martes, noviembre 04, 2008

El bebé prebeta (II de III)

***************************************************************************************
El bebé prebeta (I de III)
El bebé prebeta (II de III)
El bebé prebeta (III de III)
***************************************************************************************


Windows XP salió al mercado con todas sus críticas y justo después salieron el Red Code, el Nimda, el Blaster, el Sasser, y la madre que parió topo. La crisis de la seguridad informática en los sistemas operativos de Spectra golpeaba de lleno.

El trabajar en seguridad informática en Spectra, como bien cuenta y sufrió en España el señor Hector-bando fue catalogado a nivel mundial como uno de los 10 peores trabajos del mundo junto al de los sujetos de prueba para experimentos de gravedad, los que realizan la vasectomía a los elefantes y los que se prestan como cobayas para la prueba de nuevos fármacos.


10 peores trabajos

Por aquel entonces la preocupación era máxima pues con pequeños exploits, de fácil realización, se estaban azotando las redes de sistemas Windows. Algo no se estaba haciendo bien y de eso se habían dado cuenta los que piensan en la cúpula del mal de Spectra y con tras la aparición de alguno de estos gusanos que destrozó los departamentos de soporte de la compañía hubo que hacer algo.

Y la respuesta fue la TCI (Trustworthy Computing Initiative) una iniciativa de trabajo que obligó a parar todos los procesos de desarrollo en el año 2002. Esta iniciativa de trabajo trajo consigo muchas cosas. Esto tenía que cambiar y de raíz.

Así, lo primero que se hizo fue instaurar la dictadura del SDL (Secure Development Lifecycle) desarrollado por entre otros el amigo Michael Howard, se pararon todos los proyectos de desarrollo y se formó en código seguro a todos los desarrolladores de Spectra. Se crearon los equipos de seguridad, nació el MSRC, el ACE Tema, Internet Security Investigation Team, y las figuras de seguridad en Spectra. Se crearon procesos y herramientas para que a los clientes les fuera más fácil desplegar los parches.

Pero.. en ¿qué incidió esto en los sistemas operativos?. Pues básicamente en tres puntos clave:

El primero tuvo que ver con Windows Server 2003, el sistema operativo de servidor realizado sobre el kernel de Windows XP, el cual, puedo salir un poco más reforzado de seguridad en configuraciones por defecto y herramientas.

El segundo impacto fue la creación del Service Pack 2 de Windows XP, ese que muchos hemos utilizado durante años y que estaba principalmente centrado en opciones de seguridad. Ya con la aparición del Service Pack 1 y, posteriormente con el Service Pack 2, la gente se olvidó de lo bueno que era el Windows 2000 y Windows XP llegó a situarse en cuotas del 90% de cuota de mercado en el desktop justo antes de la aparición de su sucesor.

Y el último impacto… pues que hubo que hacer un reset del proyecto Longhorn….

Sí, estaba claro que la TCI no iba a dejar pasar la oportunidad de quitarse problemas de raíz en el futuro permitiendo que el nuevo sistema operativo no se construyera pensando en los pilares que se habían marcado: Seguridad, Privacidad, Disponibilidad e Integridad de Negocio.

Esto tiraba por tierra los planes de tener puesto en circulación el sistema Longhorn en el año 2004-2005 como se tenía previsto para cumplir el ciclo de vida para el que fue construido el sistema operativo Windows XP y le obligaba a tener que aguantar mucho más en primera línea de batalla las críticas, pero el Service Pack 2 había calado, podríamos decir, con una nota positiva entre la comunidad técnica.

Los retrasos de Longhorn se hacían bajo el mensaje de “No queremos cometer los errores del pasado, si no pasa todas las pruebas de seguridad, rendimiento, usabilidad, funcionalidad, disponibilidad, etc.. que tiene en los requisitos, el producto no saldrá”

Sin embargo…. La gente se lo pasaba pipa con mensajes de “es que estos de Spectra no saben programar …”

[Continuará]

Saludos Malignos!

***************************************************************************************
El bebé prebeta (I de III)
El bebé prebeta (II de III)
El bebé prebeta (III de III)
***************************************************************************************

12 comentarios:

Asfasfos dijo...

Hombre Chema, la verdad es que el problema del sasser y el Blaster fue una cagada como un templo, bien que en esos tiempos la seguridad no era un tema tan importante como hoy en día pero eso no me sirve de excusa. Ver como un equipo se está reiniciando continuamente por vete tu a saber que...en fin.

Yo siempre digo lo mismo, si todo el mundo que estuvo intentando petar XP hubiera intentando petar cualquier otro sistema operativo bien sea de MAC, Linux o el que sea, lo habría conseguido seguro e incluso podría haber sido peor que el exploit de Windows.

Tu sabes Chema si en esos tiempos en Microsoft rodaron muchas cabezas?

Anónimo dijo...

@Asfasfos: En realidad el problema del reinicio era más un problema de configuración de base que de "seguridad", ya que al caer el servicio automáticamente reiniciaba, eso con desactivarlo se evitaba.

El problema grave era cuando el problema no era explotado ni por Blaster ni por Sasser, sino por alguien que no te hacía reiniciar, simplmente no te enterabas.

Blaster ha sido el favor más grande que le han hecho a los usuarios de M$, si no llega a ser por eso aún hoy estaría entrando cualquiera en el ordenador de otro (en parte también porque M$ no se hubiese puesto las pilas).

Anónimo dijo...

Dicen que recordar es volver a vivir... en todo caso se puede aprender mucho del pasado, aunque sea relativamente reciente.

En esa época yo era estudiante universitario y realmente no leía revistas de economía pero sí de informática y recuerdo que la salida de WinXP coincidió con el desplome de las punto com, principalmente porque no encontraron manera de hacer rentable sus negocios en internet. Muchas de ellas, sin embargo, dieron en el clavo precisamente cuando quebraron: empezaron a vender los datos que habían recopilado de sus usuarios. Pasándose incluso por encima de los acuerdos de privacidad.

En esa época se perdió la inocencia en internet: No faltó quien empezó a considerar que los datos valían lo suficiente como para intentar conseguirlos de maneras ilítictas. Junto con los negocios basados en publicidad surgieron los primeros intentos de robar estos datos hasta formarse las mafias virtuales o el cibercrimen y ante las cuales incluso muchas compañías de seguridad se han declarado impotentes.

En esa época ciertamente la seguridad no era una prioridad porque no existía el cibercrimen como hoy lo conocemos. Muchos de los troyanos y otras formas de malware todavía eran intentos de ganar pseudo-prestigio por parte de hackers con alias bastante pintorescos. Pero ellos abrieron la caja de Pandora al demostrar que el sistema operativo más difundido del mercado era vulnerable y podía robarse información valiosa de las personas.

En fin, estoy ya se hizo muy largo, nos leemos.

Anónimo dijo...

Pero si todo el mundo sabe que Windows NT es la base para XP y tambien lo ha sido para Windows 2003 sever!!!

Y todo el mundo sabe tambien que NT esta basado en grandes pedazos, por no decir, en el nucleo de codigo Kernel de Linux, tio. ¿Que nos estas contando? Ademas, para redondear aun mas la inseguridad de Windows en usuarios y servidores, el codigo de Windiows fue robado y ahora se conocen muchos mas detales que antes de estos sistema y por eso son menos de fiar que antes. No dices mas que milongas y bobadas Chema. Retirate macho, que no tienes argumentacion para convencer a nadie de que Windows es lo mejor.

Chema Alonso dijo...

@anónimo,

no tengo tiempo ni de leer otros blogs ni a veces de contestar en el mio, pero tu comentario es tan simple y tan de técnicoless que merece la pena que lo remarque....

Macho, léete Windows Internals o vete la charla de Mark Russinovich de Linux Windows: A tale of two kernels que te veo muy perdido...

Saludos!

Anónimo dijo...

Pues si no recuerdo mal cuando salió el Service Pack 2, hubo un tiempo indefinido donde todo eran comentarios del tipo "no lo instales", "no te va a funcionar tal o cual cosa", etc. En fin que la historia se repite con cada paso.

Anónimo dijo...

Algún libro actualizado de Windows Internal?

Anónimo dijo...

@Anonimo, ahí tienes.

http://www.microsoft.com/MSPress/books/12069.aspx

Anónimo dijo...

El anónimo al que Chema llama "tecnicoless", dice que "el codigo de Windiows fue robado y ahora se conocen muchos mas detales que antes de estos sistema y por eso son menos de fiar que antes"

Corolario: como el código fuente de Linux es público y se conocen todos sus detalles, entonces es mucho menos fiable que si no estuviera publicado...

juas juas juas xDDDDDDD

Anónimo dijo...

A veces me fatiga el tema de Windows-Linux. Y no lo digo sólo por los técnico-less, sino también por algunos técnico-more aquejados de furor talibán.

Me permito comentar una anécdota, sucedida en los tiempos de W2K. Me vienen unos consultores, todos con el pingüino en la solapa, a instalar un firewall. Tengo tres pepinos de HP exactamente iguales, y el firewall se basa en un debian capado para los nodos, y en Windows para la gestión y los logs.

Instalan primero el servidor de gestión y logs, y se pasan todo el rato partiéndose la caja: "Vaya mierda de Windows, lo lento que es instalando; vas a ver cuando instalemos los nodos".

Media hora más tarde, Windows 2000 se ha instalado. Cuando van a instalar los nodos, basados en debian, la instalación peta a los dos minutos, con un mensaje de error críptico. Se les queda la cara blanca, porque el hardware está en la HCL del fabricante. Tres semanas más tarde seguían sin saber qué fallaba...Y eso que Windows era lento...

Y por eso no digo que Linux sea una mierda. Los que sí son una mierda son los que critican un sistema operativa sin haberlo instalado siquiera.

Asfasfos dijo...

@UnamOrom: es lo mas inteligente que he leido en todo el post :).

El radicalismo en estos temas es lo que cansa y lo que sobra, cada sistema tiene sus pros y sus contras. Depende mucho de la configuración, del personal que lo maneja y también para que se destina

Me ha encantado cuando Chema ha dicho "no tengo tiempo ni de leer otros blogs ni a veces de contestar en el mio, pero tu comentario es tan simple y tan de técnicoless que merece la pena que lo remarque" xDDDD.

Sorian dijo...

Buenas!! Viendo el rumbo de los post, dejo por aquí documentación para @anónimo que a buen seguro le resulta interesante.

http://www.dummies.com/WileyCDA/DummiesTitle/Windows-XP-For-Dummies-2nd-Edition.productCd-0764573268.html

Esta tarde comentaré algo sobre el W7, aunque he recibido información de que el codigo ha sido robado, no puedo dar datos de la fuente porq es anónimo. xDD

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares