Entrevista con uno de los mejores cazadores de insectos competitivos del mundo.


Equipo de fluoroacetato

Fluoroacetato del equipo: Amat Cama (izquierda), Richard Zhu (derecha)

Imagen: Iniciativa Trend Micro de día cero

En el mundo de la seguridad de TI, no hay otro concurso de piratería informática más prestigioso que Pwn2Have.

Fundada en 2007 y organizada por Pattern Micro&#39s Iniciativa de día cero (ZDI), la competencia construyó su reputación a lo largo de los años al atraer al mejor talento mundial de infosec y al pagar algunos de los mayores premios en efectivo de la industria.

Con una historia de 12 años detrás, Pwn2Possess es el lugar best si quieres hacerte un nombre e impresionar a tus compañeros practicantes de infosec con tus habilidades de piratería.

Los ganadores anteriores son algunas de las figuras más importantes de la actualidad en el campo de infosec, trabajando en los equipos de seguridad de algunas de las corporaciones más grandes del mundo.

En su formato actual, Pwn2Possess tiene lugar dos veces al año. La primera es la edición de primavera que tiene lugar en Vancouver, donde los investigadores de seguridad son libres de hackear aplicaciones de escritorio y servidores y sistemas operativos. El segundo tiene lugar cada otoño en Tokio, y esta edición se centra en teléfonos móviles y dispositivos inteligentes.

Durante el año pasado, un equipo ha dominado los concursos Pwn2Possess, ganando tres seguidos.

Equipo Fluoroacetato – compuesto por Amat Cama y Richard Zhu – han ganado el Pwn2Individual 2018 edición de otoño, el Pwn2Own 2019 edición de primaveray el recientemente concluido Pwn2Individual 2019 edición de otoño.

Desde que el concurso concluyó el mes pasado, ZDNet se sentó y entrevistó a uno de los miembros del equipo sobre lo que se necesita para alcanzar el pináculo de su profesión y los nervios que sienten los concursos de Pwn2Individual mientras están en el escenario.


ZDNet: ¿Puedes presentarte a nuestros lectores?

Amat Cama: Me llamo Amat Cama. Soy un investigador de seguridad independiente de Senegal y comencé a investigar en 2016. Mi verdadero comienzo en seguridad fue a través de CTF (Captura torneos de la bandera), que me presentaron en 2012. Fuera de la investigación de seguridad, disfruto del boxeo, el surf, la aviación, la escalada y los videojuegos.

ZDNet: ¿Ganar Pwn2Have tres veces seguidas cuenta como el pináculo de su carrera como investigador de seguridad, o tiene otros objetivos más grandes a los que apunta?

Amat Cama: Ganar Pwn2Possess tres veces seguidas es definitivamente algo de lo que estoy orgulloso. En un momento dado, vi que incluso obtener una sola entrada en el concurso era un objetivo inalcanzable, por lo que es bastante satisfactorio haber ganado la competencia tres veces seguidas. Sin embargo, no lo llamaría como el pináculo de mi carrera como investigador de seguridad. En este campo, siempre hay algo más, algo más o algo mejor que puedes hacer.

ZDNet: ¿Qué es más difícil? ¿La edición de primavera Pwn2Possess que se enfoca en computadoras de escritorio y máquinas virtuales, o la edición de otoño que se enfoca en IoT y dispositivos móviles?

Amat Cama: En mi opinión, la edición de primavera es más desafiante porque los objetivos allí son más populares en la comunidad de seguridad y, por lo tanto, han recibido más escrutinio de otros investigadores.

ZDNet: ¿Cómo se siente cuando estás en el escenario Pwn2Personal, justo antes de ejecutar tu código de explotación? ¿Es estresante o, para ese momento, sabes que el código de explotación debería ejecutarse como quieres en el 100% de los casos y es solo una rutina?

Amat Cama: Por lo typical depende. La mayoría de las veces, ya hemos realizado suficientes pruebas en las que creemos que es probable que el exploit funcione en el primer intento. Sin embargo, debido a la naturaleza del error y las mitigaciones existentes, a veces es difícil garantizar una alta tasa de éxito para el exploit. Esto es cuando las cosas pueden ser estresantes.

ZDNet: Después de sus últimas tres victorias, ¿la gente de la comunidad infosec ahora lo reconoce con más frecuencia? ¿Han cambiado las victorias algo en tu vida infosec? ¿Qué tal tu vida diaria y typical?

Amat Cama: Las victorias propias de Pwn2 ciertamente te «colocan en el mapa», y el reconocimiento mejorado abre más oportunidades. También ha sido agradable ver que estas victorias inspiran a otros investigadores y hackers a continuar esforzándose en su trabajo y mejorando sus habilidades. En ese sentido, definitivamente ha cambiado mi vida infosec. En cuanto a mi vida diaria, no creo que las victorias hayan cambiado nada.

ZDNet: ¿Hay alguna presión ahora para ganar la cuarta competencia? ¿O nunca miraste a Pwn2Possess como un objetivo sino como un pasatiempo?

Amat Cama: Ganar siempre es bueno, pero no diría que hay presión para ganar una cuarta competencia. Para mí, las experiencias de Pwn2Possess siempre han tenido que ver con tener un desafío bien definido que podría lograr.

ZDNet: Muchos investigadores de seguridad ahora te están admirando. ¿Recibes alguna pregunta de otros investigadores y evaluadores? ¿Qué es lo más común?

Amat Cama: Sí. La pregunta más común que parece interesar siempre a las personas es: «¿Cuánto tiempo te llevó?»

ZDNet: Los representantes de los proveedores suelen estar en el concurso de piratería Pwn2Own, ¿cómo reaccionan cuando pirateas sus aplicaciones / dispositivos?

Amat Cama: Generalmente reaccionan bastante bien, pero a veces hay algunos que no lo toman tan bien o que no cooperan. Sin embargo, ZDI siempre está ahí para manejar esas cosas.

ZDNet: ¿Hay algún dispositivo / sistema que quieras ver en la lista de objetivos de Pwn2Personal en el futuro?

Amat Cama: Un avión, solo porque quiero intentar hackearlo. ¡Eso sería genial!

ZDNet: ¿Temerías a los hackers con tus habilidades?

Amat Cama: Ya les temo porque hay muchos piratas informáticos con más habilidad que yo. No creo que se pueda lograr una seguridad perfecta porque las máquinas siempre ejecutarán código de una forma u otra. Además, los humanos serán los que hagan, programen y operen estas máquinas y ya sabemos lo que eso significa: pueden ocurrir imperfecciones en el proceso.

ZDNet: Ahora que tiene los elogios para impresionar a cualquier reclutador, ¿cuál sería el trabajo de infosec de sus sueños? ¿O para qué proyecto / organización te gustaría trabajar?

Amat Cama: Hay varios equipos en los que sería un honor formar parte, pero creo que, en última instancia, me gustaría tener mi propia organización y trabajar para mí.





Enlace a la noticia original