Hackear al hacker. Roger A. Grimes
durante toda su vida. Empezó programando su propio ordenador, un Apple II+, en 1981, cuando tenía 16 años. Terminó yendo a la universidad para obtener la licenciatura en filosofía y, por el camino, se convirtió en un músico de formación clásica. Incluso tocó en dos ocasiones en el Carnegie Hall. Actualmente, continúa siendo uno de los expertos en seguridad informática del mundo y le gusta cocinar, la jardinería y crear nuevos cócteles.
Le pregunté a McGraw cómo pasó de ser un estudiante de filosofía en la Universidad de Virginia a interesarse por la seguridad informática. Me dijo que le interesaba la filosofía de la mente, lo que le permitió realizar un curso denominado «Ordenadores, mente y cerebro» en la Universidad de Virginia, impartido por Paul Humphreys. Pensaba que las ideas que el profesor Humphreys enseñaba eran erróneas, pero empezó a pensar con más profundidad sobre la filosofía de la mente y la inteligencia artificial. Humphreys terminó aportando ideas de la industria y del ganador del Premio Pulitzer americano, el Dr. Douglas Hofstadter, durante la clase, y eso cambió toda su carrera. No realizó ningún curso de informática hasta la universidad, pero se enamoró de la programación en 1981, cuando era niño. Bajo la tutela de Hofstadter, en la Universidad de Indiana, obtuvo un doble doctorado en Ciencias del conocimiento e Informática. Incluso terminó escribiendo el Capítulo 10 del primer libro que se vendió en Amazon: el libro de Hofstadter titulado Fluid Concepts and Creative Analogies: Computer Models of the Fundamental Mechanisms of Thought [Conceptos fluidos y analogías creativas: modelos informáticos de los mecanismos fundamentales del pensamiento].
Cuando terminó la universidad, entró en una empresa de 7 personas que más tarde se convirtió en Cigital (https://www.cigital.com/). Cigital ganó una importante beca DARPA para investigación en seguridad informática y lo contrataron para trabajar en este proyecto. Cigital fue creciendo hasta los 500 empleados hasta que fue vendida a Synopsis en 2016. Actualmente, son 1.000 personas en la división de seguridad de software de la empresa más grande dedicada a mejorar software de un modo significativo.
Mi primer gran recuerdo del trabajo y el nombre de McGraw es cuando él y Ed Felten asumieron la seguridad del lenguaje de programación Java, escribieron un libro y detectaron decenas de vulnerabilidades de seguridad. En aquel momento, fue algo increíble, porque Sun Microsystems había hecho de Java supuestamente un lenguaje de programación muy seguro, pues sabían que estaría muy basado en la web y sería constantemente atacado por hackers. Java surgió en 1995 y Sun presumió desde sus inicios de que era un lenguaje de programación muy seguro. Lo habían construido algunos de los grandes magos de los lenguajes de programación, entre ellos, Guy Steele y Bill Joy. La mayoría de los expertos en seguridad informática se preguntaban si realmente era tan seguro como pensaban en Sun o si resultaría ser otra de las promesas de seguridad sobrevaloradas. Y resultó ser esto último. Tras algunas promesas iniciales, Java produjo algunas de las piezas de software más plagadas de errores del mundo, McGraw fue uno de los mejores en detectar vulnerabilidades de Java y él y Felten fueron el origen del análisis de Java para detectar errores de seguridad. En una conferencia, McGraw coincidió con el coautor de sus libros, Ed felten, y esta conferencia apareció en el primero de muchos otros libros. Muchos de los libros de McGraw se convirtieron en éxitos de ventas (uno de ellos, Exploiting Software, incluso llegó a ocupar el puesto 16 del ranking de ventas de Amazon, que es una gran cifra para cualquier libro de informática, y mucho más para uno de seguridad informática).
McGraw continuó pensando en seguridad del software y en dónde acudir para aprender a construir algo más seguro. Se preguntaba cómo el resto de nosotros, programadores «normales», íbamos a crear software seguro si los mejores magos (como Bill Joy y Guy Steele) no lo habían podido hacer adecuadamente. Se preguntaba qué iba mal en el proceso y por qué iba mal. Se dio cuenta de que todo el software y todos los programas tenían que ser diseñados y escritos desde cero con la seguridad en mente. Casi al mismo tiempo, se le ocurrió su Trinity of Trouble, que hablaba sobre por qué la seguridad informática seguía siendo interesante y complicada. Basicamente, si está en red, es compleja y extensible, siempre va a interesar desde un punto de vista de la seguridad y será difícil de proteger. Desafortunadamente, Java tenía estas tres características, y de qué manera, aunque su complejidad era probablemente el aspecto más difícil contra el cual luchar.
Después de escribir como coautor el libro Building Secure Software [Creando software seguro], en 1999, acabó visitando varias empresas, como Microsoft, donde Michael Howard, tratado en el Capítulo 7, trabajaba con Jason Garms en la muy reciente Secure Windows Initiative. Recuerda que todos los gestores de proyectos de Microsoft asistieron a su charla y que Microsoft estaba realmente preparada para la seguridad del software.
Después de otros muchos años trabajando en la seguridad del software en este sector (tanto mediante el desarrollo de servicios como de tecnología), McGraw terminó participando en la creación del Building Security in Maturity Model (BSIMM). Más de 100 grandes firmas utilizan hoy en día el BSIMM para medir, seguir y entender sus progresos en seguridad del software.
Le pregunté en qué se diferenciaban los modelos del SDL de Michael Howard y su BSIMM, si ambos intentan conseguir que el software sea más seguro. Me dijo: «El SDL es una metodología concreta, mientras que el BSIMM es una herramienta de medida que puede ser utilizada para medir, comparar y contrastar distintas metodologías como el SDL. El SDL de Microsoft es simplemente una metodología, pero es tan buena que decidieron redactarla y compartirla. Lo que hizo Michael Howard, a quien aprecio mucho, fue institucionalizar un enfoque para una organización muy grande con miles y miles de programadores. Él demostró que el software seguro puede realizarse a una escala extremadamente grande, lo cual era muy importante».
Como hago siempre con todas las personas tratadas con detalle en este libro, le pregunté a McGraw que cuál pensaba que era el mayor problema en seguridad informática. Su respuesta fue idéntica a la de Michael Howard, a quien había entrevistado previamente. Me dijo: «A pesar de tener una gran cantidad de recursos para crear y diseñar sistemas más seguros, la gente que crea y diseña sistemas todavía no sabe lo suficiente sobre seguridad. Aunque las universidades y las empresas comerciales de formación están haciendo un gran trabajo, el trabajo de muchas otras es insuficiente, y eso si es que están haciendo algo».
Él cree que la disciplina de seguridad informática está todavía bastante descuidada. Su libro favorito sobre seguridad y cómo construir cosas adecuadamente es el de Ross Anderson Security Engineering [Ingeniería de la seguridad]. Dice que le encanta, incluso más que sus 12 libros, «creo que es el mejor libro sobre seguridad del planeta».
McGraw tiene su podcast semanal denominado Silver Bullet Security (https://www.garymcgraw.com/technology/silver-bullet-podcast/), en el cual entrevista a expertos y personas que aportan ideas a la industria. Acaba de celebrar 10 años con 120 podcasts. Cuando revisé su lista de entrevistas, vi que muchos de los entrevistados eran los mismos que yo he tratado en este libro. Ama realmente la historia de la seguridad informática como yo y quiere seguir aprendiendo y compartiéndola. Una vez terminada nuestra entrevista, me imaginé a McGraw volviendo a pasear con su perro por el sendero junto al río que bordea su granja pensando en nuevos tipos de defectos de diseño de seguridad del software. Es un hombre del Renacimiento que será recordado en años venideros.
Para más información sobre Gary McGraw
Si deseas más información sobre Gary McGraw, consulta estos recursos:
■ Libros de Gary McGraw
■ Sitio web de Gary McGraw: https://www.garymcgraw.com/
■ Podcast Silver Bullet Security, de Gary McGraw: https://www.garymcgraw.com/technology/silver-bullet-podcast/
Конец