(por Rubén Borlenghi) Es cierto, hacen falta dos para bailar el tango. Es lo que Microsoft entendió hace cinco años, cuando se organizaron las primeras conferencias BlueHat, porque invitó a bailar a los hackers en Redmond. Lo del Hat, parece, hace alusión a la conferencia de seguridad Black Hat, y a la costumbre de llamar White Hat al hacker “bueno” y Black Hat a… todo lo contrario; y el azul, es por el color de fondo de las credenciales de los empleados de Microsoft. Y ayer se realizó acá en el sur el BlueHat Security Forum: Buenos Aires Edition.
Es un baile difícil (éste, de los hackers y Microsoft; el tango, también) El objetivo más visible de la empresa es tener contacto con quienes están cotidianamente revisando los productos, buscando vulnerabilidades, fallas de programación o cuanto agujero les dé acceso. Reunirlos con ejecutivos de la compañía, preguntar, escuchar y (menos, supongo) contestar. Según parece, aquí abajo tuvieron éxito; en el salón había unos cien “investigadores en seguridad informática”, el eufemismo empleado para designar a quienes un decenio atrás eran personas no muy apreciadas. El cambio de actitud, me parece, rindió sus frutos. Yo no me hubiese imaginado a determinadas personas, que vi allí y no nombraré, asistiendo a un evento patrocinado por Microsoft.
La lista de temas y oradores es extensa, pero hay que tomar nota de un dato: abrió la reunión Hernán Rincón, presidente de Microsoft Latin America, y más tarde se hizo cargo del escenario Andrew Cushman, Senior Director, Trustworthy Computing Security de Microsoft.
Siguieron especialistas de Brasil, Argentina y Estados Unidos, pero según los comentarios que escuché en los pasillos, la muchachada estaba muy satisfecha por dos presentaciones (primer puesto compartido): “Cloudfornication”, por Chris Hoff, director de Soluciones de Nube y Virtualización de Cisco, y “Tu otra red”, por Felix Lindner (más conocido por FX), de la empresa alemana Recurity Labs. “Este FX es lo más”, me dijo alguien, entusiasmado. Segundo puesto en los comentarios, también compartido, “Seguridad Móvil Seria, ¿existe eso?” por Nelson Murilo, de la YSTS brasileña, con un detalle de ataques por medio de SMS, y la presentación de Pedro Varangot (Corelabs-CoreSecurity, Argentina) sobre redes sociales.
Yo llegué justo a tiempo para escuchar a Mike Reavey, director del Microsoft Security Response Center (sí, ese mismo MSRC que da lugar a frecuentes comentarios en Tecnozona) y a Damian Hasse, Principal Security Development Manager de Microsoft (argentino que está allá desde el 96) en una presentación conjunta, “Detrás de escena en el Centro de Seguridad y en el Centro de Ingeniería”. Entre muchas cosas, pude ver el cuidadoso paso a paso que aplican desde que se descubre una vulnerabilidad en un producto hasta que se publica el parche.
Pero más allá de la información técnica, lo que me interesó es ver los frutos de algo que arrancó en el 2002, cuando Redmond por fin advirtió el peligro de algo que era mucho más que “mala prensa”. Las fallas de seguridad de sus productos estaba en boca de todos, no sólo los especialistas (administradores o CIOs). Las empresas y el público en general sufría las consecuencias de una carrera por entregar productos no debidamente auditados.
Ocho años después, se puede escuchar desde Microsoft a especialistas como Jorge Cella (director de Calidad de Servicio e Iniciativa de Seguridad de la empresa, para Argentina y Uruguay), a Cristian Linacre (Security & Privacy Lead, Latin America Area headquarters) o al mismo Andrew Cusham que mencioné arriba, insistir en la auditoría de software, en el control del producto, en la revisión permanente, en el contacto con los especialistas externos. En aceptar las críticas, aprovecharlas, aplicarlas.
No es que los productos de esa empresa no tengan problemas. Pero ahora hay quienes ponen la cara y, según contó Mike Reavey, tienen personas, no sistemas automáticos, leyendo cuatrocientos email por día remitidos por expertos que informan algún problema en un producto. Y (dijo) los contestan e investigan a todos.
Más les vale a los usuarios de Windows, que sufren cada problema y lo pagan de sus bolsillos.
Nota: los cargos kilométricos que ostentan algunos funcionarios están copiados del programa o de sus tarjetas. Soy inocente.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291