Reunión de TupperWare


Las grandes historias se componen de minúsculos relatos, quizá solo importantes para quien los protagoniza. Solo con la perspectiva del tiempo, vemos si esa minihistoria se alineó o no con algo más importante.


¿Os imagináis la “situación” de los diferentes responsables de seguridad de Microsoft en todo el mundo, en los momentos post “Slammer” o post “Blaster”?


En fin, yo si me acuerdo, y concretamente tengo grabada en mi memoria una reunión de los responsables europeos de seguridad en un Hotel de Paris, cercano a La Defense un Jueves por la tarde de Octubre del año 2001. Eso parecía una reunión de alguna “terapia de autoayuda” :


 – Hola me llamo Piero Pertini, soy el Director de Seguridad de Microsoft Italia, …  y el otro día encontré una cabeza de gato cortada en el felpudo de mi casa.


(MMM, AHHH, Aaa …la cosa nostra ahhh .) Murmullos de asombro. Piero, te queremos !!!


– Hola me llamo Ivan Ustinov, soy el director de Seguridad de Microsoft Rusia, y bueno, no se como interpretar la presencia de un billete a Siberia en mi buzón …


(MMM, cabro…AHHH, gulag, aaa, está jod ….) Mas murmullos de solidaridad corporativa ;-). Ivan, te queremos también …!!!


En fin, obviamente estos protagonistas son inventados. Pero la sensación que todos teníamos en esa reunión era la que describo.


Mi minihistoria en ese momento tenía mas que ver con un evento de Seguridad en Santiago de Compostela (el famoso eGallaecia).


Imaginaros… un evento de seguridad de tres días, mañana y tarde. Yo participo el último día por la tarde. Pero eso si, estoy todos los días del evento en primera fila sentado escuchando todas las ponencias.


Todos los ponentes saben que estoy ahí….al final este mundillo es un pañuelo…  y todos, durante los tres días me van dirigiendo directamente sus ….sus ….”comentarios” ;-), “mostrándome sus heridas”. Heridas reales, indiscutibles, inexcusables … En ese momento, Microsoft es percibido como el gran responsable. Y es que Blaster, Slammer y CodeRed fueron devastadores.


En fin, cuando subí al estrado, llevaba tal cantidad de anotaciones acumuladas durante los tres días, que como intentara responder a todas ellas, no terminaría nunca la charla. El año anterior (año 2000), en ese mismo evento, compañeros míos de Microsoft Europa salieron “un poco perjudicados” según me contaron 5 segundos antes de subir al atril !!! . Eso si que es don de la oportunidad !!! … En fin…. from lost to the River !!!! Vamos allá…


Acabábamos de lanzar un programa que algunos recordareis (STPP – Get Secure, Stay Secure) que en parte podía responder, cuando estuviera desplegado, a parte de las demandas mas importantes que habían surgido (distribución de parches en entornos corporativos etc..). Seguí los consejos de mi buen amigo y organizador del evento D. Marcelo Castelo: reconoce errores, propósito de enmienda…. y sobre todo HONESTIDAD. … La charla al final fué bien. Muy bien. Aun recuerdo ese aplauso como el que mas he agradecido en mi vida de “ponente”. No se si se aplaudía mas el “estoicismo”, la “solidaridad entre seres humanos ;-)” o el contenido.


Bien …. pero eso no había terminado.


Yo me iba íntimamente convencido de que teníamos que poder mostrar una historia muuuucho más poderosa en materia de seguridad. Estábamos en un momento crítico…. Y STPP me servía para salir del paso …. pero eso no era lo que el sector necesitaba de Microsoft.


Los lideres lo son más cuando aparecen en el momento adecuado… y en Febrero de 2002, es decir, a los pocos meses, el golpe de Bill Gates sobre la mesa aun debe resonar en los oídos de algunos … Eso se llamó TrustWorthy Computing (TWC), que en Román Paladino es algo así como



 ….”Aquí no tira nadie una p… línea de código sin que se pase una auditoría de seguridad, y se establezca un cliclo de desarrollo seguro de código. Y si hay que parar la compañía, pues se para ….. Y se paró …. Vaya si se paró !!!


A partir de ese momento, la palabra mágica en Microsoft era “Seguridad”. Te abría todas las puertas, te abría todos los fondos, te abría todas las inversiones ….



– “necesito inversión para un proyecto de bla, bla, bla”


– “no me convence… no lo veo rentable bla, bla ..”


– SEGURIDAD !!!!


– “¿Cuanto necesitas?” 😉


Durante mucho tiempo ese fue el gran pilar de Microsoft…. ¿La realidad después de casi 6 años? Pues la magia no existe. Si se invierte, se consiguen resultados. Si no se invierte, se maquillan resultados … y Microsoft invirtió ….. Vaya si invirtió !!!


¿Están resueltos todos los problemas de seguridad? Pues me temo que no … ¿Estamos muy distantes de ese año 2001? Pues evidentemente sí.


Pero si dejaré al Maligno que hable sobre el tema si quiere en su blog, que está mucho mas puesto que yo. Y que nos explique alguna anomalia, como la de esta gráfica ….¿ Es posible que SQL Server 2005 continue con cero vulnerabilidades ? ¿O a lo mejor tiene alguna ya ? Es igual… Lo importante es que la historia ha cambiado  y sigue cambiando.



Y para muestra otro botón:


Esas reuniones de responsables de seguridad de Microsoft ya no se parecen a las de “Autoayuda” … Todo evoluciona, y ahora se parecen más a las de “TupperWare” 😉 … Cada responsable de seguridad de Microsoft va ahí a contar las bondades de su “Tupper” al resto de vecin@s.


Sabéis cual es el último ¿Tupper” español? El proyecto CETS (Child Explotation Tracking System).









Pues resulta que ahora.. nos acaban de otorgar un premio de seguridad por este proyecto ;-).


Microsoft y el Ministerio de Interior han recibido el II Premio Internacional de la Seguridad otorgado por la revista Red y Seguridad, tras la deliberación de un jurado independiente formado por empresas del sector, que durante 1 mes ha deliberado entre las diferentes candidaturas.


En esta foto estamos el director del Gabinete del Ministro de Interior, D. Gregorio Martinez Garrido (dcha.) y un servidor (Izda.) recogiendo el premio la semana pasada.


La próxima vez prometo no poner los dedazos en ningún adorno de cristal 😉


Por cierto… ¿Cual es la evolución natural de una reunión de Tupperware ? Habrá que prepararse para lo que el futuro nos depare 😉


 En fin… Como ha cambiado el cuento, aunque os aseguro que estamos muy lejos de la autosatisfacción, que aunque mucho menos estresante, es la peor de las trampas.


 

Comments (13)

  1. @Pentapolín, tienes toda la razón.

    De hecho es algo que siempre he defendido, y me he dejado llevar por la pasión 😉

    Las vulnerabilidades técnicamente existen desde el lanzamiento del producto. La diferencia es que el nivel de riesgo de que se utilicen o exploten, aumenta casi como una Delta de Dirac en el momento que se descubren.

    De hecho, las vulnerabilidades de cualquier sistema, que se vayan a identificar el año que viene, ya existen en este preciso momento.

    Lo que quería ilustrar con ese ejemplo de SQL Server es que, a pesar del intensivo análisis que te aseguro se realiza sobre cualquier producto de Microsoft cuando este se hace público, es realmente sorprendente que despues de 3 años se haya encontrado (no que no existan) una o ninguna. Y especialmente significativo cuando se compara en el tiepo con su compañero de fatigas ORACLE que no es que esté pasando una buena racha precisamente en materia de seguridad …

  2. Hay algo muy importante en estas iniciativas dirigidas al desarrollo seguro de código, como por ejemplo el SDL de Microsoft (Secure Development Lifecycle), y es el momento de cierre del ciclo.

    No acaba en el lanzamiento de un producto. El descubrimiento posterior de una vulnerabilidad produce, lógicamente su resolución de forma prioritaria, pero además alimenta y modifica la fase del ciclo donde esta vulnerabilidad debería haber sido descubierta.

    Esta iteración continua mejora mucho la seguridad de cualquier tecnología, garantizando que se saca el máximo provecho del descubrimiento de una vulnerabilidad.

  3. Gracias López, corregido. Y siento haber herido tu elevada sensibilidad ortográfica.

    Y totalmente de acuerdo contigo. Te invito a que no sigas leyendo este blog (personal), pues dado tu umbral de alarma linguística, no te puedo garantizar que en algún momento se me escape otra perla y vuelva a herirte de la forma tan "devastadora", directa y sentida que describes en tu comentario.

    A no ser que tu comentario de "aprender a escribir" solo buscara molestar, verdad? No, no creo.

  4. Javier Cao Avellaneda dice:

    Buenas,

    Yo recuerdo también aquellos tiempos pero con otro contexto. Yo en aquella época, año 1999 y con el demonio llamado "efecto 2000" que tenía aterrados a todos los responsables de sistemas de información participé en un proyecto pionero para probar "Magerit 1.0" en una administración pública. En aquella época, gestión de la seguridad sonaba a chino y decir que te dedicabas al análisis y gestión del riesgo de la seguridad hacía las carcajadas de mis compañeros de seguridad lógica hartos de instalar firewalls y antivirus en todos los sitios. Recuerdo discusiones filosóficas respecto a que la tecnología no era ni sería la solución, que el problema cambiaría y siempre iría hacia el eslabón mas débil. En aquel entorno y con la evolución que la seguridad de la información estaba sufriendo, siempre me cruce con Microsoft por el camino. En parte era un alivio porque me hacía pensar que si una compañia con tanta gente apostaba por esta filosofía, no debía estar equivocado.

    Cuando investigaba sobre posibles normas y marcos de gestión de la seguridad, la norma ISO 17799 por aquel entonces, me aparecía Microsoft enseñando a configurar servidores para garantizar los controles de la norma. Cuando leía sobre protección de datos, se publicaba un libro sobre como cumplir con el R.D. 994/1999 en entornos Microsoft. Además, la Web técnica de Microsoft era una fuente inagotable de muy buenos recursos. Cuando Magerit ya tenía un par de años de rodaje, se anuncia el MOF sobre la gestión de sistemas. A la par, Microsoft elaboró como parte de las piezas del rompecabezas, su propia metodología de análisis y gestión de riesgos y demostraba cómo todo esto que se anunciaba, lo probaban ellos mismos. Solo para ilustrarlo basta ver la entrada en mi blog del año 2005, http://seguridad-de-la-informacion.blogspot.com/2005/10/la-mejor-enseanza-el-ejemplo.html

    Cuando investigaba sobre la seguridad en productos TI y los conocidos "Common Criteria", salía el anuncio de Microsoft certificando con EAL 4+ sus sistemas operativos Windows 2000 y XP. Y siempre, estas versiones con sus guías de instalación seguras, sus documentos técnicos de amenazas y vulnerabilidades, etc.

    En fin, nunca he sido de "unos" o de "otros" en temas de productos, pero siempre he reconocido el acierto del camino elegido. Así lo recoge mi blog desde el año 2002, donde al buscar por Microsoft aparecen multiples entradas. Es quizás también un buen blog-log de la evolución que comentas.

    Y mientras se sigue utilizando el tópico en seguridad de que Microsoft es la peor amenaza, ya se encarga el tiempo, las estadísticas y el malware de seleccionar a otras víctimas más débiles que no han hecho bien los deberes. Ahora toca "respirar" un poquito y ver como las amenazas se vuelcan sobre los que confiados han estado viendo las barbas de su vecino pelar, sin poner las suyas a remojar.

    Tampoco hay que relajarse, el malware siempre irá a por aquel sistema que tenga o bien más potenciales víctimas, o bien, sea más fácil atrapar. Al menos, que los ataques sean motivados por lo primero y no lo segundo.

  5. Anotacion dice:

    Solo hay una cosa peor que tener una vulnerabilidad en un producto, tenerla y no saber que la tienes.

    Esta claro que SQL Server no tiene 0 vulnerabilidades, por muy seguro que sea tiene que tener alguna, es algo intrinseco a la complejidad del software.

    La pregunta es si las vulnerabilidades la encuentran antes los "buenos" o los "malos".

  6. Pentapolín dice:

    Estoy de acuerdo con Anotación; ojo con esos mensajes y gráficos de cero errores. Es de aplaudir el esfuerzo de Microsoft en mejorar la seguridad de sus productos, pero no creo que sea bueno ‘disparar’ con el mensaje del tipo "el producto XXXX no tiene fallos"; eso no existe (lamentablemente).

  7. Pentapolín dice:

    ¿Recordáis aquello de ‘unbreakable’ de Oracle?; yo cuando veía esos carteles pensaba: "realmente estarán tan seguros?; de todas maneras cuentan con una ventaja importante … la imagen; porque de ‘unbreakable’ nada de nada.

    No pretendo con esto una discusión del tipo ‘y tú más’, que lógicamente no aporta nada; es solamente un comentario para reforzar eso de tener cuidado con los mensajes a veces un poco, digamos, radicales.

  8. López dice:

    Soy de los que opinan que antes de ponerse a publicar un blog corporativo hay que aprender a escribir. Dado el puesto que usted ocupa por lo menos pásele los posts a su secretaria para que le diga que leer "desbastador" en mitad de un texto provoca un efecto devastador que hace que no sigas leyendo.

  9. mike dice:

    @López:

    Hola lingüista, no aburras con tonterías y escribe algo que pueda interesar.

    @Hector:

    Buen post, ójala un servidor acabe trabajando para MS. Esa nueva filosofía de pensar en la seguridad casi antes que el propio producto no creo que lo hagan muchas empresas.

    Saludos!

  10. uhm dice:

    Comentaba hace pocos dias la encargada de seguridad de Mozilla que casualmente es ex-ejecutiva de Microsoft. Que Microsoft acostumbra a hacer publicos solo una pequeña parte de los bugs, asi en plan de cara a la galeria, y el grueso de los bugs eran corregidos en service packs y actualizaciones automaticas.

    Despues de oir eso y viniendo de quien viene uno duda de la veracidad de los datos antes expuestos, sobre todo los 0 bugs. Mas bien sera 0 bugs para que queden bien en la grafica y un numero bien distinto en la realidad que no es necesario que conozca el cliente para que no se asuste.

  11. Pentapolín dice:

    @López, ombre, no te ponjas tan radikal, total, solamente a sido un fayo tipojrafico.

    Ojo con los comentarios de ex-empleados; en mi opinión hay que tomarlos con cierta precaución. De todas maneras,y volviendo al tema que nos ocupa, que no es la ortografía, parece que hay unanimidad en que no existe el sofware perfecto y que todas las compañías, todas, tienen sus trucos para aparecer en los distintos informes y análisis.

    Creo que lo importante es que la seguridad ahora forma parte del mensaje habitual y que se tiene en cuenta en todas las fases del ciclo de desarrollo.

  12. Gustavo Ruiz dice:

    No tengo idea de lo que hablais. estoy más lejos de un geek que de un baby-boomer. Pero la teoría del caos aplicada a la informática -y a nada más hoy día, a todo- me lleva a la página. yo descubrí el Word y el excel en un LC de Apple. Y me cisqué, desde entondes, en Wordperfect y en Lotus. Como usuario, creo en Microsoft. Hizo la vida más fácil para todo el mundo. Pero detesto su filosofía de carga todo de buenas intenciones. Y millones de líneas de código, cuando no haecn falta. Sólo es que somos muchos programando desde la escuela. El caos lo arreglará. Entonces llegó…

    Bueno, que caía por aquí, con la búsqueda de Tupperware. Cómo sois los famosos.

    Bs’s

Skip to main content