Chema Alonso Entrevista A Luciano Bello
Hace muchos años coincidí con un hacker argentino con el que no sabía que iba a entablar tan buena relación. Se llama Luciano Bello y dio la vuelta al mundo por un bug que encontró en la implementación de Debian de OpenSSL. Era el año 2008, y él tituló a la publicación “Cryptographic Apocalypse”.
Figura: Chema Alonso y Luciano Bello en DefCON (2008)
Nos encontramos en DefCON, y a partir de ahí en Argentina, en España o en Colombia. Cuando estás de Security Pr0n Star de CON en CON puedes coincidir en cualquier rincón del mundo. Y como es una persona fantástica que opina todo lo contrario a mí, nos hicimos muy buenos amigos.
Para mí es uno de los hackers que mejor representa lo que es ser un investigador. Con fuerte base académica, muy colaborador en la comunidad, con implicación en el Software Libre, mantenedor de Debian, y siempre cuestionando hasta las cuestiones. No es de lo que se quedan fácilmente contestados con una respuesta laxa.
Ahora, el Doctor Luciano Bello, que acabó su doctorado en seguridad informática y verificación de lenguajes formales, trabaja en Europa desde 2016 centrando sus investigación en la compilación de programas para computación cuántica en Qiskit.org.
Este año puede que acabe dando una ponencia de su trabajo en compilación de programas para computación cuántica en LibreCON, pero yo quería que fuera la siguiente persona a la que entrevistara. Yo, siguiendo sus indicaciones de su perfil en MyPublicInbox, le envié esta entrivsta y le invité a LibreCON. Espero que os gusten las respuestas.
1.- Luciano, la primera pregunta es una que te he hecho muchas veces, ¿por qué Argentina da tan buenos hackers? Me maravilla el nivel que hay allí de profesionales en el mundo del hacking.
Verdad que sí. Argentina ha sido un consistente semillero de muy buenos hackers. Ha de ser algo en el agua del lugar, aunque yo imagino que cierta combinación de factores juega algún rol. No me extrañaría que el sistema educativo argentino tenga algo que ver, dado que hay muy buenas carreras universitarias técnicas que, además, son gratuitas. Esto sumado a las constantes crisis económicas, que generan un buen incentivo para participar y competir en el mercado mundial, ya sea a través de la emigración o de trabajar localmente cobrando en divisa extranjera.
Por último, y como consecuencia de vivir durante décadas en este tipo de economía “hard mode”, Argentina tiene una fuerte cultura del “rebusque”. Se valora mucho encontrar un atajo o una vuelta para sacar una ventaja o resolver un problema con la menor cantidad de recursos posibles. Ese rebusque, cuando se aplica a la tecnología, es la literal definición de hacking. Pero la realidad es que todo esto es simplemente una teoría y nadie sabe a ciencia cierta qué hace que Argentina tenga tan buenos hackers. Después de todo, tal vez solo sea el agua del lugar.
2.- La segunda, es una que me gustaría que me contaras con la perspectiva de los años. Muchos te conocieron gracias al famoso bug que descubriste en OpenSSL y que te llevo a DefCON. Ese bug es uno de esos que los investigadores queremos tener en nuestro currículo y te hiciste muy popular para todos nosotros. ¿Qué significó para Luciano Bello en aquel momento, y qué impacto ha tenido en la vida profesional tuya en años posteriores?
Uhh… ha corrido agua bajo el puente (el evento al que Chema hace referencia es de 2008, ¡hace 13 años! Aquí una explicación en español). En retrospectiva, creo que en ese momento se sintió como mucha presión. Yo, un principiante criptográfico con muy básicos conocimientos de C me tropiezo con esto y, de repente, era consultado por temas de seguridad profundos, sentado en mesas de debate con gente mucho más inteligente, y con la expectativa de tener una opinión sobre cualquier rama de la seguridad informática.
Por momentos fue incómodo y disparó mi síndrome del impostor que, imagino, todos tenemos en mayor o menor medida. Sin embargo, también dio mucho, mayormente en exposición, con invitaciones a charlas y muestras de admiración. Creo que el aspecto menos obvio en el que me ayudó fue el de empujarme fuera de mi zona de confort. Por esos momentos descubrí la importancia de las redes interpersonales, el networking que le dicen en el mundo corporativo. Conocí mucha gente que conocía mucha gente. Y eso fue lo mejor, porque con una red amplia, las oportunidades también crecen. Con varias cartas de recomendación, me admitieron en un doctorado, y de ahí a pasantías y sucesivas oportunidades laborales.
Mirando hacia atrás, fue un golpe de suerte que me agarro con el tiempo y las ganas de tirar de una pequeño detalle que me dio curiosidad. La versión nerd de “si llegan las musas que te encuentren trabajando”.
3.- Eres un amante del Software Libre, un convencido de que hay que apoyar esta filosofía de vida, y ya sabes que le hice una entrevista a Richard Stallman hace poco, ¿cuál es tu sentimiento sobre el movimiento veinte años después de que te implicaras en él?
Bueh… tanto como filosofía de vida, no sé… puede que a tus ojos parezca más radical de lo que realmente soy 😉 Por ejemplo, prefiero la biblioteca de Raymond y OSI por sobre la de Stallman y FSF. Volviendo a la pregunta, el software (en general) ha cambiado mucho en las últimas décadas y, en consecuencia, su construcción colectiva. Habría muchísimos aspectos para hablar sobre esto, pero el cambio cultural que encuentro más fascinante es algo que podríamos llamar “de RTFM a CoC”. Me explico.
Cuando yo empecé a relacionarme en el software libre y la cultura del open source, había poca tolerancia al recién llegado. En general, la curva de aprendizaje era bastante empinada. RTFM era parte de ello: hacer una pregunta en una lista de correo sin haber leído el (posiblemente voluminoso) manual era una gran forma de empezar mal. La cultura no era acogedora y estaba lleno de personalidades fuertes en lo técnico, pero también confrontativas. Desde entonces, mucho ha cambiado, mayormente para bien. Ahora las comunidades tienden a tener una barrera de ingreso mucho más baja. La regla general es la cordialidad y los códigos de conducta son vitales para garantizar una cultura inclusiva. “Working in Public» de Nadia Eghbal, analiza esta transición y creo que hace un buen resumen de cómo la escena FLOSS a evolucionado en las últimas décadas.
4.- Vamos al mundo del hacking, que me interesa saber quiénes han sido los hackers que más han inspirado, que más admira, o que más envidia en el buen sentido de la palabra Luciano Bello.
Últimamente estoy algo alejado de el mundillo infosec. Sin embargo, sigo de cerca a argentinos como Veronica Valeros y Nicolás Waisman para mantenerme al tanto. Por el lado más internacional, siempre me parece interesante que lo que están haciendo personas como Maddie Stone y Joxean Koret. Y estoy seguro que me olvidé de muchos. El mundo está lleno de gente interesante. Por ejemplo, en España hay un hacker molón con pelo largo y gorro que suele tener posteos interesantes en su blog 😉
5.- ¿Y ahora en qué andas? ¿Es el Quantum algo que veremos pronto hecho realidad o tendremos que esperar a 2050?
¡Ja! Esa es al pregunta del millón, casi literalmente. En cierto sentido, ya es realidad. Hoy podés correr tus programas en un procesador cuántico. Hay múltiples servicios que proveen acceso a través de la nube, incluso con algún tipo de acceso gratuito. Estos servicios te permiten realizar una computación, cuyo resulto será ruidoso. La gran kryptonita de la computación cuántica es el ruido. Entonces, ¿qué se puede hacer hoy con el resultado de esa computación? Pues, no mucho. Hay muchísima gente trabajando en computadoras cuánticas más grandes y con mayor fidelidad.
La apuesta es grande, porque el premio también lo es, incluso cuando muchos creen que la posibilidad de éxito es reducida. Mientras tanto, tenemos que trabajar en un software pipeline a la par de los avances científicos. Hay que reinventar toolboxes, compiladores, abstracciones y varias otras capas, como ya tenemos en otras áreas. Esta nueva forma de computación es especializada, y trabaja como un co-procesador de la computación tradicional. Así que podemos copiar ciertas estrategias de otros campos, pero sus particularidades nos fuerzan a replantearlas.
Volviendo a tu pregunta, ¿veremos pronto todo el potencial de la computación cuántica? Yo espero que sí. Pero al menos hoy, a fines de 2022, es más un deseo que una realidad. Tal vez en unos meses cambie. O no. Y si ocurre en el 2050, será una excelente excusa para retrasar el retiro.
6.- Si tuvieras que dar un consejo a un joven hispanoamericano sobre cómo labrarse una carrera en Seguridad Informática o Hacking, ¿qué le recomendarías a un chavón argentino, mexicano o español?
Esto de dar consejos me cuesta, porque cada realidad es diferente. Te digo lo que me funcionó mejor a mí: networking y especialización. Del networking ya hablamos un poco. Para mí fue fundamental el mensaje que otros ampliaban sobre mí. También tardé bastante en entender que focalizarse solo en lo técnico tiene poco vuelo a largo plazo. He ido a demasiadas conferencias y meetups donde sociabilizaba poco. Gran error. Rara vez algo transcendental ocurre durante las presentaciones, el real valor de las conferencias está en el coffee-break y otros momentos de sociabilización.
En la charla uno-a-uno es donde puede que conozcas a su próximo empleador. Hablar con gente, preguntar qué hacen y contarles qué te interesa es lo mejor que podés hacer por tu carrera porque eso amplía la red de personas que te conocen. Cuando alguien en tu red escuche de un puesto que requiera tus habilidades, tu nombre será mencionado y ya estarás un paso más adelante en tu carrera, incluso si no se traslada directamente a un puesto de trabajo inmediato. Mientras más personas sepan en qué sos bueno, mejor.
Lo que nos lleva al siguiente punto, especialización. Querer «saber todo sobre todo» es una tentación que a todos nos llega. Y es normal, porque eso significa que eres curioso. Sin embargo, a mí me ha funcionado saber poco pero en profundidad. Sí, puede tocar de oído varios lenguajes de programación, pero se bastante sobre Python y sus internals, por ejemplo. Si uno se focaliza en ser mejor que el promedio en un área en particular, el efecto networking funcionará aún mejor.
7.- Esta es una personal. Cada día soy un convencido mayor de la Web3, las dApps, las DAOs y el tokenomics. ¿Cuál es tu opinión al respecto?
Pues… tengo una opinión muy poco formada al respecto y tengo la sensación que paso de bullish a bearish casi dependiendo del día. Además siento que son conceptos que abarcan demasiado. Por un lado, hay toda una parte de especulación, poco relacionada con criptografía o computadoras y más relacionada con la timba. En este sentido, estoy más del lado de Line Goes Up. Mucha gente comprando con la esperanza de vender más caro es algo que veo poco interesante.
El aspecto político es, tal vez, el que veo un poco más claro, en el sentido de que, sin compartirlo totalmente, puedo entender las motivaciones de un criptoanarquista. Por último, el aspecto puramente tecnológico es el que podría resultarme más interesante. Lo digo en potencial, porque siempre tengo esa sensación de que debería serme interesante si le dedicase el tiempo necesario. Sin embargo, siempre que lo he intentando, mi acercamiento es con cierto escepticismo del problema que intenta solucionar, tal vez por mi ignorancia técnica. No estoy seguro si existe el término, pero creo que puedo autodefinirme como cripto-agnosticismo. Es decir, no afirmo ni niego la posibilidad de un use-case para tecnologías descentralizadas. De momento me resulta difícil entender cuál, pero puedo imaginar la existencia de algún problema de nicho donde web3 y blockchain puedan ayudar. Por ahora, los use-cases que veo me resultan artificiales (como manejo de supply chain management) o socialmente contraproducentes (como tokenized activos digitales). Incluso frases como “code is law” me llevan al pesimismo, porque he visto los efectos de bugs en código y termino en plan distópico. Pero quien te dice, tal vez algún día me encuentres del otro lado.
8.- Hace mucho que no vienes a España. ¿Cómo ves venirte a la LiberCON en Bilbao y cenar con algún hacker molón con pelo largo y gorro?
Ganas no faltan. Estoy intentando acomodar la agenda para estar ahí. Si llego a ir, invito yo 🙂
Via: unaaldia.hispasec.com