Hackear para mejorar la seguridad, ¡descubre el retrato de Ashraf!

¿Puede hablarnos de su trabajo?

R: Como ingeniero de DevSecOps, mi trabajo consiste en proteger todo el ciclo de vida del software, desde la planificación hasta la producción. Lo principal es asegurarme de que los distintos equipos tienen en cuenta el aspecto de la seguridad en cada fase. Luego me aseguro de que no haya vulnerabilidades en el código y de que la infraestructura en la que se despliega la aplicación esté perfectamente configurada y sea segura. Por eso también realizo pruebas de penetración para asegurarme de que son sólidas y permeables (pentests en blanco y negro).

¿Recuerda su primera intrusión?

R: Sí, creo que fue en 2014. Fue una cosa de adolescentes, tenía dudas sobre mi novia en ese momento, y quise revisar su página de Facebook para ver si me ocultaba algo.
Aproveché un fallo de Hotmail en ese momento para conseguir su contraseña. Lo que encontré allí, obviamente, no me gustó... Fue entonces cuando me di cuenta de que podía hacer daño. También fue el punto de partida de mi pasión por el hacking ético, que pretende utilizar estas habilidades con fines virtuosos.

¿Por qué continuó después de ese episodio?

R: En ese momento, es bastante satisfactorio tener tanto acceso. Hay una sensación de poder. Me gusta el dicho de Spiderman "Un gran poder conlleva una gran responsabilidad".. Eso es exactamente, de repente tienes mucha responsabilidad en tus manos.

¿Por qué elegiste hacer de esto tu carrera (Ingeniero DevSecOps / Ethical Hacker)?

R: Es un trabajo desafiante, soy mi propio adversario.
Establezco un sistema de seguridad que luego tengo que intentar penetrar.
Como he dicho antes, es mucha responsabilidad, pero es un reto que me gusta especialmente.

De hecho, fue un poco por casualidad que empecé a hacer carrera con ello.
Cuando era estudiante, fascinado por el pentesting y el mundo del hacking, me hice con el control del sistema de información de mi colegio a través de un fallo en la red. Entonces me ofrecieron un trabajo remunerado para asegurarlo.
Esa fue mi primera experiencia "oficial". Después me inscribí en HackerOne. Es una plataforma que te ofrece la posibilidad de participar en pentests bien definidos en beneficio de empresas que te dan acceso a sus entornos técnicos en el marco de programas Bug Bounty.

¿Aprendiste en el trabajo?

R : Empecé en una escuela de Tecnologías de la Información y la Comunicación bastante generalista. La seguridad no era una especialidad en absoluto, pero intenté transponer lo que aprendí allí aplicándolo a la ciberseguridad. También consulté regularmente libros de hacking ("The Hacker PlayBook 1 and 2", "Penetration Testing A Hands on Introduction to Hacking", "Black hat python"...). También he intentado siempre ponerme en contacto con gente que comparte mi misma pasión y participar en eventos de seguridad como CTF (Capture The Flag).

Después fui a la escuela de ingeniería. En realidad no hay una escuela para convertirse en DevSecOps o Pentester. Las cosas que aprendí y las que me resultan más útiles hoy en día son las que aprendí por mi cuenta.

Al mismo tiempo, sin embargo, obtuve varias certificaciones. Empecé con certificaciones de redes y sistemas (Linux, Microsoft, etc.), y luego con certificaciones de aplicaciones (web, bases de datos, etc.). Desde que me uní a Algoan, también he obtenido certificaciones en la nube.

¿Por qué eligió Algoan?

R : Por varias razones. Era bastante reacio a incorporarme a una gran empresa. Sabía que la jerarquía, demasiado vertical, no me daría la oportunidad de participar en la toma de decisiones. Tampoco quería limitarme a una sola tecnología.
En Algoan, al principio me llevé muy bien con Fabrice, nuestro Director Técnico, cuya visión compartía. Enseguida sentí que iba a tener la oportunidad de desempeñar un papel tangible en el crecimiento de un proyecto, con libertad para desarrollarme. Me atraía ese espíritu de start-up.

PREGUNTAS EXTRA

¿De qué intrusión se siente más orgulloso?

R: No es del que estoy más orgulloso, pero sin duda es el que más me impresionó. Tomé el control de una operadora de telefonía a través de un fallo de la red. En aquel momento, me asustó la magnitud de la intrusión y lo que era posible. Suelo informar de cualquier vulnerabilidad que encuentro a los equipos de seguridad. En general, son bastante abiertos y ofrecen recompensas.

¿Si tuvieras que puntuar la serie Mr. Robot sobre 10?

R: Le daría un 7 por el guión, y un 4 por la técnica utilizada. ¡Utilizan niños de guión!

Encuentra a Achraf en LinkedIn

‍