sábado, enero 27, 2007

Con Ganas de Pelea

Bueno, ya pasó una de las tres semanas mortales que tengo por delante. Después de hacer el examen el jueves y viajar a Barna y hacer mil cosas, no tenía muchas ganas el viernes de nada, así que directamente, me autoflagelé un poquito con las críticas de mis amigos. Hoy, ya descansado (caí en la cama a las 9 de la noche de puro agotamiento) me levanto con ganas de pelea, así que primero a por mi amigo Mr Fud.

El tema es que yo escribí un post diciendo que "Cool" Google es una empresa grande, como Spectra, que en esto no hay mágia que si quieres que salgan las cosas bien, hay que hacer mucho trabajo y que se le acusa a Spectra de cosas que al resto de las empresas no se les acusa.

Julieta (voy a seguir con ese nombre, que me da mucho morbo) jugó a escribir una analogía de mi texto. No quise contestarlo, porque después de todo lo que llevo escrito durante este año, pensé que no hacía falta, pero ... como el capuyo se lo ha pasado fetén a mi costa (XD) pues ahora, que tengo ganas de guerra, te pongo unos comentarios.

Dice:

Bueno, Bueno. Ya descansado, me encuentro más recuperado y con ganas de guerra, así que voy a decirte un par de cositas sobre el comentario:

En un país como España, donde el uso de Windows es el mayor del mundo, y donde otros servicios como freebsd, MacOsX, Linux, son meras rarezas.


[Bronxtolita]
Sí, de hecho son las rarezas más grandes del mundo, pq la imnplantación en Extremadura de Linex y la de Guadalinex son de las más grandes del mundo lo que le llevo a lucir portadas de revistas a nuestros políticos de el españa cañí
[/Bronxtolita]

La seguridad de los servicios de Windows se convierte en un asunto de primera magnitud.Pensando solo en que tienen el 95 % de cuota de mercado en sistemas operativos podrían ser capaces de gestionar la información que llega a los usuarios y mediatizarla. Si quisieran, que no quieren. (no empecemos con teorías conspiratorias)

[Bronxtolita]
¡cierto!! Totalmente cierto!! Por eso, los Cuerpos de Seguridad del Estado tienen acceso al 100 % (perdón, ¿he dicho el 100 %? sí, sí, he dicho el 100 %, porque es el 100 %) del código fuente de Office y Windows, NO como decía yo en mi artículo, del código de Google!. De hecho, un amigo nuestro común, en una reunión en las oficinas de Google en Madrid se le ocurrió hacer en diciembre TAN ESTUPIDA PREGUNTA.
[/Bronxtolita]

Los problemas de Microsoft con la seguridad han ido parejos al crecimiento de la compañía en todas las áreas. En el pasado quedan los fallos que han permitido tomar el control de las cuentas de los usuarios, los agujeros de IE, la nunca jamás tan divertida cagadita de los ficheros WMF, que rápidamente fue tomado por un amiguete que pasaba por allí o la publicación accidental del código de windows en el emule.

[Bronxtolita]
De hay, hasta el nacimiento de la Trustworthy Computing Iniciative, en la que, tras fichar a personas como Michael Howard o Don Box y la creación del SDL, hizo que los fallos de los productos de Microsoft descendiera radicalmente en comparación con los fallos de sus competidores. Tanto es así, que la forma de gestionar los fallos de seguridad está siendo seguida por compañías competidoras (incluidas algunas de SL).
[/Bronxtolita]

En cuanto a mi amigo "Pajarraco" de los Santos y sus mensajitos al Spectra Office.

[Bronxtolita]

La gestión de los fallos de seguridad, como tu ya sabes tiene en Micro.., perdón, en Spectra una triple aproximación. Primero la mitigación con el SDL, segundo lugar la remediación por medio de una política de actualizaciones de seguridad que aune rapidez y calidad, esto a veces no es posible, como bien sabes, ya que, como hemos hablado muchas veces en privado, Spectra tiene firmados compromisos de prueba con multiples fabricantes de aplicaciones de Software que se realizan sobre el API de sus productos (por eso vienen siempre con el SDK). Así un parche de Office, debe ser probado en todos los sistemas operativos, en todos los idiomas y con todos los productos que tiene firmado. Luego vienen las pruebas de funcionamiento unitario, el test de integración, las de compatibilidad, las pruebas de regresión y, si afecta a componentes de E/S las pruebas de impresión. Es decir un parche se realiza en 3 cuartos de hora, porque, como ya sabes, todo el código de los productos de Spectra, está identificado y se conoce a su programador, pero las fases de prueba y despliegue se hacen con mucho cariño.

Sí, siempre podríamos utilizar la filosofía de tu OO (OtroOffice) de entregar las cosas WITHOUT WARRANTY "AS IT" y luego cobrar, no se, en lugar de una licencia, por servicios, que contrataran un mantenimiento mensual o anual obligatorio (¿o crees que se pueden tener productos en las grandes empresas sin mantenimiento contratado?) No, los parches que entrega Spectra llevan WARRANTY, ¿qué tontería verdad?

O podemos jugarnos la vida e instalar parches no oficiales, como uno que llegaron a recomendar muchas empresas y que luego daba un error muy tonto en ciertos sistemas operativos en ciertos idiomas, con el modulo de impresión (y no quiero señalar). Luego se recomendaba también desinstalar y aplicar el oficial, pero...., ¿habrían hecho todas las pruebas de regresión adecuadas en todos los sistemas operativos, idiomas, etc... o sería también jugar a la ruleta rusa?

La tercera aproximación es una que conoces bien tú, por el tema del Phising, consiste en localizar y cerrar los servidores que atacan a sus clientes con el equipo del MSRC (Spectra Security Response Center) y del MIIST (Spectra Internet Investigation Security Team) y entregar a la gente de seguridad los listados con todos los sitios, reportados a Spectra (bquintero), atancando (vamos, ese excel que te enseñe el día de la charla.

[/Bronxtolita]

Bueno, venga, un poco de caña, que esto ya parece barrio sesamo de, como dicen en Pulp Fiction, "chuparnos las pollas". Esto es El lado del Mal por algo, coño.

14 comentarios:

Anónimo dijo...

En la esquina superior izquierda, con calzón azul, ¡¡Maligno!!...

FilE dijo...

Ya se te echaba de menos ya...

NetVicious dijo...

Lo de los parches de idiomas en Spectra es algo que hace tiempo que no entiendo pq coño no separán por un lado código y por otro idioma. Así viven la mayoría de los programas en PingüinoLand y no hay ningún problema.

Puede que se tenga que hacer un acceso más a disco o gastar un pelín más de memoria, pero hoy en día ya estamos hablando de Gigas como si nada así que un poquito más por ahí ganando que los parches no dependan del idioma sería una muy buena mejora.

Chema Alonso dijo...

Hola Netvicious!

Lo hacen, de hecho, los MUI (Multilingual User Interface) son eso, pero hay cosas que van hardcoeadas.

Anónimo dijo...

Joder Chema, cuando te pones en "plan" coges carrerilla y no paras ¿einh?. ¿Hace mucho que no visitas "Faunia"? Te lo digo porque tienes que conocer un poco más al pinguino y alejarte un poco del "Infierno" ¿no crees? (aunque creo que no vas a alejarte de la "mano que te da de comer", claro)

No creo que sea para tanto el artículo de "Mr. Fud", porque en el fondo del asunto nuestro amigo común tiene mucha razón: tú eres un showman que vendes "de puta madre" tu producto, que en tus charlas sólo hablas de las maravillas de Espectra y de lo "mal que anda el pinguino" (a saltitos).

Espero que algún día, cuando te decidas a instalar una distribución en tu ordenata "Dell" (que casualidad) y veas que lo que hacen los "melenudos esos del software libre" funciona, amplies tu repertorio de charlas de Espectra y hagas alguna en favor del mundo Linux.

Por cierto: he visto que tu empresa imparte cursos de "Linux". ¿Cómo es eso?

Un saludo... Machus

Chema Alonso dijo...

Hola Machus!!

bueno, varias cositas. Gracias por decirme que lo hago bien, pero lo de decir que todo lo del SL está mal, no es cierto, de hecho digo que LT, AM y AC son quiza, 3 de lo mejores programadores del mundo y que quien diga que Linux no es bueno está tan equivocado como quien diga que Windows no es bueno.

Linux he tenido, tengo y tendré y sí, en Informática64 se dan cursos de Linux e incluso los he dado yo muchas veces. Como ya sabéis los he dado para Esware Linux y he estado en Sun con la formación del SuperHub para montar el Sun Linux basandose en RH7 y estuve formando a la gente con el Althia LNX y si miras la fecha ya era MVP de Mi.. Spectra.

La clave es que la mayoría de las cosas que se dicen de Spectra es mentira.

Los melenudos (que es otro tópico) del SL hacen buenas cosas, pero Spectra también. ;)

Anónimo dijo...

"la nunca jamás tan divertida cagadita de los ficheros WMF"

Si navegas bajo una cuenta administrativa no es una cagadita... Es un cagarrón del copón... Pero por tu parte! Con una cuenta de usuario sería otro cantar...

Conceptos básicos...

Administrador == Capitán del barco y responsable de las decisiones

Usuario Avanzado == Ayudante de a bordo

Usuario == Grumete (El que hace el trabajo sucio...)

El grumete navega y navega (trabajo sucio)... Y cuando se encuentra con una incongruencia le pregunta al ayudante de a bordo (responsable técnico).. Y si este no está... Las órdenes las toma el CAPITAN del barco (poder administrativo)...

Ahora... Si el grumete se revela y toma la posesión del barco... Me callo... :)

A veces me pregunto si ese 95% de la población sabe lo que es una cuenta de usuario...

Información y manuales están ahí para su visionado y descarga directa(free pero FREE con mayúsculas..).

Aplicación del principio de privilegio mínimo para cuentas de usuarios en Windows XP

Applying the Principle of Least Privilege to User Accounts on Windows XP

Leed grumetes!!!

ANELKAOS dijo...

Dejalos silverhack que si los enseñamos a protegerse vamos a tener que cerrar el chiringuito de elhacker.net jajaja

Chema te voy a tener que pasar una copia de mis Marcadores (uy! digo Favoritos! jajaja) para que leas cosas mas interesantes que el linuxero o T-Less de turno que opina sobre ti.

Manda "Güevos" que en los tiempos que corren la gente opine de SSOO o vulnerabilidades que desconocen tanto. Cuan atrevida es la ignorancia... No entienden que esto no es ser del Atleti o del Madrid, si no "usa para cada cosa lo mejor". Be Wifislax my friend! :D

Al tema, que es lo que me interesa... entonces, JulietO ¿es rubia o no? ;) Mira que le pongo una peluca y no distingo... jajaja

Anónimo dijo...

>La tercera aproximación es
>una que conoces bien tú,
>por el tema del Phising,
>consiste en localizar y
>cerrar los servidores que
>atacan a sus clientes con

A riesgo de arrepentirme, me voy a meter por medio. El sistema que comentas también se llama "ponerle puertas al campo". Si ya lo es en el caso del phishing, lo del malware/exploits es peor porque se ve sólo una mínima parte de lo que hay (al menos en el phishing hay un spam masivo, e incluso es más fácil montar sistemas proactivos que detecten el phishing y cerrarlo antes de que salga el spam porque el ataque se asocia a una web legítima).

Pero en el caso del malware/exploit... por cada sitio que detecte MS o cualquier otra empresa hay 10 (por decir algo, serán más) que ni los huela.

Es algo similar a lo que ocurre con el malware y los antivirus, es ponerle puertas al campo. Lo que detecte MS es lo que vea o pueda, pero no es lo que hay.

A ver si rulas una lista de MS de esas que comentas actualizada, y comentamos. Manejo mucha información relacionada con estos temas, seguro que la mía es más larga (hablamos de listas ;p).

Chema Alonso dijo...

Silverhack y Anelkaos, tenéis mu mala follá!! Ja,ja. Voy a dejar de ser el maligno a los puntos con vosotros!

Juliet0 tiene melena larga y morenazo, tal vez la perilla te moleste un poco, pero .... a todo se hace uno!

Maeztro!

Cierto es ello como tú dices y dijiste en la noticia de mismo título que publicaste tiempo ha!. Pero.... es mejor no hacer nada? Sí, sabemos que son medidas paliativas, que no es posible detectar todas las amenazas y que además como única solución sería un suicidio, pero ayudan a mitigar la amenaza en el tiempo en que se hacen parches de calidad. ¿Cuantas compañías complementan su política de actualizaciones con medidas paliativas? ¿Mozilla? ¿OO?

A ver si te dejas ver que bajé a Málaga y tu andabas como Heidi por las montañas del norte!

Anónimo dijo...

Ya se que lo sabes de sobra... pero bien que se vende como medida mientras se retrasa la salida del parche.

No es lo mismo decir "los listados con TODOS los sitios atacando" a decir "listado con ALGUNOS de los sitios atacando". Son esos pequeños matices los que le dan gracia a la cosa :)

Es cierto que me perdí lo del Vista, me dijeron que, como siempre, arrasasteis Parada y tú.

De todas formas, está visto que te gusta más delosSantos... pensándolo en frío, el comentario anterior debe tener un componente de celos... encima me comenta que te traes un rollo atracción fatal, que lo llamas y persigues para comentar las noticias de una-al-día y eso.

Entre él, los talibanes linuxeros, y que no escribo de MS ni prácticamente de nada (no me prodigo nada en una-al-día)... echo de menos alguna crítica.

Pero vamos, me tendré que acostumbrar... no levanto cabeza con el curro.

Chema Alonso dijo...

Mierda!! llevas razón, he puesto Todos y tendría que haber matizado a todos los sitios reportados a Spectra. Vamos, que voy a cambiarlo y todo. Gracias maeztro!

Si algún día me vuelvo cariñoso, será con delossantos, que es mi prototipo ;)

Anónimo dijo...

Un día vi una foto del Señor Maligno con su amigo Phobeo, disfrazados de Bluntman y Chronic, y deducí erroneamente que Maligno podía ser como Bob el Silencioso. Cuan confundido estaba. Showman con berborrea alucinante, y por lo que leo, con prosa para aburrir... de silencioso nada.

Otra cosa que me decepcionó en lo que creía analogía de personajes, es que cada vez que Bob el Silencioso habla, su sentencia es cabal, sensanta y de gran importancía para la historia dentro del contexto y forma de ver la vida que tiene Kevin Smith. Algunas (para otros muchas) de las veces que Maligno habla, sube el pan.

Habla de/desde “el lado del mal” como una forma de repetir/clonar el absurdo afán de muchos geeks linuxeros (y muchos tecnico-less, como dice él) de defenestrar Spectra. Es cierto que uno está aburrido de tanto anti-Bill Gates, anti-microsoft,... y Maligno intenta (espero) parodiar a estos personajes desde el otro lado, al estilo Harry el Sucio o Charles Bronson... pero, en mi humilde parecer, ni siquiera se aproxima a Torrente.

Tanto defender a ultranza las maravillas de Spectra, y el gran desembolso de recursos y dinero para mejorar el tema de la seguridad en sus charlas y cursos, ya llega a ser cansino. No por repetir una cosa muchas veces se va a hacer más realidad.

Pero si a este desmesurado ejercicio de marketing le sumamos su verdadero lado oscuro (como este blog, y sus posts en blogs ajenos) cuando se suelta la melena y la lengua (los dedos mecanografiando) con sus Bonxtolitas... ya no cansa, asquea.

Los chistes, algunos buenos, cansan después de unas cuantas veces. Yo, personalmente he coincidido dos veces con él, y la segunda vez, la mayoría de las gracias y fuegos de artificio no me gustaron tanto. Si a esto añadimos que tras la lectura de algún post suyo ves que tras la etiqueta MVP (palabra de Dios, Alabado sea el Señor) o de guru hacker(para otros) dice alguna que otra verdad a medias disfrazada de rotundidad absoluta, y eso no me gusta.

Espero que con este post mio, el amigo de Maligno, Sr. AnelkaOS (Sistema Operativo basado en Anelka, ex-jugador del Madrid, ¿no?), no me catalogue T-less (palabro ® by Maligno), pues antes de nada le digo que soy un IGNORANTE aunque lleve 7 años en temas de seguridad informática y administración de Sistemas. Como podrás leer, Sr. Anelka, en ningún momento hablo sobre temas técnicos o tecnológicos, sino más bien de actitudes (no aptitudes) y formas. Y aunque tienes mucha razón (más que un Santo) en que \\\"usa para cada cosa lo mejor\\\", tu post a lo ombligo del mundo y el desmesurado desprecio con el que tratas al “ linuxero o T-Less de turno que opina sobre\\\" el Maligno me jode un montón (perdón, fastidia).

He leído varios posts de Juliet@ y en ningún momento he entendido que se ponga ninguna etiqueta o título de guru o algo por el estilo. Parece que sabe y habla con conocimiento, sin llenarse la boca con pamplinas. No parece que mire a nadie por encima del hombro, como haces tú con tu comentario,... claro, no somos dignos de estar en tu presencia al no ser de la élite hacktivista española... un poquito de humildad, my friend.

Bueno, todo esto con cariño, aprecio y admiración hacia tod@s!

Chema Alonso dijo...

Hola suzane,

siento que te cansen mis chistes :( estoy en proceso de cambiarlos. ;)

La foto de Bob el silencioso no soy yo, es el genuino BOB. Siempre los pongo pq soy fan suyo. ;)

No defiendo a ultraza nada, de hecho creo que no tengo nada con los "linuxeros" sino con los que hablan mal de spectra sin tener ni idea.

Respecto a Juliet@, hay más admiración mia que cosa contraria. De hecho las peleas mias siempre suelen ser de cachondeo. Creo que él sabe que estamos de coña. De hecho, mientras nos damos cera, intercambiamos mails privados.

Siento que no te guste esto, pero el lado del mal, es lo que es. ;)

Un saludot!.

PD: En las sesiones, además de chistes, hablo de tecnología. Perdoname los chistes y ven a verme si te interesa lo que voy a contar. ;)

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares