340. Nahuel Grisolia – Rate my penetration

Hay gente que busca distintas cosas. Hay algunos que buscan como la llave de la felicidad, otros que buscan la paz interior. Yo hace rato que estoy buscando a alguien que me pueda contar de una cosa que yo leí mucho, pero pensé que era… por un lado pensé que era como una fantasía, un mito y después dije “bueno, no, no es un mito, esto existe pero no debe existir cerca mío, no voy a encontrar alguien que primero, me lo pueda contar de primera mano, segundo que me lo quiera contar de primera mano y tercero, que además de contármelo, lo haya vivido”. O sea, que no sea alguien que versea como yo, y que encima de todo hable castellano. Y hablo con un amigo y le pregunto, le digo “che, ¿cómo es esta historia? Que en Estados Unidos, además de pentesting[1], pentesting es un chabón que vos le decís “mirá, hice esta web o hice esta aplicación: fijate si podés acceder a lugares a los que no deberías poder acceder”. O sea, ¿vos podés entrar como si fueras el administrador a esta web? Bueno, eso se llama pentesting, que es probar la penetración, test de penetración. Suena muy porno, pero es así. Y eso se hace con las web: eso sí conozco, tengo mil amigos que se dedican a eso. Leyendo un día encuentro que hay gente que se dedica a chequear qué tan impenetrables son los sistemas de seguridad físicos. Esto significa: si alguien que no debería poder entrar a un lugar puede entrar a ese lugar. Y el modo de probarlo es yendo en persona. Bueno, lo estoy buscando hace un montón de tiempo y el otro día me escribe un amigo y me pone “codename: Cinta Infinita[2]. Llamame”. Lo llamo, me dice “boludo, ¿hablaste con Nahuel[3]?” No. “¿Y por qué no hablas con Nahuel de Cinta Infinita? Porque él puede hablar de ese tema, quizás si lo convencés” y dije “bueno, vamos a hacerlo más fácil: voy a intentar hablar para No Es Nada y convencerlo”.

Guillermo Catalano: Hola Nahuel, ¿Cómo estás?
Nahuel Grisolía: Cómo estás Fierita? ¿Todo bien?
GC: Bien. Eh… estoy muy entusiasmado. A mí me pasa que hace mucho tiempo (yo soy una persona mayor ya), hace mucho tiempo que me interesa, por supuesto, el mundo del hacking, el mundo de la seguridad informática[4]. Y me pasó que me crié con muchos amigos que, cuando yo era joven, eran como yo (entusiastas) y hoy son expertos: es un tren que va muy rápido. Si te quedás abajo, te quedás abajo bastante. ¿Vos hace cuánto que estás con este tema?
NG: Y mirá, vos lo dijiste: me llevaba mi hermana al Obelisco[5] cuando tenía alrededor de doce, trece años a juntarme con la Darkside Brotherhood. Me decía que no haga lío y ahí, bueno, empecé a hacerlo de manera… jugando. Como la mayoría de los que nos dedicamos ahora profesionalmente a esto. De hecho, a muchos de la Darkside Brotherhood los encuentro en algunos clientes y en algunos lugares
GC: Eso es gracioso. A mí me pasa a veces que me he encontrado con gente de esa época y a alguno se le escapa y tira el nick y los otros se empiezan a reír, todos a poner colorados porque, al final, yo no sentía eso en un momento. Mirá, se disparó para otro lado la charla, pero yo en un momento cuando era joven pensaba que eso era una traición. Como que un hacker que se pasaba a trabajar en infosec[4] era una traición
NG: No
GC: Y hoy creo que cambió un poco ese paradigma porque alguien tuvo la genial idea de decir “pará, pero hay hacking[6] y ethical hacking[7]. Como si el resto del hacking no fuera ético, tengo un amigo que odia el término “ethical hacking” porque…
NG: Sí, sí, yo no lo uso, yo no lo uso
GC: Ah, vos no lo usás
NG: No, mucho no me gusta tampoco. El hacking es el hacking, después si se utiliza de buena manera o por delincuentes informáticos es otra cosa. Es como saber algún arte marcial, ¿no? Yo les digo siempre: si sabés un arte marcial y le pegás a las viejitas atrás del Banco Piano[8] para robarse las jubilaciones, es una cosa. O defenderte es otra. Así que…
GC: Claro
NG: …es un conocimiento que se puede aplicar de ciertas maneras, nada más
GC: Y a la vez hay una cosa. Bueno, hay un libro muy bueno que vos en tu charla… que es “The Hacker Ethic”[9] o “La Ética Hacker”…
NG: Sí, correcto
GC: …que es es un libro muy bueno. No hace falta saber… ser un experto, te da una introducción casi filosófica a este mundo
NG: Sí, correcto. Está buenísimo. Está Linus[10] haciendo una… la primer parte y te lleva… es por alguien que no es informático, ¿no? Y te cuenta un poco su visión, lo cual está muy bueno, y deja un montón de visiones sobre los que hacemos esto, que la verdad que me parecen excelentes y muy acertadas…
GC: El otro día…
NG: …más que nada de compartir esto de, como vos lo dijiste al principio, compartir un poco experiencias y llevar al mundo lo que sabemos
GC: Bueno vos contás también en tu charla[11] que hay en YouTube, una charla de Nahuel: ¿cómo la encuentran?, ¿cuál es el título en YouTube?
NG: Sí, si uno pone “Nahuel Grisolía” y pone EkoParty[12] con “k”, o pone “Nahuel Grisolía RFID” que es un poco a lo que viene tal vez este encuentro eh…
GC: La encuentran
NG: …ahí pueden llegar a encontrarla, seguro
GC: Se las recomiendo, no hace falta ser experto para disfrutarla. Grisolía con “s”. Eso es algo que me gusta mucho, que cambió en el ambiente del hacking. Cuando yo era joven y tal, había como una cosa medio expulsiva: como que te la medían y si no dabas la talla, fuera. Hoy via la EkoParty y un montón de lugares, hay una cosa como de bienvenida a aquellos a los que nos interesa, pero no necesariamente somos expertos
NG: Sí, sí, correcto. Hoy hay mucha comunidad, mucho de devolver. Nosotros nos encanta devolver lo que en algún momento se nos dio, no… de algún lado todos aprendimos. Así que eso está muy abierto hoy. Obviamente hay círculos muy cerrados en otros lugares también, pero hoy se encuentra todo
GC: El otro día me enteré que… de un consultor de seguridad informática de Estados Unidos que era muy reconocido y tal, y un día (año después) trascendió que el tipo había trabajado adentro de la NSA[13] y no lo sabían ni sus colegas. Si lo pensás era bastante lógico, tiene más sentido que haya trabajado en la NSA que en la Cruz Roja[14], pero bueno: esos secretos también existen, de que de repente vos conocés una persona muchos años y esa persona tiene una doble o triple agenda y ni te enterás
NG: Seguro, seguro.
GC: Pero contame de lo de “physical pentesting”. O sea, vos por un lado hacés seguridad informática, tenés una empresa de eso, ¿verdad?
NG: Sí, correcto, Cinta Infinita, nos dedicamos hace ya varios años a hacer lo que vos contaste, “pruebas de intrusión” como le decimos nosotros, pruebas de seguridad o penetration test
GC: Claro: prueba de penetración en castellano se complica
NG: Claro: entonces yo le digo “prueba de intrusión” en donde probamos análisis web, análisis mobile, infraestructuras tecnológicas, lo que nos pongan adelante. A mí me gusta mucho también la parte electrónica, de hecho soy Técnico Electrónico aparte, bueno, de Ingeniero Informático. Entonces me gusta mucho la electrónica y hasta no sé… tengo research, tengo investigaciones con temas de cerraduras electrónicas, temas de lamparitas bluetooth (cómo prenderlas sin permiso). Entonces, lo que nos pongan adelante que podamos descubrirles sus vulnerabilidades, lo tratamos de hacer
GC: ¿Cómo reclutás vos gente? O sea, porque eso es difícil, porque vos tenés que traer a trabajar con vos a una persona que sea capaz de atravesar vallas (porque de eso se trata el trabajo), pero a la vez que vos, me imagino que como empresa, tenés también algún límite que decís “che, bueno, esto no da, que me rompan, no sé, mi propia cuenta del banco”
NG: Sí, eh, en realidad, nosotros desde Cinta somos tres socios, es una empresa chiquita, pero por suerte tenemos muchos clientes porque nos dedicamos a esto hace mucho, así que en el sentido ese estamos bien. Como que está reducida la posibilidad
GC: Y esto del physical pentesting…
NG: Sí
GC: …esto es, por ejemplo, un edificio de una empresa que es imposible pasar si no tenés la credencial o hay que chequear “che, mirá, queremos… tenemos nuevos sistemas de seguridad de acceso, quiero saber si esto funciona o no funciona”. ¿Eso se hizo, se hace en Argentina alguna vez? ¿En Sudamérica, en España?
NG: Sí, mirá, hoy no es el fuerte del laburo que hacemos. Vos lo dijiste, hoy hay mucho más web y mobile que es el fuerte. En… cuando yo comienzo allá por el 2007 en una empresa que nos consolidó a muchos de los que laburamos de esto acá en Argentina, se hacía mucho todo lo que era temas de WiFi, temas de tratar de romper la seguridad de los WiFi de aquella época que se usaba WEP[15], que es un mecanismo de autenticación y de cifrado del canal, que es equivalente al cable (por eso era Wired Equivalent Privacy, digamos) que en su momento tuvo un montón de problemas; de hecho, hoy es conocido se puede crackear. Entonces nosotros nos acercábamos a los distintos lugares en donde nos ponían para ver si desde afuera podíamos llegar a entrar; o sea, era un esquema híbrido entre físico y virtual. Eso se usó bastante más que intentar entrar físicamente a un lugar. Lo que sí también solíamos hacer, por ejemplo, en bancos en donde en salas de espera había una ficha Ethernet[16] RJ45[17] cerca, tratábamos de…
GC: Eso es, para el que no es experto, es el cable de red hembra, ¿no?. Donde vos conectás un cable de red hay empresas que tienen cableado todo, y está esa ficha ahí y vos decís “¿qué pasa si yo pongo un cable acá?”
NG: Correcto, nos contrataron para hacer pruebas de intrusión a los sistemas internos, okay, pero no te voy a dejar entrar a mi lugar. Okay, me voy a una sucursal, me intento sentar, me pongo auriculares (como que estoy entrenando, estoy haciendo otra cosa para que nadie me moleste) y “sin querer” me engancho con un cable a alguna de las bocas disponibles. Si eso nos permite entrar ya digitalmente a las redes internas, ¡bingo!
GC: Claro, yo leí mucha literatura, no sé qué tanto es cierto y qué tanto es fantasía, donde hablan por ejemplo de una cosa que se llama el “rubber ducky”[18]
NG: Sí, claro, existe eso: el rubber ducky es una herramienta electrónica que uno la puede llegar a conectar, no sé, si la persona que me está atendiendo se levanta a hacer una fotocopia yo quizás puedo sacar este rubber ducky y conectarlo en la computadora que está usando y, como se levantó a hacer una impresión y la dejó desbloqueada, ese rubber ducky va a ejecutar un montón de comandos, todos rápido, va a escribir por mí en un teclado virtual que crea, todo… un par de comandos como para poder generar quizá una puerta trasera[19] o una conexión remota. Entonces, esas son las oportunidades que tienen los atacantes: en esa se levantó la persona, entonces tengo que sacar ese rubber ducky (que es simplemente un chupetito USB como si fuese un pendrive) y se enchufa, ejecuta los comandos, cuento hasta 2 y lo desenchufo y se ejecutó
GC: Y deja una constancia que a vos después te permite mostrarle a tu cliente, decir “bueno, mirá, acá accedí, acá accedí, acá accedí…”
NG: Tal cual, después lo de WiFi que te contaba, bueno, tenía sus temas, ¿no? Porque en esas épocas nos han mandando, por ejemplo, a estos lugares donde almacenan las grandes cadenas de retail todas sus electrónicas (todas sus cosas) y estábamos en la ruta con un auto con antenas saliendo del auto (que justo era un auto… un Bora negro, muy sospechoso) al costado de una ruta y estábamos intentando penetrar esa red de WiFi como para poder ver si podíamos entrar en ese sentido. Entonces era una mezcla de físico y virtual, ¿no? Y veíamos unas camionetas negras que venían de adelante y de atrás y bueno: sacaron unas 9mm hermosas, nos apuntaron y nos dijeron “bájense” y la persona que nos acompañaba “soy de, soy de”, les gritaba y nosotros sacamos las manos por las ventanillas y bueno, hasta que se avisó a seguridad física que éramos contratados y todo, la pasamos un poco mal. Pero bueno: sucedió, sucedió…
GC: Claro
NG: …hoy no es tan común, por lo menos para…
GC: porque para que esto funcione nadie tiene que estar de sobreaviso, excepto el número 1 de seguridad de la compañía, porque sino no tiene sentido la prueba
NG: Tal cual, porque sino se empiezan a avisar y ya está. Entonces, en este caso pasó eso y es una anécdota que siempre tenemos con el CSO[20] que es la persona encargada de seguridad de esa compañía, después de tantos años. Así que…
GC: Es loco también cómo, con el tiempo, esto que vos decías: un pibe que va al Obelisco a charlar con otros nerds…
NG: Sí…
GC: …de repente, por avatares de la vida, termina viendo cómo te metés en una oficina, cómo clonás una tarjeta de acceso, no se qué y cuando te querés acordar, estás hablando con unos tipos que son policías, o que son militares, o lo que sea…
NG: Sí…
GC: …y casi que hablás de igual a igual
NG: Mirá, cuento siempre que yo trabajaba en IBM[21] en Backup y Recovery, y mis primeros años… a los 20 encontré eso y trabajé 4 meses, cuando llega una búsqueda, de hecho lo hacía de noche, de 11 de la noche a 7 de la mañana. Cuando llego a mi casa 9 de la mañana, llega una búsqueda de esta primera empresa que te cuento, decía “buscamos pentesters que usen estas, estas, estas herramientas” y yo digo “pero, yo sé hacer esto”. “¿Esto es un laburo?”, dije yo. Y mandé mi CV y a los 15 días estaba trabajando ahí. No sabía que esto era un negocio y hoy tenemos una empresa con tres amigos y colegas. Entonces, yo siempre lo cuento y me da escalofríos cada vez que lo cuento porque es real, ¿eh? O sea, no sabía que esto era un negocio
GC: Si a alguien le interesa este tema hoy y no sabe mucho (no sabe nada, te diría), ¿todavía está a tiempo? ¿O si no empezaste a los doce años estás muerto?
NG: A recontra tiempo, de hecho siempre contamos también la anécdota que uno de los socios, bueno les mando saludos a Puky y al Mago, fijate dije “Puky” y “El Mago”, ¿no?
GC: Que no soy yo, aclaremos
NG: Que uno de ellos de hecho, comenzó después de la universidad en donde el docente de una de las últimas materias de seguridad, había sido empleado de esta empresa y yo me estaba yendo ya (habiéndolo hecho casi tres, cuatro años de carrera ahí) y él estaba ingresando y hoy somos socios y somos pares. Y después, la otra, “El Mago” inició un poco de más tarde y acá estamos. Somos tres, mantenemos la empresa y, nada, por ahora (puedo decirlo) acá en Argentina somos bastante referentes. “Los chicos de Cinta” es bastante conocido, por suerte
GC: Los chicos que ya tienen un promedio de edad que deja de ser chicos
NG: Sí, Tenemos 37, 36, por ahí andamos
GC: Los chicos ya…
NG: Pero bueno, ahí estamos
GC: Está muy bien, está muy bien. Siempre tengo un amigo que dice que cuando te dicen “los chicos de sistema” es para pagarte menos
NG: Claro. Tal cual, para que sea más barato. Y te cuento una más, si querés
GC: Sí, claro
NG: Haciendo de RFID, que es esto de las las tarjetas de ingreso, de ver… empecé a estudiarlas como un hobby, como una parte de research mientras hacemos los laburos. Bueno, mientras lo hacía al research, creaba slides, creaba un curso, porque mientras yo aprendo, digo “bueno, si creo un curso, voy a aprender más todavía”. Y terminé creando allá por el 2013 todo un curso que primero fue de un día, después fue de dos. Que por suerte lo pude dar en un montón de lugares del mundo. Me fueron invitando de Alemania, de Rusia. En Rusia estuve tres veces. Ahora no es momento, pero estuve tres veces…
GC: Ahora tenés que ser pentester, pero para salir
NG: Sí, tal cual. Estuve en Alemania casi diez, quince veces en una conferencia muy buena (si están allá en Europa) que se llama la Troopers[22], troopers.de, muy, muy buena, premium quality
GC: ¿Es comparable con una DEF CON[23]?
NG: No tanto, pero en calidad dura menos, no es una convención hacker como una DEF CON. Yo le llamo convención a la DEF CON, porque es como una reunión, es un… la Troopers es más corta pero es bien pro, es comparable en el sentido de que hay charlas, hay comunidad, hay juegos, hay hacking, hay nerds, está todo eso y es ultra copada. Así que… ahora creo que se celebra en en julio
GC: En la DEF CON es como un mito en todos los que estudiamos, nos gusta mirar este tema de de lejos, y el otro día alguien… yo le conté, le digo “oy, a mí me gustaría un día ir a una DEF CON” y me dijo “¿y por qué no vas a una comisaría?”. Le digo “¿cómo?”, me dice “sí, si en la DEF CON son todos policías”. “Ya no van más hackers”, me dijo, “son todos policías”
NG: Y hay mucho, hay mucho FBI, hay mucho ¿no? Buscando eso. Ehh, no, hay de todo…
GC: Reclutando talento y parando la oreja, de paso
NG: Tal cual. Escuchando, haciendo chats. Si ves que una persona se te acerca mucho, te empieza a preguntar, se hace un amigo y te regala una birra, ya empezás a dudar, ¿viste?
GC: Claro, claro
NG: Pero bueno, es una convención que una vez en la vida está bueno ir si no es lo tuyo, pero es muy lindo. Ahí en Las Vegas, aparte. Después, está la Rooted Con[24], hablando de conferencias en España, que está muy bueno también. Así que hay un montón de recursos. Y volviendo a tu pregunta, nunca es tarde. Nunca es tarde, o sea siempre tenés tiempo. Hay un montón de recursos. El tema es eso, encontrar el recurso. Buscar a alguien para seguir. Está este chico S4Vitar[25] (con un 4 en la “a”) en España (en habla hispana) que dejó su trabajo de penetration tester, etcétera, para ser YouTuber de seguridad. Así que genera muy buen contenido, para seguirlo. Y después nosotros tenemos, si buscan Alan “El Mago” Levy[26], nosotros tenemos también charlas en donde invitamos a colegas y amigos a hablar de todo, de hecho…
GC: Mirá, vamos a hacer una cosa Nahuel, vamos a poner las notas de este episodio…
NG: Sí
GC: …una serie de links que me pases, así quien esté interesado en explorar un poco más este mundo, lo puede hacer. Yo te quiero agradecer por tu tiempo. Me quedaría hablando días enteros, pero siempre terminaría igual en “che, y ¿me podés enseñar?”. Así que te agradezco, porque creo que de cierto modo lo hiciste. Para mí fue muy edificante esta conversación…
NG: Un lujo
GC: … es Nahuel Grisolía de Cinta Infinita
NG: Bueno, No Es Nada.

Responder

Comentarios

Walter Alini dice:
11 junio, 2022 a las 21:49
340. Nahuel Grisolia – Rate my penetration
Hay gente que busca distintas cosas. Hay algunos que buscan como la llave de la felicidad, otros que buscan la paz interior. Yo hace rato que estoy buscando a alguien que me pueda contar de una cosa que yo leí mucho, pero pensé que era… por un lado pensé que era como una fantasía, un mito y después dije “bueno, no, no es un mito, esto existe pero no debe existir cerca mío, no voy a encontrar alguien que primero, me lo pueda contar de primera mano, segundo que me lo quiera contar de primera mano y tercero, que además de contármelo, lo haya vivido”. O sea, que no sea alguien que versea como yo, y que encima de todo hable castellano. Y hablo con un amigo y le pregunto, le digo “che, ¿cómo es esta historia? Que en Estados Unidos, además de pentesting[1], pentesting es un chabón que vos le decís “mirá, hice esta web o hice esta aplicación: fijate si podés acceder a lugares a los que no deberías poder acceder”. O sea, ¿vos podés entrar como si fueras el administrador a esta web? Bueno, eso se llama pentesting, que es probar la penetración, test de penetración. Suena muy porno, pero es así. Y eso se hace con las web: eso sí conozco, tengo mil amigos que se dedican a eso. Leyendo un día encuentro que hay gente que se dedica a chequear qué tan impenetrables son los sistemas de seguridad físicos. Esto significa: si alguien que no debería poder entrar a un lugar puede entrar a ese lugar. Y el modo de probarlo es yendo en persona. Bueno, lo estoy buscando hace un montón de tiempo y el otro día me escribe un amigo y me pone “codename: Cinta Infinita[2]. Llamame”. Lo llamo, me dice “boludo, ¿hablaste con Nahuel[3]?” No. “¿Y por qué no hablas con Nahuel de Cinta Infinita? Porque él puede hablar de ese tema, quizás si lo convencés” y dije “bueno, vamos a hacerlo más fácil: voy a intentar hablar para No Es Nada y convencerlo”.
Guillermo Catalano: Hola Nahuel, ¿Cómo estás?
Nahuel Grisolía: Cómo estás Fierita? ¿Todo bien?
GC: Bien. Eh… estoy muy entusiasmado. A mí me pasa que hace mucho tiempo (yo soy una persona mayor ya), hace mucho tiempo que me interesa, por supuesto, el mundo del hacking, el mundo de la seguridad informática[4]. Y me pasó que me crié con muchos amigos que, cuando yo era joven, eran como yo (entusiastas) y hoy son expertos: es un tren que va muy rápido. Si te quedás abajo, te quedás abajo bastante. ¿Vos hace cuánto que estás con este tema?
NG: Y mirá, vos lo dijiste: me llevaba mi hermana al Obelisco[5] cuando tenía alrededor de doce, trece años a juntarme con la Darkside Brotherhood. Me decía que no haga lío y ahí, bueno, empecé a hacerlo de manera… jugando. Como la mayoría de los que nos dedicamos ahora profesionalmente a esto. De hecho, a muchos de la Darkside Brotherhood los encuentro en algunos clientes y en algunos lugares
GC: Eso es gracioso. A mí me pasa a veces que me he encontrado con gente de esa época y a alguno se le escapa y tira el nick y los otros se empiezan a reír, todos a poner colorados porque, al final, yo no sentía eso en un momento. Mirá, se disparó para otro lado la charla, pero yo en un momento cuando era joven pensaba que eso era una traición. Como que un hacker que se pasaba a trabajar en infosec[4] era una traición
NG: No
GC: Y hoy creo que cambió un poco ese paradigma porque alguien tuvo la genial idea de decir “pará, pero hay hacking[6] y ethical hacking[7]. Como si el resto del hacking no fuera ético, tengo un amigo que odia el término “ethical hacking” porque…
NG: Sí, sí, yo no lo uso, yo no lo uso
GC: Ah, vos no lo usás
NG: No, mucho no me gusta tampoco. El hacking es el hacking, después si se utiliza de buena manera o por delincuentes informáticos es otra cosa. Es como saber algún arte marcial, ¿no? Yo les digo siempre: si sabés un arte marcial y le pegás a las viejitas atrás del Banco Piano[8] para robarse las jubilaciones, es una cosa. O defenderte es otra. Así que…
GC: Claro
NG: …es un conocimiento que se puede aplicar de ciertas maneras, nada más
GC: Y a la vez hay una cosa. Bueno, hay un libro muy bueno que vos en tu charla… que es “The Hacker Ethic”[9] o “La Ética Hacker”…
NG: Sí, correcto
GC: …que es es un libro muy bueno. No hace falta saber… ser un experto, te da una introducción casi filosófica a este mundo
NG: Sí, correcto. Está buenísimo. Está Linus[10] haciendo una… la primer parte y te lleva… es por alguien que no es informático, ¿no? Y te cuenta un poco su visión, lo cual está muy bueno, y deja un montón de visiones sobre los que hacemos esto, que la verdad que me parecen excelentes y muy acertadas…
GC: El otro día…
NG: …más que nada de compartir esto de, como vos lo dijiste al principio, compartir un poco experiencias y llevar al mundo lo que sabemos
GC: Bueno vos contás también en tu charla[11] que hay en YouTube, una charla de Nahuel: ¿cómo la encuentran?, ¿cuál es el título en YouTube?
NG: Sí, si uno pone “Nahuel Grisolía” y pone EkoParty[12] con “k”, o pone “Nahuel Grisolía RFID” que es un poco a lo que viene tal vez este encuentro eh…
GC: La encuentran
NG: …ahí pueden llegar a encontrarla, seguro
GC: Se las recomiendo, no hace falta ser experto para disfrutarla. Grisolía con “s”. Eso es algo que me gusta mucho, que cambió en el ambiente del hacking. Cuando yo era joven y tal, había como una cosa medio expulsiva: como que te la medían y si no dabas la talla, fuera. Hoy via la EkoParty y un montón de lugares, hay una cosa como de bienvenida a aquellos a los que nos interesa, pero no necesariamente somos expertos
NG: Sí, sí, correcto. Hoy hay mucha comunidad, mucho de devolver. Nosotros nos encanta devolver lo que en algún momento se nos dio, no… de algún lado todos aprendimos. Así que eso está muy abierto hoy. Obviamente hay círculos muy cerrados en otros lugares también, pero hoy se encuentra todo
GC: El otro día me enteré que… de un consultor de seguridad informática de Estados Unidos que era muy reconocido y tal, y un día (año después) trascendió que el tipo había trabajado adentro de la NSA[13] y no lo sabían ni sus colegas. Si lo pensás era bastante lógico, tiene más sentido que haya trabajado en la NSA que en la Cruz Roja[14], pero bueno: esos secretos también existen, de que de repente vos conocés una persona muchos años y esa persona tiene una doble o triple agenda y ni te enterás
NG: Seguro, seguro.
GC: Pero contame de lo de “physical pentesting”. O sea, vos por un lado hacés seguridad informática, tenés una empresa de eso, ¿verdad?
NG: Sí, correcto, Cinta Infinita, nos dedicamos hace ya varios años a hacer lo que vos contaste, “pruebas de intrusión” como le decimos nosotros, pruebas de seguridad o penetration test
GC: Claro: prueba de penetración en castellano se complica
NG: Claro: entonces yo le digo “prueba de intrusión” en donde probamos análisis web, análisis mobile, infraestructuras tecnológicas, lo que nos pongan adelante. A mí me gusta mucho también la parte electrónica, de hecho soy Técnico Electrónico aparte, bueno, de Ingeniero Informático. Entonces me gusta mucho la electrónica y hasta no sé… tengo research, tengo investigaciones con temas de cerraduras electrónicas, temas de lamparitas bluetooth (cómo prenderlas sin permiso). Entonces, lo que nos pongan adelante que podamos descubrirles sus vulnerabilidades, lo tratamos de hacer
GC: ¿Cómo reclutás vos gente? O sea, porque eso es difícil, porque vos tenés que traer a trabajar con vos a una persona que sea capaz de atravesar vallas (porque de eso se trata el trabajo), pero a la vez que vos, me imagino que como empresa, tenés también algún límite que decís “che, bueno, esto no da, que me rompan, no sé, mi propia cuenta del banco”
NG: Sí, eh, en realidad, nosotros desde Cinta somos tres socios, es una empresa chiquita, pero por suerte tenemos muchos clientes porque nos dedicamos a esto hace mucho, así que en el sentido ese estamos bien. Como que está reducida la posibilidad
GC: Y esto del physical pentesting…
NG: Sí
GC: …esto es, por ejemplo, un edificio de una empresa que es imposible pasar si no tenés la credencial o hay que chequear “che, mirá, queremos… tenemos nuevos sistemas de seguridad de acceso, quiero saber si esto funciona o no funciona”. ¿Eso se hizo, se hace en Argentina alguna vez? ¿En Sudamérica, en España?
NG: Sí, mirá, hoy no es el fuerte del laburo que hacemos. Vos lo dijiste, hoy hay mucho más web y mobile que es el fuerte. En… cuando yo comienzo allá por el 2007 en una empresa que nos consolidó a muchos de los que laburamos de esto acá en Argentina, se hacía mucho todo lo que era temas de WiFi, temas de tratar de romper la seguridad de los WiFi de aquella época que se usaba WEP[15], que es un mecanismo de autenticación y de cifrado del canal, que es equivalente al cable (por eso era Wired Equivalent Privacy, digamos) que en su momento tuvo un montón de problemas; de hecho, hoy es conocido se puede crackear. Entonces nosotros nos acercábamos a los distintos lugares en donde nos ponían para ver si desde afuera podíamos llegar a entrar; o sea, era un esquema híbrido entre físico y virtual. Eso se usó bastante más que intentar entrar físicamente a un lugar. Lo que sí también solíamos hacer, por ejemplo, en bancos en donde en salas de espera había una ficha Ethernet[16] RJ45[17] cerca, tratábamos de…
GC: Eso es, para el que no es experto, es el cable de red hembra, ¿no?. Donde vos conectás un cable de red hay empresas que tienen cableado todo, y está esa ficha ahí y vos decís “¿qué pasa si yo pongo un cable acá?”
NG: Correcto, nos contrataron para hacer pruebas de intrusión a los sistemas internos, okay, pero no te voy a dejar entrar a mi lugar. Okay, me voy a una sucursal, me intento sentar, me pongo auriculares (como que estoy entrenando, estoy haciendo otra cosa para que nadie me moleste) y “sin querer” me engancho con un cable a alguna de las bocas disponibles. Si eso nos permite entrar ya digitalmente a las redes internas, ¡bingo!
GC: Claro, yo leí mucha literatura, no sé qué tanto es cierto y qué tanto es fantasía, donde hablan por ejemplo de una cosa que se llama el “rubber ducky”[18]
NG: Sí, claro, existe eso: el rubber ducky es una herramienta electrónica que uno la puede llegar a conectar, no sé, si la persona que me está atendiendo se levanta a hacer una fotocopia yo quizás puedo sacar este rubber ducky y conectarlo en la computadora que está usando y, como se levantó a hacer una impresión y la dejó desbloqueada, ese rubber ducky va a ejecutar un montón de comandos, todos rápido, va a escribir por mí en un teclado virtual que crea, todo… un par de comandos como para poder generar quizá una puerta trasera[19] o una conexión remota. Entonces, esas son las oportunidades que tienen los atacantes: en esa se levantó la persona, entonces tengo que sacar ese rubber ducky (que es simplemente un chupetito USB como si fuese un pendrive) y se enchufa, ejecuta los comandos, cuento hasta 2 y lo desenchufo y se ejecutó
GC: Y deja una constancia que a vos después te permite mostrarle a tu cliente, decir “bueno, mirá, acá accedí, acá accedí, acá accedí…”
NG: Tal cual, después lo de WiFi que te contaba, bueno, tenía sus temas, ¿no? Porque en esas épocas nos han mandando, por ejemplo, a estos lugares donde almacenan las grandes cadenas de retail todas sus electrónicas (todas sus cosas) y estábamos en la ruta con un auto con antenas saliendo del auto (que justo era un auto… un Bora negro, muy sospechoso) al costado de una ruta y estábamos intentando penetrar esa red de WiFi como para poder ver si podíamos entrar en ese sentido. Entonces era una mezcla de físico y virtual, ¿no? Y veíamos unas camionetas negras que venían de adelante y de atrás y bueno: sacaron unas 9mm hermosas, nos apuntaron y nos dijeron “bájense” y la persona que nos acompañaba “soy de, soy de”, les gritaba y nosotros sacamos las manos por las ventanillas y bueno, hasta que se avisó a seguridad física que éramos contratados y todo, la pasamos un poco mal. Pero bueno: sucedió, sucedió…
GC: Claro
NG: …hoy no es tan común, por lo menos para…
GC: porque para que esto funcione nadie tiene que estar de sobreaviso, excepto el número 1 de seguridad de la compañía, porque sino no tiene sentido la prueba
NG: Tal cual, porque sino se empiezan a avisar y ya está. Entonces, en este caso pasó eso y es una anécdota que siempre tenemos con el CSO[20] que es la persona encargada de seguridad de esa compañía, después de tantos años. Así que…
GC: Es loco también cómo, con el tiempo, esto que vos decías: un pibe que va al Obelisco a charlar con otros nerds…
NG: Sí…
GC: …de repente, por avatares de la vida, termina viendo cómo te metés en una oficina, cómo clonás una tarjeta de acceso, no se qué y cuando te querés acordar, estás hablando con unos tipos que son policías, o que son militares, o lo que sea…
NG: Sí…
GC: …y casi que hablás de igual a igual
NG: Mirá, cuento siempre que yo trabajaba en IBM[21] en Backup y Recovery, y mis primeros años… a los 20 encontré eso y trabajé 4 meses, cuando llega una búsqueda, de hecho lo hacía de noche, de 11 de la noche a 7 de la mañana. Cuando llego a mi casa 9 de la mañana, llega una búsqueda de esta primera empresa que te cuento, decía “buscamos pentesters que usen estas, estas, estas herramientas” y yo digo “pero, yo sé hacer esto”. “¿Esto es un laburo?”, dije yo. Y mandé mi CV y a los 15 días estaba trabajando ahí. No sabía que esto era un negocio y hoy tenemos una empresa con tres amigos y colegas. Entonces, yo siempre lo cuento y me da escalofríos cada vez que lo cuento porque es real, ¿eh? O sea, no sabía que esto era un negocio
GC: Si a alguien le interesa este tema hoy y no sabe mucho (no sabe nada, te diría), ¿todavía está a tiempo? ¿O si no empezaste a los doce años estás muerto?
NG: A recontra tiempo, de hecho siempre contamos también la anécdota que uno de los socios, bueno les mando saludos a Puky y al Mago, fijate dije “Puky” y “El Mago”, ¿no?
GC: Que no soy yo, aclaremos
NG: Que uno de ellos de hecho, comenzó después de la universidad en donde el docente de una de las últimas materias de seguridad, había sido empleado de esta empresa y yo me estaba yendo ya (habiéndolo hecho casi tres, cuatro años de carrera ahí) y él estaba ingresando y hoy somos socios y somos pares. Y después, la otra, “El Mago” inició un poco de más tarde y acá estamos. Somos tres, mantenemos la empresa y, nada, por ahora (puedo decirlo) acá en Argentina somos bastante referentes. “Los chicos de Cinta” es bastante conocido, por suerte
GC: Los chicos que ya tienen un promedio de edad que deja de ser chicos
NG: Sí, Tenemos 37, 36, por ahí andamos
GC: Los chicos ya…
NG: Pero bueno, ahí estamos
GC: Está muy bien, está muy bien. Siempre tengo un amigo que dice que cuando te dicen “los chicos de sistema” es para pagarte menos
NG: Claro. Tal cual, para que sea más barato. Y te cuento una más, si querés
GC: Sí, claro
NG: Haciendo de RFID, que es esto de las las tarjetas de ingreso, de ver… empecé a estudiarlas como un hobby, como una parte de research mientras hacemos los laburos. Bueno, mientras lo hacía al research, creaba slides, creaba un curso, porque mientras yo aprendo, digo “bueno, si creo un curso, voy a aprender más todavía”. Y terminé creando allá por el 2013 todo un curso que primero fue de un día, después fue de dos. Que por suerte lo pude dar en un montón de lugares del mundo. Me fueron invitando de Alemania, de Rusia. En Rusia estuve tres veces. Ahora no es momento, pero estuve tres veces…
GC: Ahora tenés que ser pentester, pero para salir
NG: Sí, tal cual. Estuve en Alemania casi diez, quince veces en una conferencia muy buena (si están allá en Europa) que se llama la Troopers[22], troopers.de, muy, muy buena, premium quality
GC: ¿Es comparable con una DEF CON[23]?
NG: No tanto, pero en calidad dura menos, no es una convención hacker como una DEF CON. Yo le llamo convención a la DEF CON, porque es como una reunión, es un… la Troopers es más corta pero es bien pro, es comparable en el sentido de que hay charlas, hay comunidad, hay juegos, hay hacking, hay nerds, está todo eso y es ultra copada. Así que… ahora creo que se celebra en en julio
GC: En la DEF CON es como un mito en todos los que estudiamos, nos gusta mirar este tema de de lejos, y el otro día alguien… yo le conté, le digo “oy, a mí me gustaría un día ir a una DEF CON” y me dijo “¿y por qué no vas a una comisaría?”. Le digo “¿cómo?”, me dice “sí, si en la DEF CON son todos policías”. “Ya no van más hackers”, me dijo, “son todos policías”
NG: Y hay mucho, hay mucho FBI, hay mucho ¿no? Buscando eso. Ehh, no, hay de todo…
GC: Reclutando talento y parando la oreja, de paso
NG: Tal cual. Escuchando, haciendo chats. Si ves que una persona se te acerca mucho, te empieza a preguntar, se hace un amigo y te regala una birra, ya empezás a dudar, ¿viste?
GC: Claro, claro
NG: Pero bueno, es una convención que una vez en la vida está bueno ir si no es lo tuyo, pero es muy lindo. Ahí en Las Vegas, aparte. Después, está la Rooted Con[24], hablando de conferencias en España, que está muy bueno también. Así que hay un montón de recursos. Y volviendo a tu pregunta, nunca es tarde. Nunca es tarde, o sea siempre tenés tiempo. Hay un montón de recursos. El tema es eso, encontrar el recurso. Buscar a alguien para seguir. Está este chico S4Vitar[25] (con un 4 en la “a”) en España (en habla hispana) que dejó su trabajo de penetration tester, etcétera, para ser YouTuber de seguridad. Así que genera muy buen contenido, para seguirlo. Y después nosotros tenemos, si buscan Alan “El Mago” Levy[26], nosotros tenemos también charlas en donde invitamos a colegas y amigos a hablar de todo, de hecho…
GC: Mirá, vamos a hacer una cosa Nahuel, vamos a poner las notas de este episodio…
NG: Sí
GC: …una serie de links que me pases, así quien esté interesado en explorar un poco más este mundo, lo puede hacer. Yo te quiero agradecer por tu tiempo. Me quedaría hablando días enteros, pero siempre terminaría igual en “che, y ¿me podés enseñar?”. Así que te agradezco, porque creo que de cierto modo lo hiciste. Para mí fue muy edificante esta conversación…
NG: Un lujo
GC: … es Nahuel Grisolía de Cinta Infinita
NG: Bueno, No Es Nada.
[1] https://es.wikipedia.org/wiki/Examen_de_penetraci%C3%B3n
[2] https://www.cintainfinita.com/
[3] https://twitter.com/cintainfinita
[4] https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
[5] https://es.wikipedia.org/wiki/Obelisco_de_Buenos_Aires
[6] https://es.wikipedia.org/wiki/Hacker
[7] https://es.wikipedia.org/wiki/%C3%89tica_hacker
[8] https://www.bancopiano.com.ar/
[9] https://es.wikipedia.org/wiki/La_%C3%A9tica_del_hacker_y_el_esp%C3%ADritu_de_la_era_de_la_informaci%C3%B3n
[10] https://es.wikipedia.org/wiki/Linus_Torvalds
[11] https://www.youtube.com/watch?v=H6KuSk6OzsA
[12] https://www.ekoparty.org/
[13] https://es.wikipedia.org/wiki/Agencia_de_Seguridad_Nacional
[14] https://es.wikipedia.org/wiki/Cruz_Roja
[15] https://es.wikipedia.org/wiki/Wired_Equivalent_Privacy
[16] https://es.wikipedia.org/wiki/Ethernet
[17] https://es.wikipedia.org/wiki/RJ-45
[18] https://www.redeszone.net/tutoriales/seguridad/rubber-ducky-ataque-dispositivo/
[19] https://es.wikipedia.org/wiki/Puerta_trasera
[20] https://es.wikipedia.org/wiki/Director_de_seguridad
[21] https://www.ibm.com/
[22] https://troopers.de
[23] https://defcon.org/
[24] https://www.rootedcon.com/
[25] https://youtube.com/s4vitar
[26] https://www.youtube.com/c/alanlevy-elmago
Responder

Dejar una respuesta Cancelar la respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Entradas relacionadas

Comentarios

Dejar una respuesta Cancelar la respuesta