Entrevista a Carlos Pérez. "Metasploit ha cambiado la industria y lo seguirá haciendo"

Respuesta: Ese es el propósito, el mundo no es solo Windows, Linux, Unix, Cisco o cualquier otra plataforma. Igual que no solo hay sistemas operativos, sino que también hay almacenamiento, redes, bases de datos y sistemas que operan sobre ellas. Siempre estoy leyendo y aprendiendo de todo, mi experiencia viene de haber trabajado muchos años, no solo en seguridad, también en diseño de CPDs y soluciones para estos. He tenido muchas reuniones con hombres de negocios viendo como plasmar sus necesidades en soluciones técnicamente seguras. Te seré sincero, la seguridad en general es el área que más estudio en profundidad, pero siempre estoy aprendiendo de diseño, programación e infraestructuras. Porque el saber solo de algo sin tener la imagen completa hace lo que yo llamo «One trick ponny«, es como un pentester que no sepa de programación y de administración de sistemas, ¿cómo podría hacer recomendaciones si el mismo no conoce como funciona? solo sabe trucos de como meterse en los mismos.

R: Se verá reducida la explotación remota de «buffer overflow» y «memory corruption» de servicios remotos a los que nos conectamos. Los fallos en aplicaciones tipo web y del lado de cliente son cada vez más complejos y esa complejidad siempre traerá problemas; por lo cual veo una reducción según se aprende, pero no desaparecerán. También siempre estará el problema del factor humano donde veremos malas configuraciones e implementación de controles.

R: El debate que sepa no ocurre, Metasploit hoy en día es un producto de Rapid7, cuyas normas y evolución se dictan más por la compañía que por los desarrolladores que contribuyen su código al Framework. El Framework es solo una base para el producto comercial, ya que el instalador lo que te instala es la demo de los mismos no una versión completamente libre. No veo que ofrezca valor el poner una vulnerabilidad de manera «Weaponized» libre si el fabricante ya se comprometió a parchearlo en su próximo ciclo o semanas, y solo un número pequeño de personas lo está usando. Hacerlo público lo abre a que cualquier «Script Kiddy» pueda abusar del mismo, ya que no hay protección. Se dice que es para que la gente configure sus IPS o que investigue una mitigación, pero ¿Cuántos realmente lo hacen o lo tienen en forma de bloqueo? por lo que he visto creo que bien pocos, por lo cual lo veo como puro mercadeo.

Sí veo que hay momentos en los cuales sirve para presionar para que se solucione cuando el desarrollador ignora o simplemente no le importa, al igual que veo que sirve para los auditores de sistemas en sus pruebas para demostrar riesgo cuando el exploit es abusado por varios medios externos. Pero cuando el exploit no es público ni abusado en ese caso no le veo el valor a hacerlo completamente público a cualquier persona externa. Todo es como se hace, en algunos casos estoy en desacuerdo en otros no, pero como mencioné la comunidad no tiene voto ni voz sobre como ellos lo trabajan. Ahora no lo tomes como que no quiero el proyecto, Metasploit ha cambiado la industria y lo seguirá haciendo. El cambio al modelo comercial ha mejorado la calidad de código considerablemente, estoy contento de que a muchos de los desarrolladores ahora se les pague para escribir todo el día en el proyecto que aman y quieren, tengo el mayor respeto por todos ellos. El cambio ha sido para bien y el que quiera contribuir puede seguir haciéndolo, por eso es que creé el script de instalación y sigo escribiendo módulos para amistades y bajo contrato. Es una de las mejores herramientas y siempre me verás trabajando en la base de código abierto de ella, con mis propios plugins, módulos y enviando arreglos al código según el tiempo y motivación me permitan.

R: Eso está difícil. Dependiendo del cliente, plataforma y lo que tenga, diría que mi cerebro, cualquier lenguaje moderno y como sistema operativo Linux, ya que me brinda la mayor flexibilidad en utilidades dentro del mismo que puedo usar y unir usando bash, python o ruby.

R: Bueno firmé para ello pero no logré graduarme por problemas de vista, después me buscaron para volver tras una cirugía que me corrigió el problema, pero mi esposa me amenazó con el divorcio si lo hacía. He practicado artes marciales, y durante mucho tiempo he estudiado las ciencias de combate, hasta he sido instructor de combate cercano con arma corta. Todo eso me ha enseñado a simplificar y no sobrecomplicar las cosas. También me ha llevado a una noción de entrenar constantemente, evaluar, descartar lo que no sirve según pasa el tiempo y reinventar procesos y técnicas según evoluciona el ambiente.

Otra área es que puedo entrenar en el polígono disparando todo el día, en el gimnasio golpeando el saco o en el laboratorio corriendo módulos y scripts, pero si no entrenas contra otra persona no verás tus fallos y áreas de mejoras, sea en fogueo con munición simulada contra contrincantes o que un amigo configure una red y trates de penetrarla, solo estás en el principio del proceso de aprendizaje.

R: Te seré sincero, no recuerdo nada que brille o sobresalga. Siempre me ha sorprendido algo que pasa una vez o dos al año, que es el ser llamado para hacer un pentest, no gano la adjudicación y después me llaman para evaluar el trabajo del que ganó, y encontrar que la mayoría de los pentesters que veo no saben lo básico como en tiempos anteriores. No saben de redes, de sistemas operativos, de como trabajan las cosas, solo saben correr herramientas que otros han escrito y no saben ni como el cliente genera dinero y maneja su negocio para entender sus necesidades, de manera que puedan adaptar su reporte de recomendaciones a las realidades del mismo. Te diría que lo que más me llena ahora es enseñar a otros a no ser como esos. El dar clases o escribir sobre la base me ha llenado de mucha alegría y buenos momentos más que el ejecutar los pentest.

R: En realidad vengo del mundo MS y nunca lo he dejado. Te contaré algo personal que muy pocos lo saben, yo al nacer tuve problemas de oxígeno y sufrí daños por ello. No aprendo ni retengo información como todo el mundo por lo cual tengo que trabajar un poco más duro que el resto. Mi gran ventaja es que mi madre nunca aceptó eso e ignoró lo que los médicos y psicólogos decían y me enseñó una lección bien importante de la vida: que es no rendirse y trabajar duro para avanzar en la vida. También mi madre ha sido cocinera, vendedora, diseñadora de interiores, empresaria, creó su propia línea de ropa y es artista (ahora mismo mi casa esta decorada con sus cuadros). En pocas palabras, me enseño que en esta vida hay que evolucionar y cambiar según el tiempo pasa. En mi trabajo día a día trabajo con Cisco, Juniper, servidores, unidades de almacenamiento de fibra, iSCSI, NFS, CIFS, con Windows, Linux, HPUX, Solaris y otras cosas más.

Nunca me ha gustado la idea de ser lo que llaman «One Trick Ponny«. Durante mucho tiempo le dediqué todo el tiempo a Metasploit; antes de eso fue defensa e infraestructura, consolidando y asegurando centros de cómputo; ahora trabajo más en defensa. Como verás, por todo ello toco un poco de todo y me ves semanas leyendo de un área y después me puedes ver el siguiente mes leyendo y aprendiendo de otra, pero siempre practicando los fundamentos de redes y administración.

PowerShell es algo en lo que llevaba trabajando hace años pero no lo hablaba mucho. Cuando empecé a dar clases me di cuenta de cuanto hijo de vecino estaba entrenando gente en como romper cosas, en Metasploit, etc. pero veía muy poco en los fundamentos, y aun peor veía gente que sabia mucho de Linux haciendo pentests de Windows y no tenían ni idea de como asegurar, defender y monitorizar el entorno que estaban evaluando! Saben mil trucos para meterse pero nada de como se opera, como afecta el negocio, nada de lo básico y lo peor con una mentalidad cerrada de «X es superior«. Las plataformas son herramientas y las herramientas no son personas para amar o querer, no se le puede poner sentimiento a las mismas, sino aprender de todas ellas y dar lo mejor a los clientes en un servicio profesional como es debido. En lo personal no se puede tener ego, si soy bueno en algo siempre habrá alguien que sepa más de lo mismo y siempre se debe estar buscando el avanzar y no quedarse cómodo en una sola cosa porque todos los entornos son multidisciplinarios hoy en día.

R: Sobre el Podcast, Paul me pidió que tomase control del mismo por completo, ya que siente que no lo apoya mucho más allá del nombre de PaulDotCom. Por eso mismo me encuentro planeando con amistades moverlo a uno con nombre nuevo, con más personas que yo mismo y evolucionarlo, por lo cual te diré que vienen cosas nuevas pronto. En términos de tiempo consume, ya estoy dándome cuenta que al ser padre, esposo, mi trabajo diario como Director de un grupo de investigación, mis proyectos y clases, me estoy quemando mentalmente más rápido que antes.

R: Es a la luz pública lo que muchos ya sabíamos y sospechábamos. Lo que me sorprende es la incredulidad de las personas, estás usando servicios en la nube que se rigen primero por su responsabilidad a los dueños de acciones y después a las leyes locales donde se encuentran. Estás cediendo el control de tu información. Los emails siempre han sido abiertos, los ISP siempre ven lo que haces, no es nuevo. Lo nuevo es como la gente confía ciegamente más y más en estos servicios de nube y compañías sin una evaluación sincera. Todos los países espían, todos de un nivel a otro, por eso no ves mucho ruido de otros países. Lo que asusta es la retención de esta información y como puede ser minada en el futuro. Aún asusta más el que no haya sido mucha la indignación, fuera del sensacionalismo que se le ha dado en las noticias. En pocas palabras, los terroristas ganaron. Querían una sociedad con miedo y atacar las libertades de la misma y lo lograron, porque muchos ahora aceptan esta invasión de la privacidad y las libertades, que en el futuro es casi seguro serán abusadas según se siguen quitando controles.

R: Te soy sincero, cuando no encuentro una herramienta trato de crearla. En términos de libros me gustaría ver series sólidas en los fundamentos, no solo en herramientas específicas.