¿Y tú de qué vas?, Román Medina "Romansoft"

roman_nnc5ed

 Roman Medina-Heigl Hernandez

1) ¿Quién eres y a qué te dedicas?

Soy un apasionado de la informática desde muy pequeñín y una mente inquieta. Siempre me ha gustado saber cómo funcionan las cosas “por dentro”, y desde 1993 (es decir, “ayer”) me interesé por la seguridad informática (y en particular, por el hacking) así que llevo desde entonces aprendiendo y ampliando mis conocimientos en este vasto campo. Me considero un eterno aprendiz y mientras dure la pasión (espero que siempre) seguiré y seguiré y seguiré… absorbiendo toda la información que pueda y en la medida de lo posible tratando de generar y devolver a su vez conocimiento para que otros puedan nutrirse de él (considero que es importante y justo crear y compartir, no solo “consumir”).

He tenido la gran suerte de vivir la época dorada del “hacking”: aquella en la que los términos “hacker” y “Comunidad” no estaban aún pervertidos y se utilizaban con propiedad, aquella en la que el conocimiento era el fin último (en lugar del vil metal), aquella en la que se valoraba a la gente simplemente por sus hazañas informáticas y/o publicaciones (herramientas, artículos, etc) en lugar de por el número de followers o apariciones en los medios, aquella en la que existían sistemas operativos como “Irix” y no existía (o casi) el concepto de seguridad en Windows (no era todavía multi-usuario -caso de Windows 3.1 o Windows 95-, o empezaban a arrancar las primeras versiones que sí lo eran: NT 3.1), aquella en la que una de las máximas era que “un hacker jamás se autodenominaba como tal” (o con otras palabras: “todo aquel que se autodenominara hacker en realidad no lo era”), aquella de los modems, las blue-boxes y los números 900 para conectarse a Internet sin arruinar a tus padres, aquella en la que no existía Google ni blogs llenos de howtos y verdaderamente uno se tenía que currar las cosas, aquella en la que los pocos (y verdaderos) hackers que salían en la TV lo hacían de forma anónima; en definitiva, aquella en la que me sentía como un pez en el agua y sobre la que se fundamentan mis valores y cimientos en materia de hacking y seguridad informática.

Sí, quizás soy un nostálgico pero me gusta recordar y ser fiel a mis principios, sobre todo visto el panorama actual, que tiende a corrompernos. Es triste ver hacia donde nos ha llevado la llegada de la ”industria” de la seguridad informática y el auténtico “circo” en el que, en algunos aspectos, este mundillo de la ciber-hay_que_ser_cool-seguridad, por desgracia, se ha convertido, lleno de “vende-motos” que haciéndose pasar por auténticos “gurús” se reparten el pastel y que, cuan “mafiosos”, se protegen unos a otros, poniendo la zancadilla y jugando sucio contra el resto aprovechándose de su status mediático. Pero todo esto daría para todo un post, que quien sabe, lo mismo algún día me animo a escribir, y que debería empezar explicando lo que originalmente siempre se ha entendido por “hacker” o por “Comunidad” (sorprendentemente algunos iluminados que van de líderes todavía no lo tienen claro) así como el concepto de “humildad” (esa que se supone que aún existe pero que cuesta cada vez más encontrarla).

¿Y para qué cuento todo esto? Pues porque es la mejor forma de expresar cómo siento y siempre he sentido la seguridad informática y con qué cosas de ella me identifico y con cuales decididamente no. También considero que es una introducción más original y valiosa que la típica en la que todos solemos contar que “empezamos de pequeños con un <inserte aquí su ordenador de los 80 favorito>”.

Por lo demás, podría contar que trabajo en el equipo de seguridad de una gran empresa multinacional española (actualmente coordinando acciones de respuesta a incidentes, hacking y forense, entre otras cosas), o que en mi última etapa (desde 2009) he estado inmerso en la creación/organización de congresos técnicos de Seguridad (soy fundador de RootedCon, organizador de ConectaCon y este último año, de NavajaNegra-ConectaCon). Todo esto sin olvidar mi gran afición: los CTF’s o retos de seguridad informática, teniendo el orgullo de formar parte del mejor equipo español (y mundialmente en el top-10 o top-20, según el año): “int3pids”.

Pero no os quiero aburrir. Podéis leerme en twitter (@roman_soft) o conocer más sobre mí visitando mi site (http://www.rs-labs.com/) y leyendo papers que he publicado, advisories, exploits… Aunque llevo años sin actualizar la página porque prefiero invertir el poco tiempo de que dispongo actualmente en “trastear” más y documentar menos (lo siento :-))).

2) ¿Qué hardware utilizas en el trabajo y en casa?

Nada del otro mundo. En casa utlizo un MacBookPro del 2010 junto a un PC clónico que puede tener 7 u 8 años tranquilamente (estoy pensando en actualizarme, ya va siendo hora). Y en el trabajo un portátil bastante más moderno (es que el Outlook consume muchos recursos, ¿eh? :-)).

En casa tengo muchas más máquinas, aunque exceptuando la RaspberryPi (que utilizo como MediaCenter), el resto están siempre apagadas y no las he encendido en años (pero son reliquias y me cuesta deshacerme de ellas). Por nombrar algunas que tengo justo aquí “a mi vera”: Sun SparcStation 20, 2 appliances Sun Netra T1, AlphaStation 400 y HP Visualize C3600.

En resumen, tengo diferentes y variopintas arquitecturas (ARM, IA32, AMD64, Sparc, Alpha y PA-RISC) y OS’es (Windows, Linux, MacOSX, SunOS, Solaris, Tru64 y HPUX).

Quizás si hubiera descubierto antes “Polarhome” (http://www.polarhome.com/) me habría ahorrado unos cuantos cacharros :-)

3) ¿Qué software utilizas en el trabajo y en casa?

Aparte de la típica suite de ofimática (Office), utilizo mucho la virtualización (VMware Workstation en Windows 7 y VMware Fusion en MacOSX 10.x).

Aparte de toda clase de “maquetas”, utilizo 2 VM’s principalmente: una basada en Linux (Kali 2.x) y otra en Windows (XP). La Kali ya la conocéis; la XP (sí, habéis oido bien) es una VM hecha a medida por mí a lo largo de años literalmente cargada de multitud de herramientas (.Net/Android/Delphi/Flash/PDF/Java reversing, crypto, stego, forensics, fuzzing, debugging, patchers, web, exploiting, (un)packers, … creo que ya os hacéis una idea del arsenal :-)).

Todo esto viene de que estaba harto de que cada vez que formateaba el ordenador (principalmente debido a una nueva versión de sistema operativo) me tocaba configurar y personalizar todo desde cero (un dolor, teniendo en cuenta el gran número de herramientas y altísimo grado de personalización). Ahora es tan fácil como mover mis 2 VM’s y listo (y además, es multiplataforma: las puedo ejecutar en un sistema host Windows, Linux o Mac por lo que no estoy atado a ninguno de ellos).

4) ¿Qué libros estás leyendo ahora?

No suelo leer muchos libros técnicos en papel: me nutro de la red para (tratar de) estar al día (blogs, posts referenciados en Twitter, presentaciones de conferencias, etc). En cuanto a blogs, me gustan especialmente aquellos que publican CTF-writeups, ya que suelen ser especialmente didácticos, originales y a la vez, muy técnicos.

Respecto a libros no técnicos, no me avergüenza reconocer que me estoy leyendo el “Duérmete, niño“: un clásico para los que nos iniciamos en el ”maravilloso” mundo de los bebés y en especial para aquellos casos en los que te salen especialmente inquietos y activos a partir de las 0:00h (no se a quién habrá salido el bebé ;-)).

5) ¿Qué música estás escuchando ahora?

Ninguna: me concentro mejor en silencio (aparte de que es más de media noche y no quiero despertar a la familia :-P).

Pero cuando activo finalmente el Winamp (es coña xDD), me gusta escuchar diferentes estilos: desde música disco (más tirando a “melódica”, que a chin-chin-pún), techno o pop, hasta algo más new age (estilo Jean Michel Jarre o Mike Oldfield). Tradicionalmente mi grupo favorito siempre ha sido Depeche Mode. Y en general, se podría decir que el estilo que más me gusta es la música “electrónica”.

Nota CyberHades: Román es una leyenda y un referente del mundo del hacking y la seguridad informática de este país. No podemos más que mostrar nuestra admiración, le seguimos desde que empezamos en este mundo de los ordenadores. Mencionar también al fantástico grupo int3pids los cuales merecen más reconocimiento por las increibles hazañas que estos chicos van haciendo por el mundo, dejando el listón español en lo más alto dentro del hacking y la seguridad. Finalmente, Román, queremos saber más de esa máquina virtual con XP que tienes, creemos que hay que tocarla con guantes ;)