Mucho se ha leído estos días en los trabloides de Internet sobre que Apple ha contratado a la persona que hizo seguro Windows Vista, o que salvó Windows de ser un queso gruyere, etc... pero nada más lejos de la realidad. Lo que sí que es cierto es que Apple ha contratado a Kris Paget, un hacker conocido en la comunidad hacker por sus charlas internacionales en BlackHat, Defcon, SchmooCON, etc... donde ha publicado sus trabajos, algunos de ellos centrados en comunicaciones móviles o tecnologías contactless como RFID, etc...
Figura 1: Kris Paget hablando en BlackHat |
Sin embargo, lo que más ha llamado a los medios de comunicación es que fuera contratado como pentester externo en el proceso de verificación de la seguridad de Windows Vista, y no que en su pasado fuera empleado de Google, por ejemplo. Suponemos que por la eterna rivalidad Apple - Microsoft pero desde luego no fue el "salvador de Windows" o el que "hizo Windows Vista seguro". Eso sí, fue uno de los que participó en el enorme trabajo que es hacer un sistema operativo más seguro.
Si hay que darle a alguien ese calificativo en Microsoft sería a la persona que Bil Gates situó al frente de la TrustWorthy Computing Initiative, es decir, a Michael Howard, padre del Secure Development LifeCycle e impulsor de cosas que no estaban antes de la TCI en los sistemas Windows como, por ejemplo:
Firewall de Entrada/Salida, Sistema de actualizaciones Windows Update, técnicas de fuzzing en la revisión de código, DEP, ASLR, firmado de binarios en Windows, actualizaciones de seguridad programadas y explicadas con tiempo, desarrollo de productos basados en SD3+C (Secure by Desing, Secure by Default, Secure by Deployment y Comunicación con los clientes), servidores de actualizaciones en las empresas, equipos de seguridad externa e interna en Microsoft, la inclusión de AntySpyware y Antimalware en los sistemas Windows, y un largo, largo, largo etcétera de medidas de seguridad - alguna de ellas aún no disponible en Mac OS X -.
La llegada de Michael Howard supuso también la llegada de muchos expertos de seguridad, como Mark Russinovich y Crispin Cowan - creador de Immunix y App Armor - entre otros, o la contratación de muchos hackers en los procesos de pentesting antes de poner los productos a la venta, com los casos de David Litchfield en SQL Server o un gran número de ellos, entre los que se encuentra Kris Paget, en Windows Vista.
Ahora bien, que un titular de la revista Wired diga que por haber sido parte del equipo de pentesting de Windows Vista has sido el que lo salvó del infierno de la inseguridad, dice bastante poco de los conocimientos de cómo se construye la seguridad de un sistema. De todas formas, esperamos que se note la mano de Kris Paget en iOS u OS X para que mejore la seguridad de los usuarios de las tecnologías Apple, al igual que con la contratación de otros hackers en el pasado en la empresa Apple.
Muy acertado el articulo, aparte practicamente cualquier consultor internacional conocido le ha hecho alguna vez una auditoria paga a los productos de Microsoft, ellos usan mucho empresas e investigadores externos como parte del SDL.
ResponderEliminarEs el primer post asertivo que encuentro, cuando leí los otros post sobre este tema, encontré que una persona que salva un sistema entero o a una compañía no existe o simplemente es sobre humana, en el caso de ser sobre humana, los demás que se dedican a la seguridad están perdiendo el tiempo tratando de obtener el nivel que este trabajo requiere.
ResponderEliminar