Название: Hackear al hacker
Автор: Roger A. Grimes
Издательство: Bookwire
Жанр: Математика
isbn: 9788426727411
isbn:
Mi primer gran recuerdo del trabajo y el nombre de McGraw es cuando él y Ed Felten asumieron la seguridad del lenguaje de programación Java, escribieron un libro y detectaron decenas de vulnerabilidades de seguridad. En aquel momento, fue algo increíble, porque Sun Microsystems había hecho de Java supuestamente un lenguaje de programación muy seguro, pues sabían que estaría muy basado en la web y sería constantemente atacado por hackers. Java surgió en 1995 y Sun presumió desde sus inicios de que era un lenguaje de programación muy seguro. Lo habían construido algunos de los grandes magos de los lenguajes de programación, entre ellos, Guy Steele y Bill Joy. La mayoría de los expertos en seguridad informática se preguntaban si realmente era tan seguro como pensaban en Sun o si resultaría ser otra de las promesas de seguridad sobrevaloradas. Y resultó ser esto último. Tras algunas promesas iniciales, Java produjo algunas de las piezas de software más plagadas de errores del mundo, McGraw fue uno de los mejores en detectar vulnerabilidades de Java y él y Felten fueron el origen del análisis de Java para detectar errores de seguridad. En una conferencia, McGraw coincidió con el coautor de sus libros, Ed felten, y esta conferencia apareció en el primero de muchos otros libros. Muchos de los libros de McGraw se convirtieron en éxitos de ventas (uno de ellos, Exploiting Software, incluso llegó a ocupar el puesto 16 del ranking de ventas de Amazon, que es una gran cifra para cualquier libro de informática, y mucho más para uno de seguridad informática).
McGraw continuó pensando en seguridad del software y en dónde acudir para aprender a construir algo más seguro. Se preguntaba cómo el resto de nosotros, programadores «normales», íbamos a crear software seguro si los mejores magos (como Bill Joy y Guy Steele) no lo habían podido hacer adecuadamente. Se preguntaba qué iba mal en el proceso y por qué iba mal. Se dio cuenta de que todo el software y todos los programas tenían que ser diseñados y escritos desde cero con la seguridad en mente. Casi al mismo tiempo, se le ocurrió su Trinity of Trouble, que hablaba sobre por qué la seguridad informática seguía siendo interesante y complicada. Basicamente, si está en red, es compleja y extensible, siempre va a interesar desde un punto de vista de la seguridad y será difícil de proteger. Desafortunadamente, Java tenía estas tres características, y de qué manera, aunque su complejidad era probablemente el aspecto más difícil contra el cual luchar.
Después de escribir como coautor el libro Building Secure Software [Creando software seguro], en 1999, acabó visitando varias empresas, como Microsoft, donde Michael Howard, tratado en el Capítulo 7, trabajaba con Jason Garms en la muy reciente Secure Windows Initiative. Recuerda que todos los gestores de proyectos de Microsoft asistieron a su charla y que Microsoft estaba realmente preparada para la seguridad del software.
Después de otros muchos años trabajando en la seguridad del software en este sector (tanto mediante el desarrollo de servicios como de tecnología), McGraw terminó participando en la creación del Building Security in Maturity Model (BSIMM). Más de 100 grandes firmas utilizan hoy en día el BSIMM para medir, seguir y entender sus progresos en seguridad del software.
Le pregunté en qué se diferenciaban los modelos del SDL de Michael Howard y su BSIMM, si ambos intentan conseguir que el software sea más seguro. Me dijo: «El SDL es una metodología concreta, mientras que el BSIMM es una herramienta de medida que puede ser utilizada para medir, comparar y contrastar distintas metodologías como el SDL. El SDL de Microsoft es simplemente una metodología, pero es tan buena que decidieron redactarla y compartirla. Lo que hizo Michael Howard, a quien aprecio mucho, fue institucionalizar un enfoque para una organización muy grande con miles y miles de programadores. Él demostró que el software seguro puede realizarse a una escala extremadamente grande, lo cual era muy importante».
Como hago siempre con todas las personas tratadas con detalle en este libro, le pregunté a McGraw que cuál pensaba que era el mayor problema en seguridad informática. Su respuesta fue idéntica a la de Michael Howard, a quien había entrevistado previamente. Me dijo: «A pesar de tener una gran cantidad de recursos para crear y diseñar sistemas más seguros, la gente que crea y diseña sistemas todavía no sabe lo suficiente sobre seguridad. Aunque las universidades y las empresas comerciales de formación están haciendo un gran trabajo, el trabajo de muchas otras es insuficiente, y eso si es que están haciendo algo».
Él cree que la disciplina de seguridad informática está todavía bastante descuidada. Su libro favorito sobre seguridad y cómo construir cosas adecuadamente es el de Ross Anderson Security Engineering [Ingeniería de la seguridad]. Dice que le encanta, incluso más que sus 12 libros, «creo que es el mejor libro sobre seguridad del planeta».
McGraw tiene su podcast semanal denominado Silver Bullet Security (https://www.garymcgraw.com/technology/silver-bullet-podcast/), en el cual entrevista a expertos y personas que aportan ideas a la industria. Acaba de celebrar 10 años con 120 podcasts. Cuando revisé su lista de entrevistas, vi que muchos de los entrevistados eran los mismos que yo he tratado en este libro. Ama realmente la historia de la seguridad informática como yo y quiere seguir aprendiendo y compartiéndola. Una vez terminada nuestra entrevista, me imaginé a McGraw volviendo a pasear con su perro por el sendero junto al río que bordea su granja pensando en nuevos tipos de defectos de diseño de seguridad del software. Es un hombre del Renacimiento que será recordado en años venideros.
Para más información sobre Gary McGraw
Si deseas más información sobre Gary McGraw, consulta estos recursos:
■ Libros de Gary McGraw
■ Sitio web de Gary McGraw: https://www.garymcgraw.com/
■ Podcast Silver Bullet Security, de Gary McGraw: https://www.garymcgraw.com/technology/silver-bullet-podcast/
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.