Blog

Entrevista a Lorenzo Martínez Rodríguez

Hoy tengo el placer de entrevistar a Lorenzo Martínez (@lawwait). 😀

Seguro que lo conoceréis por su roomba, de la que nos suele hablar en sus conferencias. Es co-fundador y editor de unos de los blogs de seguridad más importantes en español, Security By Default, y dirige su propia compañía, Securízame, especializada en seguridad de sistemas y redes de comunicaciones. Sin duda, es un referente en el mundo de la seguridad informática.

1. ¿Quién es Lorenzo Martínez? ¿Cómo te definirías?

Pues mira, toda la vida me he definido como uLorenzon curioso. Normal, siendo hijo único que pasara mucho tiempo preguntándome cosas y “jugando” yo solo. Desde niño destripando cosas con un juego de destornilladores de mi padre, que celosamente escondían a una altura tal, que sin escalera, no llegaba. Cosa que me regalaban y que tenía tornillos, motores, o circuitos,… pasaba por el “quirófano”, intentaba entender qué hacía y luego lo volvía a montar. Sí, luego tiraba las piezas que sobraban que ya no encajaban. Siempre he dicho que los ingenieros, cuando diseñan las cosas, ponen piezas de más, que no son imprescindibles 😀
Actualmente Lorenzo Martínez sigue siendo un curioso, cada vez con más ideas agolpándose unas tras otras en el cerebro, poniéndose en fila y sin encontrar el tiempo para llevarlas a cabo. Cuando trabajas para otros, y tienes una nómina a fin de mes, resulta “cómodo” saber que cobras hagas lo que hagas (si es que haces algo), aunque vives con el miedo a que un día recorten personal y te echen. Cuando trabajas para tu propia empresa, cobras lo que haces… Bueno, en realidad, en España, parte de lo que haces. El resto se lo lleva Montoro, gracias a que tú haces lo que haces, y él… bueno él cobra por tí. Me definiría como un curioso y superviviente a partes iguales, que desde hace un par de años se lanzó a la piscina con Securízame, mi empresa, de cuya decisión me siento cada día más feliz.

2. ¿Cuál fue tu primer contacto con la informática?¿Y con la seguridad?

Aunque desde niño ya me gustaba juguetear con maquinitas de esas con  pilas de botón, recreativas, MSX, consolas de 8 bits como la Sega Maste System I (mi primera consola, que aún tengo en casa de mis padres), etc,… No tuve mi primer “ordenador” hasta los 15 años, un 486 DX33Mhz de marca ACER, con 4 MB de RAM y 250 MB de disco duro. Fue gracias a Domingo, un compañero de clase y buen amigo mío de Logroño, que ya trasteaba desde hacía años, que me picó el bichito de trastear con ordenadores, sistemas operativos (MS-DOS 6.0 y Windows 3.1 en aquella época), aunque anteriormente ya jugaba al Digger y escribía textos en Wordstar con un PC en MS-DOS 1.25 (hace la de Dios de esto…) Fue la curiosidad una vez más la que me llevó a aprender a programar en C y Ensamblador allá por 1994 (gracias a Domingo una vez más que recuerdo como si fuera ayer cuando me explicaba lo de los punteros, y los punteros a punteros…) Fuí a la Universidad. Estudié Ingeniería en Informática y entre medias, aparte de hacer mi proyecto de fin de carrera dedicado a seguridad, leía cosas sobre redes, sistemas operativos, UNIX y una cosa muy novedosa que se llamaba Linux. Aunque reconozco que hasta 2003, no me puse en serio con ello. En este caso el impulsor de la motivación necesaria para multiplicar mi aprendizaje fue mi buen amigo Yago Jesús (también de Security By Default), con quien compartimos trabajo en el departamento de seguridad de ONO.

3. ¿Desde cuando te gusta jugar y hackear el hardware como la roombas..?

Como decía anteriormente, jugar y desmontar cosas, me ha gustado de siempre. La robótica, ya en tiempos de universidad, teníamos asignaturas de construir un robot gobernado por un micropic 16F84, para que hiciera diferentes actividades en tiempo record, ya fuera utilizando sensores de cambio de color para seguir una ruta, bumpers para detectar colisiones, o incluso una prueba de sumo contra otros robots. En el equipo, yo era el encargado del diseño físico del robot y recuerdo que los normales tenían sólo dos ruedas delanteras, con un motor para mover cada una y hacerlo girar. En nuestro caso, partí por la mitad un Ferrari F-40 teledirigido que tenía y le extraje el potente motor, junto con la transmisión y las ruedas, de la tracción trasera que tenía, e hice que el robot tuviera tracción Quattro (en esa época era super fan de la marca de coches Audi). Como sólo ese motor gastaba un montón de pilas, opté por hacer que sólo funcionase para la prueba de sumo, tuve que diseñar un circuito extra con un juego de pilas, que se activaba por una puerta de salida del micropic, cuando los bumpers del parachoques delantero del robot estaban apretados (claramente estaba chocando con otro robot y lo tenía que derribar, metiendo la potencia extra del motor trasero). La primera ronda la ganamos así 😀 En la segunda, unos tíos pensaron mejor que yo y pusieron unos folios blancos pegados alrededor de su robot. Como si detectábamos blanco, significaba que nos ibamos a salir del circuito y metíamos marcha atrás, lograron arrinconarnos con más inteligencia y nos sacaron del ring 🙁 De ahí aprendí en mis propias carnes, eso de que la potencia sin control no sirve de nada.
En el caso de la Roomba la idea era hacerme la vida más cómoda y en construirme mi propia domótica casera, por lo que me leí un libro sobre las posibilidades que había para meterle mano…

4. ¿Cómo surge la idea de Securízame ? ¿Qué es?

Durante muchos años trabajando para otros, llegó un momento en que estuve en un fabricante, como autónomo, trabajando 4 días a la semana, teniendo el 5º para mis cosas. En trabajos anteriores, me llamaban de antiguos clientes, para ver si podía echarles una mano con proyectos.
Por temas de exclusividad y por falta de tiempo, tenía que negarme a ello. Sin embargo, en este fabricante, con un día extra, podía facturar y hacer proyectos como freelance de forma legal. Sin embargo, ese día libre a la semana empezó a quedarse corto. Pronto vinieron los fines de semana. Cuando ya tenía ocupadas las noches del resto de los días de la semana hasta bien entrada la madrugada, fue cuando realmente decidí que podría sobrevivir yo solo (bueno.. con el lastre de Montoro 😀 ) Y así fue como monté Securízame. ¡Y no me puedo quejar! He hecho grandes cosas en sólo dos años de vida. Pienso que el secreto ha sido rodearme de buenos colaboradores: amigos y de confianza. De gente que es experta cada una en un sector o una rama de la seguridad, y con la que sabes que puedes llegar donde quiera te lo propongas.

5. ¿Algún curso en mente? ¿Cómo funcionáis? ¿Qué podremos aprender en él?

La formación ha sido una de las verticales que hemos empezado a promover desde este año. Aunque por mi cuenta tenía experiencia de años como formador (incluso desde la Universidad y dando cursos en diferentes clientes, parece que eso de hablar en público y contarle cosas a la gente se me da bien), llevábamos tiempo con la idea de montar formaciones online. Mi primera interacción en online fue porque la gente de Criptored y Chema Alonso, a quienes por ello les estoy muy agradecido, me invitaron a dar un módulo de un curso de Ciberdefensa sobre seguridad perimetral. Esto confirmó mis ganas por llevar a cabo este tipo de formato a la hora de impartir formación y propuse a un grupo de amigos, profesionales todos ellos de la seguridad informática, que diésemos un curso de Análisis Forense Digital en Profundidad, que fue todo un éxito. Los alumnos quedaron contentos, y los resultados de las encuestas fueron las que nos llevaron a Yago y a mí a organizar el de Attack & Hardening en GNU/Linux, en el que contamos con la colaboración de David Hernández (@Daboblog) en una sesión final de optimización.
Y para ahora, a finales de Septiembre, tenemos el que considero la joya de la corona, un curso en el que hemos logrado juntar a lo más selecto del panorama nacional en temática de Reversing y Exploiting avanzado en Windows y Linux, y que por la cantidad de gente pre-registrada, está teniendo una enorme aceptación. Este tipo de formaciones, tan especializadas, suelen desarrollarse en inglés y en modo presencial, limitando mucho la motivación de los alumnos. En este caso, lo vamos a llevar a cabo en formato online y en idioma español, para que eso al menos, no sea un factor que haga que los asistentes se pierdan por no entender una palabra en otro idioma, que si bien entiendes, no eres nativo.
La idea es dar un módulo inicial más básico para que la gente que le tenga miedo al ensamblador, a un debugger, que no conozca la arquitectura de un procesador, la memoria, los bloques, direcciones, registros, herramientas de debugging, etc,… pueda acomodarse y hacerse una idea de lo que va a venir en los siguientes módulos. La idea es que cualquiera que se apunte a este curso, pueda salir haciendo exploits y reverseando binarios, teniendo un camino mucho más allanado para ponerse con ello y evolucionar más allá.

6. ¿Qué le recomiendas a los que empiezan en este mundillo?

Tal cual está de avanzado el mundo de la seguridad, y dada la vertiginosa actividad diaria de la que somos testigos, quizá mi mejor consejo sería reengancharse leyendo el timeline del twitter de personas que nos dedicamos a ello y que publicamos y compartimos investigaciones y noticias relativas al tema, así como el seguimiento de diferentes blogs de los que poder absorber, cuanta más información, mejor.
Obviamente, no se puede saber de un tema sin conocer las bases por lo que lo primero sería leer libros relacionados con sistemas operativos, redes, servidores web,… así como tener unos conocimientos mínimos sobre arquitectura de ordenadores y conocer al menos algún lenguaje de programación de bajo/medio nivel, siendo C el más recomendable, desde mi punto de vista. Igualmente, conocer otros de más alto nivel como Perl y/o Python debería ser imprescindible, y si te vas a centrar en alguna plataforma en particular recomendaría Powershell para Windows y BASH para Linux. A partir de ahí, lo siguiente sería seguir formándose en materias como Hardening, Auditoría o Análisis Forense pienso que serían los siguientes pasos. Por supuesto, la asistencia a eventos específicos de seguridad, como RootedCon, NoConName, Navaja Negra o ConectaCon, entre otros, y aprender de las diversas charlas de seguridad y relacionarse con gente con tus mismas pasiones, es fundamental.

7. ¿Cuales son tus próximos eventos?

Buena pregunta, la verdad es que ni yo mismo lo sé. Estoy confirmado para RootedCon Satelite en Valencia, Navaja Negra en Albacete y NoConName en Barcelona, aunque de foram intercalada, daré charlas en diferentes eventos de naturaleza privada organizados por diferentes fabricantes de soluciones de seguridad como Sophos o Watchguard, en los que expondré diferentes problemáticas de seguridad ante sus clientes o partners, a los que luego cada fabricante ofrece mitigación con diferentes soluciones y enfoques. En Navaja Negra, además daré un taller, usando como base un dispositivo UTM del fabricante Cyberoam, en el que hablaré de Buenas Prácticas de Seguridad Perimetral. Igualmente estoy confirmado para un evento de software a mediados de Noviembre, que aún no puedo desvelar, para un fabricante muy importante del sector.
Tengo en tentativa la asistencia como ponente en otros tres eventos en Latinoamérica, para los cuáles no he sido confirmado, dependiendo de la existencia de presupuestos en algún caso, como de aceptación de charla en el CFP en otros.
Puede parecer que asistir a tanto evento es un estrés, y es cierto, lo es,… pero una vez que te acostumbras a los viajes, y saltar de un escenario a otro contando cosas, compartir con otros ponentes y asistentes, ¡resulta adictivo!

Espero que os haya gustado 😉

 Mª José Montes – mjose@highsec.es – @MMontesDiaz

Leave a Reply

*

    No Twitter Messages