Hacker para protegerse mejor, ¡descubre el retrato de Ashraf!
¿Puedes explicarnos en qué consiste tu trabajo?
PARA: Como ingeniero de DevSecOps, Mi trabajo consiste en garantizar todo el ciclo de vida del software, desde la planificación hasta la producción. Lo principal es comprobar que los distintos equipos tengan en cuenta el aspecto de seguridad en cada etapa. Luego me aseguro de que no haya vulnerabilidades en el código y de que la infraestructura en la que se implementa la aplicación esté perfectamente configurada y segura. Por eso también realizo pruebas de penetración para garantizar su solidez y permeabilidad (pentests en blanco y negro).
¿Recuerdas la primera vez que irrumpiste?
PARA: Sí, creo que fue en 2014. Cuando era adolescente, tenía dudas sobre mi novia de entonces, y quería revisar su Facebook para ver si me estaba ocultando cosas.
Aproveché una vulnerabilidad en Hotmail en ese momento para recuperar su contraseña. Obviamente no me gustó lo que encontré allí... Fue a partir de ese momento que comprendí que podía doler. También fue el punto de partida de mi pasión por el hackeo ético, cuyo objetivo es utilizar estas habilidades con fines virtuosos.
¿Por qué continuaste después de este episodio?
PARA: Por el momento, es bastante satisfactorio tener tanto acceso. Hay una sensación de poder. Me gusta la frase de Spiderman «Un gran poder conlleva una gran responsabilidad». Eso es exactamente, de repente, tenemos muchas responsabilidades en nuestras manos.
¿Por qué decidiste convertirlo en tu trabajo (ingeniero de DevSecOps/Hacker ético)?
R: Es un trabajo difícil, soy mi propio oponente.
He creado un sistema de seguridad que luego debo intentar penetrar.
Como he dicho antes, es mucha responsabilidad, pero es un tema que me gusta especialmente.
Además, fue un poco casual que empecé a convertirlo en mi trabajo.
Cuando era estudiante, me apasionaba Pentest y el mundo del hackeo Tomé el control del sistema de información de mi escuela a través de una falla en la red. Luego me ofrecieron un trabajo remunerado para asegurarlo.
Fue mi primera experiencia «oficial». Luego me inscribí en HackerOne. Se trata de una plataforma que ofrece la posibilidad de participar en pentests bien definidos en beneficio de las empresas que proporcionan acceso a sus entornos técnicos como parte de los programas Bug Bounty.
¿Así que te entrenaste para el trabajo?
PARA: Empecé con una escuela bastante general de Tecnología de la Información y la Comunicación. La seguridad no era una especialidad en absoluto, pero estaba intentando incorporar lo que estaba aprendiendo aplicándolo a la ciberseguridad. También leo regularmente libros sobre hackeo («The Hacker PlayBook 1 y 2», «Penetration Testing A Hands on Introduction to Hacking», «Black Hat Python»...). Además, siempre he intentado conectarme con personas que comparten la misma pasión y que han participado en eventos dedicados a la seguridad, como CTF (Capture The Flag).
Luego continué con una escuela de ingeniería. No hay una verdadera escuela para convertirse en DevSecOps o Pentester, cosas que he aprendido y los que más me sirven hoy en día son los que he integrado de forma autodidacta.
Por otro lado, al mismo tiempo aprobé bastantes certificaciones. Empecé con las certificaciones de redes, sistemas (Linux, Microsoft...) y luego con las certificaciones de aplicaciones (web, bases de datos...). Desde que me uní a Algoan, también he aprobado las certificaciones de nube.
¿Por qué elegiste Algoan?
PARA: Por varias razones. Me resistía bastante a unirme a una gran empresa. Sabía que una jerarquía demasiado vertical no me daría la oportunidad de participar en la toma de decisiones. Tampoco quería limitarme a un solo tecno.
En Algoan, al principio me llevé muy bien con Fabrice, nuestro director de tecnología, cuya visión compartía. Inmediatamente sentí que tendría la oportunidad de participar concretamente en el crecimiento de un proyecto al tener las libertades que me permitirían desarrollarme. Lo que me gustaba era este espíritu propio de una startup.
PREGUNTAS ADICIONALES
¿Cuál es la intrusión de la que está más orgulloso?
PARA: No es el que más me enorgullece, pero en cualquier caso el que más me impresionó. Tomé el control de una operadora telefónica a través de una brecha en la red. En ese momento, me asustó la importancia de la intrusión y lo que se podía hacer.. Normalmente informo de los errores que encuentro a los equipos de seguridad. En general, son bastante abiertos y ofrecen recompensas.
¿Si tuvieras que darle a la serie Mr. Robot una puntuación sobre 10?
PARA: Daría 7 por el escenario y 4 por la técnica utilizada. ¡Usan herramientas de escritura para niños!
También le puede interesar
Un projet ? Une question ?
Vous souhaitez changer votre manière de prendre vos décisions de crédit ? Discutons-en !
