Nuestra entrevista de esta semana es para otro grande, en este caso Chema Alonso ha sido la víctima de nuestras preguntas. Amablemente ha querido dedicar un tiempo a contestarnos en exclusiva, algo que agradecemos conociendo su agenda.
Creo que Chema Alonso, uno de nuestros hackers nacionales más populares, no necesita presentación y entiendan por “hacker” el verdadero significado de la palabra. A los que no lo conozcan, podéis saber más sobre él googleando y os animo a que accedáis a su blog, donde encontraréis interesantes posts sobre seguridad. Ya sabéis Elladodelmal os espera. Mientras tanto, puedes leer lo que nos ha contestado.
Linux Adictos: 1- La primera pregunta es obligada… Pablo Motos, Jordi Évole, Mamen Mendizábal y ahora yo. ¿Qué te ha pasado, Chema?
Chema Alonso: Yo procuro atender a todo el mundo. Contestar a todo el mundo los correos electrónicos y los mensajes que me ponene. Es cierto que no doy a basto. Me ponen mensajes en Twitter, Facebook, Google+, Youtube, Instragram, el blog, el correo electrónico, etcétera, y me es totalmente imposible sacar tiempo para responder todos, pero juro que lo intento. En cuanto a los periodistas, la verdad es que he tenido de estar con algunos muy buenos en Televisión, pero otros también muy buenos en prensa y en el mundo de Internet. Si saco tiempo, respondo a las entrevistas.
LxA: 2-Tengo entendido que has sido profesor de Linux y durante tu carrera has trabajado con distribuciones Linux. ¿Qué te gusta y que te gustaría cambiar de él?
C.A.: Sí, es cierto. He sido profesor de GNU/Linux muchos años y he dado muchos cursos de RedHat – que era el que más avanzado estaba a finales de los 90 -. De GNU/Linux me gusta que puedes montar muchas cosas con estos sistemas, la modularidad que existe para hacerlo a tu gusto, y la cantidad de herramientas que hay. Distribuiciones con Kali Linux, CentOS, Ubuntu o Debian son ejemplos de cómo un mismo core se puede adaptar a muchos entornos distintos. No me gusta la religión que algunos profesan con el software libre y la falta de algunas herramientas de gestión empresarial y entornos de usuario. Ahí sigo prefiriendo sistemas Microsoft Windows o sistemas OS X.
LxA: 3-Como es frecuente, el código abierto despierta simpatías y odio. Algunos piensan que es de mala calidad o que es más inseguro que el cerrado. ¿Qué le dirías a los que opinan eso?
C.A.: Cualquiera de estas afirmaciones, por sí misma, es un error. Lo importante no es si el código es abierto o cerrado, sino lo que se haga con él. Existen proyectos muy de software libre muy elaborados y trabajados, y otros que no lo son. Pensar que un proyecto porque sea OpenSource va a ser auditado por todo el mundo no es verdad. Hay que hacer mucho más que eso. Además, por mucho que se tenga el código fuente, descubrir los bugs de seguridad es algo que puede que aparezca solo cuando el código está compilado para una determinada arquitectura y ejecutado en un determinado entorno. Por eso se usan las técnicas de Fuzzing.
Por otro lado, publicar el código fuente y las actualizaciones de seguridad en los proyectos Open Source, abre una ventana de oportunidad a los buscadores de 0days a la hora de generar exploits antes de que exista el parche que lo soluciona en el binario distribuible. Lo hemos visto en muchos casos. Mi opinión es que, sea OpenSource o no, lo que importa es la calidad del software y si el software lo hemos hecho en nuestra empresas para nuestra seguridad, además de auditarlo bien, prefiero que el código fuente se quede en casa }
.LxA: 4-Eres propietario de 0xWord. Tengo varios títulos sobre seguridad vuestros y recomiendo a todos que se den un paseo por la web. Es una librería algo atípica, porque dais oportunidades a nuevos escritores que quieran publicar su libro sobre seguridad u otros temas. El software libre también ofrece muchas oportunidades y creo que es vital para la educación. ¿No crees que las empresas que desarrollan software propietario se deberían replantear abrir su código?
C.A.: Muchas ya lo hacen, pero no creo que deba ser algo mayoritario. Hoy en día hay disponibles cantidades enormes de código fuente publicado, lo que es una gran ayuda para aprender. Creo que una empresa debe abrir su código en ciertas circunstancias, pero no creo que deba ser el único camino. Puede ser que una pequeña empresa abra su código libre y luego lo aproveche una gran empresa mejorándolo y explotándolo sin que la pequeña empresa pueda competir para ello. Creo que para un estudiante o un profesional hacer programas de código abierto es una gran carta de presentación, y para las empresas puede ser una forma de hacer comunidad y posicionar mejor el producto, pero no es el único camino.
LxA: 5-Y a colación de la anterior pregunta. Nuestro blog está orientado al software libre y Linux, pero últimamente estamos escribiendo bastante sobre Microsoft. Ha abierto alguno de sus proyectos, han aparecido algunas declaraciones que nos han sorprendido, lanzan .NET Core y Visual Studio Code para Linux y se rumorea que se discute internamente sobre un Windows open-source. ¿Te gustaría ver un Windows de código abierto?
C.A.: Microsoft ya tiene gran parte de su código abierto, y es probable que en el futuro abra más. Tal vez lo saquen en el futuro open source, pero no creo que lo hagan a corto – tal vez me equivoque -. A día de hoy, el sistema operativo Windows sigue teniendo muchas ventas con respecto a sus competidores, y en gran medida es por cómo hacen las cosas en el kernel y en la capa del sistema operativo. Es una ventaja competitiva que quieren posicionar para luchar contra otros sisemas como Android, iOS u OS X que tienen otras ventajas competitivas.
LxA: 6-Está detrás de Eleven Paths, una compañía sobre seguridad digital y que surge de Informática 64 y Telefónica. Ésta última compañía, con la que tienes relación, apostó por el sistema operativo Firefox OS para dispositivos móviles. ¿Qué opinas de Firefox OS y qué ventajas le ves sobre iOS, Android, Tizen,…?
C.A.: No solo tengo relación con Telefónica, es que trabajo en Telefónica. La compañía apuesta desde hace mucho tiempo por la libertad de elección de los usuarios y la neutralidad en la red. Y mientras que algunas compañías hablan de neutralidad en la red para crear servicios con iguales posibilidades, hacen sus sistemas menos interoperables día a día. Mover tu vida digital de iOS a Android o de Android a Windows Phone es un dolor. No son nada interoperables para nada. La apuesta de Telefónica es apoyar un ecosistema más amplio y menos cerrado, por eso se apostó por Firefox OS y se sigue apoyando. La ventaja es que detrás de él está Mozilla Foundation creando un ecosistema de Webapps que puedan correr en cualquier sistema. Esa es la ventaja que los “locos” de Mozilla quieren potenciar.
LxA: 7-Hablemos ahora de FOCA. Es un software maravilloso, pero desde nuestro punto de vista tiene un “bug” que no ha sido corregido. ¡No está disponible para Linux! Podemos correrlo desde Wine, contar con otras herramientas o con MetaShield Analyzer, pero aun así lo echamos de menos. Existen muchisimas herramientas para pentesting, análisis forense, etc., para Linux. También hay muchas distros como Kali, Parrot OS, Santoku, DEFT, y un largo, etc. Sin duda Linux es muy importante en este apartado. ¿Por qué has decidido no portar FOCA?
C.A.: Nunca portamos FOCA por falta de recursos, ahora estamos pensando en liberar el código en .NET y que la gente decida si lo quiere compilar para Linux con el nuevo anuncio de Microsoft o mejorarlo día a día. Tendréis que esperar un poco.
LxA: 8-NeXT decidió crear un sistema operativo Unix, que luego sería el germen de Mac OS X cuando Apple adquirió la compañía. Unix es sin duda un gran sistema y Microsoft coqueteó con él con Xenix. Pero finalmente apareció Windows NT (OS/2). ¿Crees que si Windows fuese hoy un *nix sería mejor?
C.A.: No, ni mucho menos. Microsoft no “coqueteó” con UNIX, Microsoft construyo XENIX que se vendió a Santa Cruz Operations y SCO UNIX se convirtió en el UNIX más desplegado del mundo. El kernel de Windows es una maravilla y así lo demuestra el funcionamiento y la experiencia de usuario que se tiene con los kernels 6.x.
De todas formas, pensar que el kernel de Windows y el de UNIX se diferencian en mucho… es un error. Hay una conferencia genial de Mark Russinovich que se llama “A tale of two Kernels” en la que analiza lo que tienen los kernels NT de Windows y los de Linux, y sorprende ver lo cuasi exactos que son.
De hecho, me encanta una frase que dijo Linux Torvalds hace años en una conferencia en la que le preguntaban por qué los desarrolladores del kernel eran una comunidad que cambiaba tan poco de caras e incorporaba poca gente nueva. Él dijo que, además de no ser la comunidad más simpática, el tiempo de soluciones sencillas a problemas sencillos en la creación de kernels monolíticos hace años que pasó.
LxA: 9-Siempre te escucho decir que se debe utilizar un antivirus. No solo en Windows, también en otras plataformas como Mac OS X. Muchos dicen que un antivirus en Linux solo sirve para ralentizar el equipo. ¿Qué consejo le da a los linuxeros sobre esto y qué antivirus les recomiendas?
C.A.: Que si el tema es ralentizar el sistema, que quiten el firewall, las protecciones de todo el sistema operativo… y a correr! }
LxA: 10 – Y la última la más difícil de todas. ¿Ha sido esta la peor entrevista de su vida? ;p
C.A.: Nooo, ni mucho menos. Me han llegado a preguntar tantas tonterías… Una vez a un periodista de radio le dije: “Por favor, no me preguntes eso que es una chorrada”. Hay veces que les escribo las preguntas que me tienen que hacer para que pueda explicarles correctamente las cosas de actualidad. Si yo contara….
Un placer contar con gente como Chema Alonso para nuestra serie de entrevistas y que, además, en este caso nos trae una buena noticia para el futuro y es que tal vez tengamos FOCA para GNU/Linux…
El artículo Chema Alonso nos responde en exclusiva para LxA ha sido originalmente publicado en Linux Adictos.
Enlace a la fuente original: Chema Alonso nos responde en exclusiva para LxA
Continúar leyendo...