforma web importante para un cliente que tenía previsto asociarse con un inversor. Como desconocía el sector, este inversor le pidió consejo a un amigo suyo que trabajaba como informático (en otro país algo lejano, por cierto) y éste nos metió un SQL injection de los clásicos. El inversor le pagó el viaje al informático para reunirse con nosotros y éste nos intentó dejar a la altura del betún con una serie de sandeces que no venían a cuento (que si el .NET no era estable, que si el Access era una base de datos de juguete, que si los campos tenían que estar en inglés, que si el Visual Studio no servía para maquetar en HTML, etc).

Estuvimos a punto de perder al inversor, al cliente y mucho dinero que habíamos invertido en el proyecto, pero finalmente logré convencer al inversor… Digamos que su amigo el informático cometió el error de darme su tarjeta de visita en la cual aparecía la URL de su empresa (una tienda online), que resultó estar basada en ASP clásico y SQL Server y tenía más agujeros que un colador. Como se suele decir, el que vive en una casa de cristal no debe arrojar piedras, así que en unos días aprendí lo suficiente como para devolverle la jugada con creces, puteándole durante varios días de mala manera, hasta el punto que nos llegaron varios faxes y cartas certificadas de su bufete de abogados, pidiéndonos más de 100.000 euros por daños y perjuicios. Finalmente nos disculpamos mutuamente y la cosa no llegó a más, pero al leer la carta se nos pusieron de corbata. Lo hice una vez, pero ni lo he vuelto hacer ni se me ocurriría volver a repetirlo. Por cierto, a día de hoy esa plataforma sigue funcionando y dando soporte a un montón de usuarios, así que a pesar de todo, parece que no lo hicimos tan mal.

20.- ¿Vas a dejarnos ganar algún reto a los demás?

Yo no pienso dejarme ganar, aunque intentes disuadirme con primeros premios como el del reto VIII o me hagáis jugarretas como el "safety car" del reto IX. Puede que algún reto salga en una fecha que me venga mal, o puede que me enganche en alguna fase y acabe en algún puesto de "luser" o incluso que no lo acabe, pero no pasa nada. Lo asumiré sin ningún problema siempre que el juego haya sido limpio.

14 comentarios:

Asfasfos dijo...

Si señor, un tío listo y autosuficiente que se creó una empresa al salir de la universidad. Sigue así Dani :)

Anónimo dijo...

Un verdadero crack, da gusto leer tus respuestas.

Maligno, felicidades por la entrevista.

FilEMASTER dijo...

¿Pagas horas extra los fines de semana?

Nos da abrazos...

XDDDDDDDDDDDDDDDDDDDDDDDDD

Anónimo dijo...

Excelente informatico y persona pero lo unico k no me ha gustao es cuando le preguntas "Un hacker como tu..." y que no haya desmentido que es hacker alomejor kiere decir que hasta el se cree un hacker y aki no hay ni un puto hacker por mucho k os lo creais, aqui solo hay expertos en seguridad(a parte los newbies) pero la palabra hacker es algo mas para que alguien lo sea sin mas, espero k ni tu maligno te consideres hacker, me llevaria una gran decepcion.
Para mi un verdadero hacker es un constructor y hasta que no vea algo realmente novedoso construido casi en su totalidad por alguno de vosotros no me creere que seais hacker.
Un buen ejemplo de hacker y aunque me cueste la vida decirlo fue bill gates en su dia cuando se saco de la manga el BASIC.
Un saludo.

Aitor Iriarte dijo...

Muy majo.
Si además tiene un proyecto que quita tantas horas como su propia empresa no sé de dónde saca el tiempo necesario.

Anónimo dijo...

gras, para ti k es un hacker? segun la wikipedia
'en la descripción más pura, un hacker es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas.'

y el basic no lo invento bill Gates listillo, si no que lo copió y lo vendió como siempre hace

salu2!

Francisco Oca dijo...

Que torero!! La foto es rara, ¿es un montaje o que? ¿Sera un reto enmascarado? xDD

RoMaNSoFt dijo...

"Por cierto, si alguna está interesada en que le enseñe cómo se usa mi herramienta, que contacte conmigo, jeje."

xDDDDDDDDDD Inmoral, ¿a qué "herramienta" te refieres? }:-)

Coñas aparte, muy buena la entrevista. Eres un crack, Dani!

@filemaster: no sabía que los abrazos del maligno estuvieran tan bien cotizados... Sin despreciarlos, yo de vosotros preferiría la pasta! :)

Anónimo dijo...

Muy buenas las respuestas Dani. Me ha gustado mucho la entrevista.

xneo dijo...

Que tal Chema?, llevo siguiendo tu Blog desde hace unas semanas y la verdad es que me ha impresionado la abundancia de contenido y sobre todo su calidad, ademas tu pagina me ha servido para conocer otras como -El Diario de Juanito- muy buena y original a la vez la web del -Trianero-.

En fin, poco mas que decir salvo que en mi recién abierto Blog has sido el primero en mi lista de Links.

xneo dijo...
Este comentario ha sido eliminado por el autor.
Anónimo dijo...

@Filemaster: ¿Abrazos? Para que luego digan que no se nota la crisis...

@Gras: Nunca me ha gustado etiquetar a la gente y nadie me habrá oido decir que soy un hacker o que deje de serlo. De hecho, es un término tan prostituido que no vale la pena entrar en ese debate, ya que para unos significa una cosa y para otros otra totalmente diferente (de ahí que cada vez se use menos).

@Maligno: ¿No eras tú el del doctorado?... Claro, me llamas "The Doctor" y algunos piensan que soy un prepotente, jeje. ¡Gracias por la entrevista! ;-)

@Thor: La foto completa la tienes aquí. No es un montaje, pero tienes razón en que queda rarísima, jeje.

@Anónimo: La Wikipedia no es la fuente de todo conocimiento, aunque me remito a lo dicho en el comentario anterior.

@Romansoft: En mis respuestas puse un link a Marathon Tool (donde pone "para malpensados"), pero creo que el Maligno me lo ha censurado y ha quitado el link ese, jeje


¡Gracias a todos los que habéis dejado vuestro comentario!

Saludos

xyz dijo...

Pues me parece un encanto de tio...lo que no se es como se organiza para hacer tantas cosas...

Salu2!

Anónimo dijo...

un hombre muy atractivo!, citaré algunas de tus respuestas en clase, ¡me ha encantado esta entrevista!

besos

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares