A Luciano lo conocí personalmente hace unos meses, en las Jornadas del Sur en Bahía Blanca, donde ambos fuimos disertantes. Obviamente ya lo conocía de antes por los motivos que leerán en las preguntas. Luciano se acercó a mi charla, y a pesar de ser una persona reconocida en el ambiente (y en el evento mucho también), fue uno de mis oyentes favoritos desde que doy charlas, por su alta participación pero sin la arrogancia que suele recibirse a veces desde el público (más si sabe que cuando hablan, el resto lo reconocen).
En fin, desde allí nos hemos visto en varios eventos de seguridad y me pareció que valía la pena entrevistarlo, para llegar por primera vez con alguien bien metido en el software libre, y con algunas preguntas relacionadas también con la seguridad.
¡Gracias Luciano!
Parte 1: Datos personales
Luciano Bello es uno de los 6 desarrolladores Debian que hay de momento en Argentina. Trabaja como investigador en seguridad informática, en el Laboratorio SI6 de CITEFA. Tiene 28 años, y hace dos que la FRBA-UTN dice que es Ingeniero en Sistemas de Información, profesión que nunca ejerció. Vive en Villa Urquiza, sin mascotas (al menos macroscópicas o domésticas) y es un mediocre jugador de go.
Parte 2: Mini ping-pong
- ¿Cuál fue tu primer computadora? Tuve la suerte o desgracia de nacer casi sincronizadamente con el PC de IBM, así que fue lo que mayormente usé. Había amigos con otras cosas, como Comodore o Amiga, pero no me dejaban tocar mucho. En cuarto grado, mi mamá me inscribió en un curso de comuputación en mi escuela. Eran XT. Como no tenían disco rígido, iba una hora antes de la clase a butearlas con disquete. Ahí hice mis primeras armas, programando burdos jueguitos con logo. En mi casa unos reyes magos me introdujeron al maravilloso mundo de los 32 bits con una 80386, 8MB de RAM y un disco rígido de 40MB, que giró durante mucho tiempo más.
- ¿Cuál es tu kit informático de uso diario? Lo básico es mi portátil, una Thinkpad X60. En la mochila suele viajar también un Nokia n800 y mi cámara de fotos, que es Canon PowerShot SX110 IS.
- Un informático que admires. No se si uno admira a los “pioneros”, parecen lejanos (incluso muchos están muertos). Hay gente admirable a la vuelta de la esquina, de esos que uno puede conocer, al menos para intercambiar algunas palabras. Por nombrar solo algunos: Gordon Lyon, Wietse Venema, Jon “Maddog” Hall, y un largo etcétera. Gente inteligente, muy humilde, con quien uno pasaría horas hablando de la vida. En otro orden de “celebriddismo”, tengo mucho conocidos cercanos que me impresionan a virtualmente a diario, como Facundo Batista, JuanJo Ciarlante, Enrique Chaparro y Kragen Sitaker, solo por ser acotado en los ejemplos.
- ¿Windows, Linux o Mac? ¡Debian!, que es como Linux, pero mejor
. Mi segundo SO favorito es OpenBSD, que no está en la lista pero debería.
- Google… ¿ángel o demonio? La conjunción disyuntiva “o” es bastante rara. Puede expresar alternativa entre dos opciones o equivalencia, dependiendo del contexto. Se que te referís a ella en el sentido contrapuesto. Pero voy a abusar del lenguaje para que definir a Google como ángel Y demonio.
Tercera parte: Las preguntas
Arranquemos con una pregunta sencilla, pero que cada uno tiene una respuesta distinta: ¿por qué usar software libre, según Luciano?
Hay múltiples razones. Muchas son obvias y directas, así que no voy a pasarlas por alto (todos entendemos a esta altura de lo bueno que es el concepto de libertad, en todo entorno). Por un lado, el software libre me permite lidiar con los problemas informáticos de forma mucho más amigable. Me ocurría que, cuando tenía un problema utilizando software no-libre, si Google no me daba la solución medianamente inmediata (y entendible), simplemente tenía que convivir con el problema. Eso me parecía inconcebible. Con software libre puedo ser parte de la solución , desde el reporte del bug hasta su solución y testeo. Eso lleva a la cercanía con el desarrollador de una aplicación o distribución, lo cual es genial. Por último, me encantan algunos conceptos como lo de “distribución”. Es decir, que un sistema operativo tenga todo lo que necesito y no tener que salir a buscar pequeños (y a veces, no tanto) programitas en Internet por cada necesidad surgida, a costo de la posibilidad de instalar software malicioso o inseguro. Tener virtualmente lo que sea, a un apt-get de distancia y que se integre con lo ya instalado es maravilloso.
¿Cómo fue que tomaste la decisión de ser desarrollador de una distribución de Linux?
Parecería que las actividades “pasivas”, después de ser algo habitual, invitan a la transformarse en algo habitual, invitan a la contraparte “activa”. Es natural que alguien que lee mucha poesía termine escribiendo sus propios versos tarde o temprano. En este caso creo que es parecido. El paso siguiente a utilizar mucho software libre es, inevitablemente, contribuir a él. Era usuario de Debian desde hacía algunos años cuando en 2004 la DebConf4 (reunión anual de desarrolladores Debian) se organizó en Porto Alegre, por lo que me resultó relativamente barato ir. Así conocí a varios desarrolladores, quienes parecía personales normales, por lo que empecé a mantener mis primeros paquetes. En ese momento fue tan natural y obvio que ni pensé acerca de las motivaciones para hacerlo. En ese sentido no fue una “decisión”, sino una continuación.
Pensemos en un adolescente, o un desarrollador joven, ¿qué va a aprender si se convierte en desarrollador de algún software libre?
Una de las cosas que más valoro es el hecho de trabajar con una comunidad internacional y sumamente heterogénea. Las ideas y opiniones son siempre muy variadas, lo cual permite ver un problema desde múltiples ángulos. Esto, sumado a la necesidad de coordinarse a nivel planeta y casi siempre de forma asincrónica hace que sea apasionante. Uno dedica ratitos libres a sus tareas y las envía. Cuando vuelve a sentarse tiene feedback de gran calidad. El crecimiento técnico, profesional y social es directa consecuencia de esta forma de trabajo.
Si uno no sabe programar, ¿qué otras cosas puede hacer para colaborar con el software libre?
Pues depende de lo que sí sepas hacer. Recuerdo haber dado varias charlas con el nombre “A darle Átomos a Debian“. Ahí están las mil y una formas de colaborar con Debian en particular y con el software libre en general. Hay mucho para hacer, desde traducciones hasta organizar eventos o prensa. Se puede hacer merchandising o administrar sistemas…
Entremos más en detalle. Debian es la distribución madre de muchas otras distribuciones, incluso Ubuntu. Sin embargo, sigue sin ser la preferida para entrar en el mundo Linux. ¿Por qué? ¿Es una diferencia real (técnico) o es un tema de marketing?
Desde donde yo lo veo, Ubuntu (y otras distribuciones derivadas de Debian) son Debian. En mayor o menor medida son customizaciones de Debian. Existe Skolelinux para escuelas y Ubuntu para el escritorio de las madres o novatos recién iniciado en el mundo Linux. Debian “puro” es muy personalizable y flexible, por eso es el sistema operativo universal. Pero esto hace que no sea fácil en el primer acercamiento. Las customizaciones limitan esa flexibilidad, tomando decisiones previas para no tener que preguntarnos. Así, un cosmonauta tomó algunas decisiones (como que el escritorio sea Gnome) y lo puso al alcance de todos. Ubuntu ha hecho importantes contribuciones en la conquista del escritorio y colaboró en que miles de personas se acerquen al software libre. ¿Que Debian no es la preferida para newbies? Los usuarios de Ubuntu son usuarios de Debian…
El año pasado encontraste un fallo en OpenSSL, que ponía en riesgo a muchos servidores y servicios basados en Debian. Me interesa esto: ¿cómo es el momento en el que ves un error tan grave? Me imagino que uno se frota los ojos varias veces pensando que está viendo mal…
Sin duda 
Pasé mucho tiempo buscando mi error porque simplemente no lo podía creer. Incluso cuando lo reporté no estaba del todo convencido. Es un mail lleno de potenciales y dudas, con un pequeño PoC o la frase “disculpen si les saco tiempo en algo totalmente equivocado, pero creo que vale la pena verlo”.
Linus Torvalds dijo una vez: “Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios”, lo que luego prosperó como la Ley de Linus. Pensando en el fallo que vos encontraste te pregunto: ¿faltan ojos o la la Ley de Linus no es correcta?
Bueno, no fue Linus quien lo dijo, incluso cuando se llama “Ley de Linus”, sino Eric S. Raymond. Con esta premisa se suele (incluso yo mismo lo hacía) defender las bondades del software libre. Que sea tan sencilla y lógica me hace sospechar de que es verdadera, pero posiblemente no estemos en condiciones de confirmarlo. Incluso puede que nunca lo estemos. En la forma actual que se encuentra y plantea el software libre, no hay una cantidad lo suficientemente elevada de ojos. Al menos ojos críticos, que busquen y exploten. No alcanza con que el código esté público. Hay que verlo, compilarlo, probarlo, intentar explotarlo, modificarlo e iterar. Es un hecho que solo el software de código abierto nos permite realizar esta heurística. Aunque la misma, actualmente, no se haga hecho en las millones de millones de líneas de código que polulan por ahí. Incluso dudo mucho de que sea posible que llegue el día de la auditoría absoluta y completa.
¿Sentíste que luego del descubrimiento, hubo personas y medios interesados en magnificar el error por tratarse de software libre?
El mundo está hecho de oportunistas. También los entusiastas del software libre lo somos cuando alguna empresa de software privativo tiene algún tropiezo. El error fue una terrible pifiada y no es muy “magnificable” dado lo grande que ya era de por sí. Algunos medios no eligieron muy bien las palabras y le daban a sus notas un tinte apocalíptico acojonante. Que se yo… Tal vez debamos aprender a ser más comprensivos con los errores propios y ajenos.
Como profesional dedicado a la seguridad, ¿te puedo preguntar tres consejos básicos para la seguridad de un sistema, que sean aplicables independientemente del sistema operativo que use el usuario?
En lo doméstico hay clásicos, como elegir buenas contraseñas. Recuerdo un post de Schneier sobre el tema también los chicos de LifeHacker (por cierto, que buen blog!) dedican algunos consejos. Como para resumir:
- No usar siempre la misma contraseña
- No nombre propios, no fechas, no palabras de diccionario
- Utilizar algún gestor de contraseñas cuando su cantidad sea demasiado grande
- No anotarla en medios físicos, no compartirlas, cambiarlas periódicamente
- Números, letras, máyusculas, minúsculas y signos son bienvenidos
En segundo lugar, creo que merece ser mencionado el tema de la ingeniería social. Es necesario ser precavido con el correo. No dar datos personales. Ningún banco te contacta para que cambies la contraseña. Nadie manda attach sin una buena explicación. Que una web se parezca a la de tu banco no significa que sea tu banco. Que un ejecutable diga que hace una cosa no significa que la haga. Que un mail diga de donde viene no significa que venga desde ahí. En general, dudar y después hacer clic, en ese estricto orden.
Para terminar, mi último consejo es animarse a la critografía. No es de ciencia ficción. Es relativamente fácil saber de qué va un certificado o generar tu propias llaves publica-privada. Enteder, al menos básicamente estas cosas puede ser muy útil.
Por último, el descubrimiento del fallo en OpenSSL te hizo “famoso” en muchos ámbitos técnicos, y te abrió las puertas a muchas disertaciones y presentaciones. Incluso fuiste representante del país para muchos medios (“un argentino descubre…”). ¿Cómo tomaste esto? ¿Qué cosas cambiaron en tu vida profesional desde aquel descubrimiento?
Mi vida profesional no cambió en absoluto. Tal vez ahora tengo un egosurfing más entretenido. Pero no creo que sea gran cosa. La vida continua y hay que encontrar cosas nuevas con relativa periodicidad para estar en la cresta de la ola. Cresta en la que no estoy seguro de que quiero estar. Por otro lado, el fallo de OpenSSL será eventualmente olvidado. Así que ya hay que pensar en el siguiente paso que es, por definición, mucho más divertido que el anterior.
Nota: Luciano me aclara con mucha cortesía que en la respuesta número 1, repite lo que ya dijo en esta entrevista; y en la número 5 algo que ya dijo acá. No pasa nada Luciano, eran muchas preguntas y tampoco es cosa de repetir lo ya dicho. 
Ver otras entrevistas
. De todas formas, ya han pasado unos cuantos días y la comunidad parece no querer “tocar” a este pibe Torres, que sin dudas ha hecho mucho por la distro, pero se equivocó, y debe hacerse cargo de las consecuencias.
Escrito por Sebastián Bortnik 
Escrito por Sebastián Bortnik 
Escrito por Sebastián Bortnik 
