Un poco de historia sobre seguridad

En [PDF] A Twenty-Five Year Perspective Karen Mercedes Goertzel y Booz Allen Hamilton trazan una panorámica sobre diversos temas relacionados con la seguridad informática, en el número del 25th Anniversary de CrossTalk.

Only in the past quarter century have efforts to understand and address the root causes of system security vulnerabilities evolved and coalesced into systematic efforts to improve software security assurance across government
and leading industry sectors.

En el mismo número, en [PDF] CrossTalk and Software-Past, Present and Future: A Twenty-Five Year Perspective David A. Cook y Stephen F. Austin hablan del desarrollo de programas en general. También muy interesante:

As CrossTalk celebrates its 25th anniversary, it is educational to see how
much software has changed and evolved over the lifetime of CrossTalk.

Seguramente el lector interesado encuentre valor en algunos otros artículos de ese número y de la revista en general.

Algo de historia de la enseñanza en informática

Nos desviamos un poco de los temas habituales para señalar otros que también nos gustan: The Evolution of the Computer Science Degree. Un poco de historia sobre la enseñanza en informática.

Los primeros pasos.

By 1962, the ACM had established a curriculum committee to set out standards for the new field (a panel discussion on the topic, chaired by Forsythe, was held the previous year). In March of 1968, the ACM published the famous “Curriculum 1968,” its recommendations for computer science programs. There was some urgency to the deliberations. According to Gupta, Thomas Keenan reminded his colleagues “that over 15,000 computers were in use at the time with a production rate of 500 computers a month.” Keenan was concerned that “the ability to build computers was outstripping the ability to educate people who could make intelligent use of the machines.”

Y sobre el campo:

Indeed, famously, in 1967, three of the field’s pioneers tried to answer the skeptics in a letter to Science. After giving a dead simple explanation, “Computer science is the study of computers,” they went on to detail answers to a half dozen objections by other academics.

OWASP ¿hasta dónde?

Mark Curphey es uno de los creadores del proyecto OWASP. En OWASP – Has it Reached a Tipping Point ? hace un repaso de lo sucedido y por dónde cree que deberían ir los tiros en el futuro.

He seleccionado un par de parrafitos:

Ask your average OWASP member how to federate identity across the Internet
and reckon you will be met with a blank stare but ask them how to check for
XSS and I bet you would be greeted with a smile. Thats a problem. That is
not to say that people who live and breath HTTP security isn’t incredibly
valuable but it wasn’t what I wanted or what I really care about.

Que se preocupa, en definitiva, de si los conocimientos están llegando a
los lugares adecuados: no se trata de saber mucho de un tema, sino de que
las personas adecuadas se preocupen de ello.
Y la siguiente, en la misma línea:

We can’t have security people who know development. We must have developers who know security. There is a fundamental difference and it is important.

Es decir, la gente de seguridad ya conoce los problemas, pero es necesario
que los conozcan y se aproximen a ellos las personas adecuadas, los
desarrolladores:

  1. Gestionar el porfolio de proyectos
  2. Conseguir el interés de la industria y comunicar adecuadamente
  3. Ética/Código de conducta
  4. Atraer a los desarrolladores

Sobre el primer punto, ya ha conseguido que el promotor de uno de los proyectos lo cerrara.

Sobre POSIX y Win32

En A Tale of Two Standards hablan de las interfaces de programación del mundo Unix/Linux (POSIX, “Portable Operating System Interface” – X) y del mundo Windows (Win32) desde el punto de vista de los desarrolladores. Ambas tienen sus virtudes y sus defectos y le sirve al autor para pensar en qué tipo de cuestiones deberían contemplar los estándares.
Es interesante porque Jeremy Allison pertenece al ‘Samba Team’ que, como seguramente conocen, es uno de los mecanismos para tender puentes entre sistemas de ambos tipos y compartir información entre ellos.

Una historia de los lenguajes de programación

Una lectura breve (pero no tanto, sólo en comparación con lo que intenta resumir) para estos días de vacaciones o marcha lenta: A Brief, Incomplete, and Mostly Wrong History of Programming Languages.

Una breve ‘historia’ de los troyanos y similares

Si uno prestaba atención a estos temas en los medios generalistas podría pensar que los virus, troyanos y otros ‘bichos’ habían desaparecido. Sin embargo, la teoría mayoritariamente aceptada si se pregunta a cualquier entendido por ahí es que los bichos ahora hacen cosas (malas, normalmente) pero no destruyen la información del disco, ni llegan a molestar demasiado con lo que el usuario poco observador piensa que no están afectados.

Esa tendencia la ha roto (y no sabemos muy bien por qué) conficker, que es un gusano (otro día hablamos más de ello) que si que ha dado el salto a los medios, y está causando daños ‘visibles’. Aprovechando eso, en El top 20 de los virus, una mini-historia de este tipo de problemas producida por Trend Micro (y reproducida en decenas de sitios) pero de la que no encuentro ninguna fuente original.