martes, octubre 16, 2007

A la “piuta” calle

En esto de los cambios laborales, normalmente suele haber “nuevas orientaciones profesionales”, buenas palabras y parabienes dónde un tipo pacta su salida de una compañía de tal forma que todo quede bonito de cara a la prensa. No son muchos los que se van haciendo ruido porque es algo que no interesa ni a la empresa ni a la persona que se va.

En este caso el despido es de Crispin Cowan, un viejo conocido en esto de la seguridad, y es despedido de Novell, dónde actualmente curraba en un proyecto de seguridad [Novell Apparmor]. Su currículo completo lo tenéis en su página web personal.

Crispin Cowan es famoso en este mundo de la seguridad desde hace bastante tiempo, de hecho, la primera implementación de la teoría de los canarios para proteger la memoria frente a sobreescritura (stack smashing protection), técnica utilizada en ataques de buffer overflow sobre variables apiladas para gcc, allá por el año 1997.

Tiempo después, se embarcó en dos grandes proyectos, en primer lugar la compañía Inmunix, cuyo objetivo era integrar todos los mecanismos de control y auditoría de seguridad en un único sistema y Sardonix, un proyecto cuyo objetivo era auditar y medir la auditoría realizada en los proyectos open source.

Después de abandonar ambos proyectos, no sin polémica sobre todo por la caída de Sardonix donde dijo: “security researchers were only interested in finding splashy bugs and posting them to security mailing lists” pasó a ingresar en la nómina de Novell para trabajar en Apparmor después de que esta comprara Inmunix. Manteniendo el trabajo en Apparmor, el objetivo es ofrecer una solución de fortificación para servidores Linux mediante el perfilado de seguridad de los componentes del sistema. Es una alternativa distinta a SELinux que integran los Servidores SUSE.

El 28 de Septiembre le han largado a la piuta calle y ha montado la empresa Mercenary Linux especializada en fortificar servidores Linux, con Apparmor y cualquier otra herramienta de fortificación. [http://www.mercenarylinux.com/]

En declaraciones sobre su despido Crispin ha dicho:

“I'm stunned. I was getting bonuses and raises and awards up until the time I was laid off."

Algo así, como estoy filpando. Estaba obteniendo pasta en bonus, ascensos y premios hasta que me largaron. Y parece que la discusión podría ser por cómo llevar el proyecto.

"Novell wants the community to pick up maintenance and development of AppArmor. But tossing it in the wind and hoping is not good enough assurance for me, so now it's my business to go find sponsors who are willing to pay for AppArmor development”

Amos, que Novell quiere que lo mantenga la comunidad y no directamente ellos, según Cowan. Novell por su parte alega que ha sido una reestructuración normal, pero parece algo sospechoso. Ubuntu se centró en Apparmor este año y Mandriva ya la usa, así que un proyecto que parece tan goloso se queda un poco desangelado. El proyecto continuará, pero es una pena perder el empuje de Novell.

La pregunta es, ¿Por qué cuando muchas empresas quieren mantener el control de los proyectos Open Source, véase la competición SUN, IBM por OpenOffice, como uno de muchos ejemplos, Novell prefiere quitarse control?

7 comentarios:

  1. Probablemente porque Apparmor es un producto complejo, dificil de administrar y con una clientela reducida que no produce dinero a la compañia mientras que las suites ofimáticas pueden ser un negocio mucho más lucrativo.

    Además linux no necesita más seguridad, todo tecnicoless sabe que es más seguro por que sí. :P

    ResponderEliminar
  2. Los de la Novell hacen cosas muy raras, y las llevan haciendo desde que empezaron en esto. Lo más raro de este suceso es que aún nos sorprendamos.

    ResponderEliminar
  3. La verdad es que los argumentos de nacho me convencen.
    Pero también te digo una cosa, si este es difícil de administrar (Apparmor no lo he visto), no sé. SELinux es de verdad complejo. Ahora también te da unas ventajas de seguridad de la leche.

    ¿puedes nombrar algún otro proyecto que novell dejara de mantener, al estilo de este?

    ResponderEliminar
  4. [MODO TECNICOLESS]

    El movimiento de Novell está influenciado por la malvada Spectra, que así se lo ha exigido desde aquellos acuerdos de colaboración. La mano de Steve Ballmer se nota desde lejos, y el que no lo quiera ver es un fanboy de Microsoft y no está en posesión de la verdad absoluta como yo

    [/MODO TECNICOLESS OFF]

    ResponderEliminar
  5. Me da igual lo que pongais, hasta que Kike Dans no me diga que tengo que opinar no opinare, por otra parte creo que el abandono de Novel se debe a que otras distribuciones como Ubuntu y Mandriva lo soportaban unido a que al ser integrado en el kernel 2.6.24 empezara a ser mantenido por la comunidad y seria un gasto segun novell innecesario. De todas formas los tipos que lo mantenian lo seguiran haciendo ahora en su nueva empresa lo unico que no estaran en nomina permanentemente y se les contratara para los trabajos que sean necesarios.

    ResponderEliminar
  6. Para los de arriba: AppArmor es mucho más sencillo de manejar y configurar que SELinux. También es verdad que tiene menos "granularidad" si quieres configurar cosas muy, muy, muy específicas.

    Mi primer encuentro con AppArmor fue trás una actualización en mi portátil cuando el cabrón del Firefox no me dejaba guardar las descargas más que que un sólo directorio. No me dejaba adjuntar ficheros a GMail que no estuvieran en ese directorio. Volviendome loco porque desconocía que AppArmor se me hubiese instalado y activado por defecto tardé un par de días en enterarme de que era AppArmor quien me "protegía". Configurar el perfil fue después muy sencillo utilizando herramientas de la propia SuSE que "graban" el uso habitual del programa y lo traducen a un perfil.

    Pero volviendo a Crispin...

    Me resulta extraña la jugada y la comentaba ayer con un compañero de trabajo: despido fulminante, inmediata creación y puesta en marcha de una empresa para continuar el trabajo por todos (o casi todos) los despedidos.... ¿no tendría Novell razones laborales para despedir al equipo? ¿estarían trabajando ya para gente de fuera de Novell (Canonical, Mandriva) y fue este el verdadero motivo del despido y de la rápida puesta en marcha del proyecto continuador?

    Es raro, muy raro, y sobre todo, la creación de Mercenary Linux extraordinariamente rápida....

    Un saludo,
    Pedro

    ResponderEliminar
  7. Si analizais a Novell es normal, ha desmantelado varios equipos de trabajo de un plumazo, equipos que estaban dando resultado en varios proyectos, pero de repente, zas a la calle, ¿por que? ¿no habrá habido un cambio de responsables?, ¿Hacerse notar? ¿Eliminar personal que los pueda eclipsar?... yo que se...

    ResponderEliminar