Un gusto que Gustavo Nicolas Ogawa a.ka el @chinoogawa haya aceptado esta entrevista, aun mas despues de al fin comprender la locura de #FBHT, tomarme un tiempo para ver el codigo como se debe y profundizar con sus vectores de ataque, de ahi hacer la prueba y ver el impacto del mismo tras ello recien me di cuenta el porque no hacer el tutorial paso a paso, en esta entrevista la cual conoceremos mas sobre el y compartir un poco de lo que es y hace.
Gustavo Nicolas Ogawa a.ka el @chinoogawa
0.- La primera es simple y sencilla quien es Ogawa que hace fuera de Mkit y claro aparte de romper Facebook?
Buena pregunta que siempre me hago a mí mismo para no ser únicamente lo que hago. Chinoogawa fuera de Mkit, es una persona apasionada por el razonamiento lógico y la filosofía. Me encanta mirar a la gente y tratar de descubrir sin hablar, todo sobre ellos. Me encantan los problemas, porque al final de cuentas son los que nos entrenan y ponen a prueba nuestro ingenio para poder salir de ellos.
Siempre fui una persona que creyó que no hay metas imposibles, y en esa necedad muchas veces caí al suelo violentamente. Esa es la actitud que llevo todos los días. A veces toca aceptar que ciertas cosas no pueden ni deben ser controladas.
1.-Cuando fue tu primer acercamiento a la informática?
Mi primer acercamiento a la informática fue con una commodore 64 a la edad de 4 años. Mis tíos jugaban con ella y yo no hacía más que mirarlos. A veces no me dejaban jugar y no quedaba otra opción que tratar de cargar los juegos cuando ellos no estaban presentes (Si leen esta nota se van a enterar que era yo el que hacía lio en la pc -_-)
Mi escuela enseñaba desde 1er grado informática así que siempre estuve en contacto con las maquinas. Mi primer acercamiento a la programación con un lenguaje serio fue a los 13 años, que empecé con C. Una vez recibido, seguí la carrera de licenciatura en sistemas, la cual abandoné antes de recibirme ya que no estaba de acuerdo con las estructuras académicas y decidí aprender por mis propios medios. A los 21 viaje de mi ciudad Bariloche a Buenos Aires a tomar el curso de EH en Mkit Argentina, bajo la tutela de Matias Katz, quien me guio en mis primeros pasos de forma más profesional. Luego del curso, ingrese en INVAP, una empresa de investigación aplicada que se dedica al desarrollo de satélites, radares, reactores nucleares, entre otros tantos proyectos de tecnología. Dos años después de trabajar en INVAP, me mude nuevamente a Buenos Aires para finalmente, ser parte del Team de Mkit.
2.- Que te inspiro a realizar #FBHT aparte de la bronca que tienes al Zucherberg?
Extraoficialmente comentan que te robo la novia ;).
JAJAJA Mejor que Mark Zuckitberg se cuide de que yo le robe la novia a él :D
La realidad es que me causo mucha intriga la plataforma cuando la conocí y quise aprender más sobre ella. A medida que iba investigando y aprendiendo como estaba hecha, empecé a notar las falencias.. Como todo cuando se conoce por completo. Solo que mi visión era la de un especialista de seguridad. Empecé a advertir y denunciar las formas en las que el usuario quedaba expuesto ya que me parecía realmente grave y creí que debía ser tomado en consideración. Al poco tiempo entendí que iban a hacer caso omiso siempre a mis denuncias, ya que se prioriza siempre la funcionalidad sobre la seguridad.
La intención de hacer FBHT, era la de poner de manifiesto la inseguridad de la plataforma. Quizás se me fue un poco de las manos..
Al final de cuentas, no es el fabricante de armas el culpable, sino quien dispara con ellas.
3.- Porque decidiste usar Python para #FBHT sabias que es mi lenguaje favorito *_*
Uy, en esta vamos a entrar en discordia.
La realidad es que python era lo más rápido en su momento. FBHT iba a ser solamente un script y nunca pensé en hacer un framework. De hecho sigue siendo un script.
Python me dio la velocidad de desarrollo, pero me quitó la eficiencia (uso excesivo de recursos) a la hora de desarrollar. Python realmente no fue la mejor opción a futuro. Si hoy pudiera volver el tiempo atrás, desarrollaría FBHT nuevamente sobre C.
4.- Si te dieran a elegir 3 herramientas de seguridad, para un ataque cuales eliges y porque?
_Depende el ataque :D _
Si fuese ataque a personas, usuarios finales, utilizaría FBHT y FBTokens, y no porque haya sido yo quien las desarrolló, sino porque creo que tienen potencial sobre los usuarios finales de manera muy elegante y sencilla (Solo hay que saber usarlas). Siempre combinando todo con metasploit :D
En el caso de un ataque a una plataforma web, utilizaría mi navegador, que siempre fue mi mejor herramienta :D
Utilizaría google, que es la segunda herramienta preferida, fuera del navegador :P
Básicamente, las herramientas no hacen magia, y me gusta aprender los fundamentos de los ataques. Realizar un ataque sin saber cómo se logró el objetivo, carece de sentido y realización personal.
5.- Cual es la mayor anécdota que puedes contarnos en este tiempo que andas en el area de Seguridad?
Cuando se destapó todo el problema de wikileaks, recuerdo haber estado presente en los canales de chat mientras se debatía a que sitios tomar como objetivo. Uno de los hacktivistas, confió en mí y me entregó una de las primeras versiones de HOIC (High Orbital Ion Cannon) para realizar el ataque. Solo 100 personas tenían esa herramienta en el primer ataque contra visa, PayPal y master card, el resto utilizaba todavía LOIC (Low Orbital Ion Cannon). El ataque culminó con el arresto de un joven de 14 años si mal no recuerdo.
Esa experiencia… El sentir impotencia ante la injusticia, fue el detonante de querer aprender y emprender el camino de la seguridad. Poco después entendí que no es la manera de protestar, y el conocimiento, que implica poder, no nos da el derecho a transgredir. Aprendí que conocer implica una gran responsabilidad, y que la ética es el medio para mantenerse sobre la línea de lo que se debe.
No creo que sea la mayor anécdota, pero si la que recuerdo a diario para mantener la línea.
6.- Algún libro de informática que me recomendarías leer como a los que visiten el blog?
Recomiendo leer libros de programación, y aprender a programar. La programación es el medio para todo lo que hacemos :D
7.- Algún juego de video que te traiga patas arriba por no pasarlo?
Si!! El juego de tratar de postear sobre el muro de Zuckitberg sin tenerlo dentro de mis amigos :D
8.- ¿Alguna recomendación para los que recién iniciamos en este mundo ?
Aprendan sobre lenguajes de programación. Sean éticos y no hagan daño. De nada sirve el conocimiento sin la sabiduría. Ser conscientes de esto, nos va a dar la capacidad de seguir creando y no viciarnos por los “poderes” que tenemos sobre la gente que ignora.
NUNCA, pero nunca, acepten que algo es imposible. Investiguen hasta el cansancio, no duerman si es necesario.. Siempre hay un camino por más empinada que sea la subida. Sean creativos :)
Usar una herramienta para “Aprender” a hacer hacking, es el primer paso para no aprender. Aprendan los fundamentos, entiendan al menos el cómo se realiza cada ataque antes de automatizarlo. La automatización es cómoda para poder trabajar, para hacer cosas a gran escala, pero entumece el cerebro si es que no se sabe que es lo que está haciendo la herramienta.
9.- Antes de que terminemos algún comentario o algo que agregar :D
Hack together, die alone .. Compartan en vida que una vez muertos ya no hay nadie con quien compartir :D
10.- Lanzame un Query que lo respondo :)
select * from sniferPasswords;
** R.- -_-! si claro chinito de lo dare!**
_Mil gracias por las preguntas. :) _
Gracias por entender el sentido de mi investigacion, y por haberte tomado las molestias para hacer funcionar la herramienta y conocer mi trabajo.
Espero hayas pasado un muy buen cumple años :D
Chino, claro que si lo pase, en compañia de mis seres queridos, aun mas darte las gracias a ti por tomarte tu tiempo en responder las preguntas. Espero les haya agradado esta entrevista realizada al chino en el caso de ver las anteriores pueden acceder aquí.
Regards,
Snifer