miércoles, febrero 25, 2009

Entrevista a Crispin Cowan de Microsoft

Cuando trabajas en algo que tiene que ver periférica o directametne con la seguridad informática acabas encontrando el nombre de Crispin Cowan por algún sitio. Ya sea por el trabajo que realizó con la teoría de los canarios, con el proyecto que intentaba auditar open source Sardonix, con su trabajo en inmunix o con el paso a Novell con AppArmor.

Su paso de Novell a Spectra fue una especie de bomba mediática en el mundo de la seguridad y generó que se escribieran cientos de posts en blogs hablando de este tema. En la ShmooCon en Washington D.C. tuve la suerte, gracias al la invitación de Heidi, de coincidir con él y asaltarle con la idea de hacerle una entrevista.

En plan "gruppie" le asalté, le fui a ver a una charla, me tiré una foto con él y luego le "obligué" a que me presentara en la sesión y a que asistiera a la charla. Él, junto con otra lista de "pájaros de cuidado" como Bruce Potter o Ben Laury y un largo etc... forman el ShmooGroup (la explicación sobre el nombre "Shmoo" la tiene que dar Bruce Potter...) que entre otras cosas organizan la ShmooCon así que no venía nada mal que "trabajase" un poco presentándonos...;)


Con Crispin Cowan haciendo de "fatal fan"

Aquí queda la entrevista.

Saludos Malignso!

Great. Here are my answers. Please do send us back the Spanish translation so we can check them before you post.

1.- Is it true? Is completely impossible to find chicks in a hacker con?

In my experience, women are under-represented in computer science in general, women are even more under-represented in security, and women are also under-represented in Open Source. I once went to an open source security meeting, and with over 50 people there, not a single woman. In contrast, there are many fascinating and vibrant women at hacker cons, many of them quite elite in their own right. Shout out to my friends Cat, Raven, TBird, and Noise, and of course Heidi Potter the grand organizer of ShmooCon. Special mention to my lovely wife Nancy; she is not a hacker, but rather an artist, although she does know how to use SSH :) and has exhibited her Culture Junkie wares at Defcon several times.

1.- ¿Es eso cierto? ¿Es imposible encontrar a chicas en una conferencia para hackers?

En mi experiencia, las mujeres están muy poco representadas en el mundo de la informática en general, las mujeres están todavía menos representadas en el mundo de la seguridad y también están muy poco representadas en el mundo del código abierto. Una vez fui a una reunión de código abierto y a pesar de haber allí más de 50 personas, no había ni una sola mujer. Por el contrario, hay muchas y fascinantes mujeres en las conferencias de Hackers, muchas incluso muy brillantes, sólo hay que ver mis amigas Cat, Raven, Tbird y Noise y por supuesto la gran organizadora de Shmoocon Heidi Potter. Especial mención a mi adorable mujer Nancy; no es una hacker, más bien es una artista, aunque sabe utilizar SSH :), y ha exhibido sus trajes Culture Junkies en Defcon en varias ocasiones.

2.- Why the hell you were fired from Novell? Did you steal something from the company ? Maybe pens?

Novell told me it was economic, they made painful cuts due to money. This is consistent with Novell having given me a raise, a bonus, and an award less than a quarter before the layoff.

2.- ¿Por qué te demonios te echaron de Novell? ¿Robaste algo de la compañía?, ¿bolis quizás?

Novell me dijo que era por temas económicos, hicieron recortes dolorosos por culpa del dinero. Esa explicación es coherente con que Novell me hubiera subido el sueldo, dado un bonus y un premio menos de un cuarto de año antes de echarme.

3.- And.. How many "friends" did you lose after get into Spectra (a.k.a. Microsoft)?

Remarkably none. My friends astounded my by not hassling me at all about the change. I am humbled.

3.- Y … ¿cuantos amigos perdiste al entrar en Spectra?

Sorprendentemente ninguno. Mis amigos me dejaron asombrado, no me hicieron lo hicieron pasar mal por el cambio en absoluto.

4.- What are you working in right now in Spectra? ... and whatever it is... can it be fixable in "that architecture" Windows has?

Microsoft's development pipeline is astonishingly long. The unfortunate consequence is that it will be several years before I could potentially talk about the exciting security things I am working on right now. But I can say that my approach to adding security without breaking the architecture somewhat resembles the Kobayashi Maru Test, another science fiction reference.

4.- ¿En que trabajas ahora en Spectra? … y lo que sea … ¿se puede arreglar en esa “Arquitectura” que tiene Windows?

La línea de desarrollo de Microsoft es asombrosamente larga. Desafortunadamente pueden pasar varios años hasta que pueda hablar de las excitantes cosas de seguridad en las que estoy trabajando ahora. Lo que puedo decir es que mi intento de añadir seguridad sin romper la arquitectura se parece al test de Kobayashi Mara, otra referencia de ciencia ficción.

5.- What was the "nicest" letter you received after said Yes to Microsoft?

That is a tough one. There was Michael Howard's blog. There were several "wow, we hired Crispin!" mails from Microsofties. And there was the immediate invitation to join the Microsoft MVP Security Chat mailing list.

5.- ¿Cuál ha sido la carta más “bonita” que has recibido después de darle el SI a Microsoft?

Esa es una pregunta complicada. Esta el Blog de Michael Howard’s, hubo varias cartas de empleados de Microsoft con “¡Wow hemos contratado a Crispin!”. E Inmediatamente recibí una invitación para unirme a la lista de distribución de los MVP’s de Seguridad.

6.- What was your box running before enter in Spectra and what is it running now? And what does your personal machine run when nobody can see it?

I had a personal laptop running SUSE Linux when I was hired. I sold it within a month, and I am very happy using Vista and Win7. Crispincowan.com is still a Linux server, mostly because I have been too lazy to replace it.

6.- ¿Cuál sistema operativo tenías en tu máquina antes de entrar en Spectra? Y ¿Cuál tienes ahora? ¿Qué corre tu máquina personal cuando nadie la puede ver?

Tenía un portátil personal corriendo SUSE Linux cuando me contrataron. Lo vendí al mes, ahora estoy felizmente utilizando Vista y Win7. Crispincowan.com sigue siendo un servidor Linux, pero sólo porque he sido demasiado vago para cambiarlo.

7.- You are right now a PM, do you like to work with the SDL?

I love the SDL, and as you saw in my ShmooCon talk I am very pleased with the results that SDL delivers. However, I do not personally work directly with the SDL. I do architecture, SDL is about code quality. The small overlap between the two is the notion of "attack surface"; a wonderful idea that I borrowed from Microsoft long before I joined. AppArmor notably drastically reduces the attack surface of a Linux server.

7.- ¿Ahora mismo eres un PM?, ¿te gusta trabajar con SDL?

Me encanta el SDL, y cómo pudiste ver en mi charla de ShmooCon estoy encantado con los resultados de las entregas de SDL. De todas formas, no trabajo personalmente con SDL. Yo hago arquitectura, SDL es acerca de calidad de código. La pequeña parte que se superponen es lo que se conoce cómo “superficie de ataque”; una idea maravillosa que tomé prestada de Microsoft mucho antes de unirme. AppArmor disminuye dramáticamente la superficie de ataque de un servidor Linux.

8.- Which one that you met after entering in Microsoft impressed you the most?

I could offend a lot of people by answering that question :) because the most amazing thing has been just how *many* brilliant people I get to work with at Microsoft.

8.- ¿Quién de los que has conocido después de entrar en Microsoft te ha impresionado más?

Podría ofender a mucha gente al contestar a esta pregunta . Lo más increíble ha sido sencillamente la cantidad de gente brillante con la que tengo la posibilidad de trabajar en Microsoft.

9.- Everybody is saying good things about Windows 7, is in it some piece of your work you feel proud of it?

I had very little impact on Windows 7. As I said above, the Windows development pipeline is very long, and the design was essentially done before I joined. I influenced some of the details of Windows 7, and the ideas of mine that actually are in Windows 7 I can say I am proud of. But Windows 7 and UAC are team efforts, so I won't take credit for anything in particular.

9.- Todo el mundo está hablando bien de Windows 7, ¿hay alguna parte de tu trabajo dentro de él de la que te sientas orgulloso?

Yo he tenido muy poco impacto en Windows 7. Como he dicho anteriormente, la línea de desarrollo de Windows es muy larga, y el diseño estaba basicamente hecho antes de que yo me uniera. He influido en algunos detalles de Windows 7 y de las ideas mías que Sí están en Windows 7, puedo afirmar que estoy orgulloso de ellas. Windows 7 y UAC son esfuerzos de equipo con lo que no me colgaré la medalla por nada en particular.

10.-What was your first computer? Do you remember that long?

An interesting question. My first computer in 1980 was an Ohio Scientific Superboard II 6502 singleboard computer. That was followed by several Commodore machines, and I got my first software contract porting the WordPro word processor around the Commodore platforms. Then I got my first taste of UNIX with OS/9 running on a Radio Shack Color Computer II. OMG; you could actually boot something with concurrency and a shell prompt on an 8-bit CPU and 64KB of RAM!

Then there was 10 years of not bothering to own a computer at all; just have a VT100 and a fast modem to log in to work, which always had much cooler computers. I actually debugged a multiprocessor microkernel from my basement over a phone line :) Grad school was Apollo and then Sun workstations. As a professor, I got my first Linux laptop in 1995.

I booted Window natively for the first time on my first day on the job at Microsoft in January 2008.


10.- ¿Cuál fue tu primer ordenador?, ¿te acuerdas tan atrás?

Una pregunta muy interesante. Mi primer ordenador fue un Ohio Scientific Superboard II 6502 de placa simple en 1980. Eso fue seguido por varios Commodores. Conseguí mi primer contrato de software migrando el procesador de texto WordPro a la plataforma Commodore. Después probé mi primer sabor de UNIX con OS/9 corriendo en un Radio Shack color computer II. OMG; realmente podías correr algo con concurrencia y una Shell en una máquina con una CPU de 8bits y 64Kb de RAM!

Luego pasaron 10 años en los que ni me molesté en tener un ordenador; sencillamente con VT100 y un modem rápido para conectarme al trabajo, donde los ordenadores eran mucho más chulos. En su momento depuré un multiprocesador con microkernels desde mi sótano usando la línea de teléfono :). En la escuela de grado tenía un Apollo y después estaciones de trabajo de Sun. Cómo profesor, me compré mi primer portátil con Linux en 1995.

Arranque un Windows de forma nativa por primera vez mi primer día de trabajo en Microsoft en enero del 2008.


11.-Is said that there are two types of computer workers, the engineer which call his machines something like "PC01, PC02, PC03,...", and the Freak which call his machines something like "Luke, Han, Palapatine,... " or "Legolas, Gimly, Sauron...". Which one are you?

Since my first laptop, my machine has always been named Groo, from Sergio Aragonés "Groo the Wanderer" comics. "Wanderer" seemed a good name for a mobile computer. Microsoft IT makes it easiest to name your machines methodically, so my machine is now crispin-w7x61 (my name, Window 7, and it is a Lenovo X61T).

11.- Se dice que hay dos clases de informáticos, el ingeniero que llama a su máquina algo cómo PC01, PC02, PC03,…. Y el friki que llama a sus máquinas algo cómo “Luke, Han, Palapatine, …” o “Legolas, Gimly, Sauron…:” ¿a qué clase de informáticos perteneces tú?

Desde mi primer portátil, mis máquinas siempre se han llamado Groo, de Sergio Aragonés de los cómics de “Groo the Wanderer”. “Wanderer” (Vagabundo) me pareció un buen nombre para un portátil. El departamento de IT de Microsoft te lo pone fácil para nombrar a las máquinas metódicamente, así que el nombre de mi máquina ahora es crispin-w7x61 (Mi nombre, Windows 7 y mi Lenovo X61T).

12.- Which is the best guy you've seen delivering presentations? Which conference? Talking about what?

Within Microsoft, Mark Russinovich and Steve Riley give amazing presentations. Outside Microsoft, Gary McGraw, Niels Provos, Dan Wallach, and Jonathan Shapiro come to mind as great speakers.

12.- ¿Quien es el tío al que has visto dar la mejor presentación?, ¿en que conferencia? ¿Hablando de qué?

Dentro de Microsoft, Mark Russinovich y Steve Riley dan unas presentaciones alucinantes. Fuera de Microsoft, Gary McGray, Niels Provos, Dan Wallach y Jonathan Shapiro, son algunos de los que me vienen a la cabeza cómo fabulosos presentadores.

13.- What would you recommend to read/do to someone who wants to learn how to break software?

I am not notably good at breaking software. Rather, I listen to and respect the people who are good at it, while devising ways to make their job harder :) What I learned about breaking software, I got best from subscribing to Bugtraq and letting it pour through my brain for a year.

13.- ¿Qué recomendarías leer a alguien que quiere aprender a Romper software?

Yo no soy muy bueno rompiendo software. Más bien, yo escucho y respeto a la gente que es buena haciéndolo, mientras busco la manera de hacer su trabajo más difícil :). Lo que aprendí sobre romper software lo aprendí suscribiéndome a Bugtraq y dejando que se me filtrase en el celebro durante cerca de un año.

14.- What did In Sardonix Project happen to close it?

Sardonix was intended as a scientific experiment to see if we could encourage software auditing through social means. After a year of operation and essentially zero audits, we concluded that it was a failure and shut it down.

14.- ¿Qué le pasó al proyecto Sardonix para que se cerrase?

La intención de Sardonix era un experimento científico para ver si podíamos animar a la auditoría de software a través de una red social. Después de un año de operación y esencialmente CERO auditorías, concluimos que había sido un fracaso y lo cerramos.

15.- Linux, Novell, Spectra,... Is Apple your next destination?

While fixing OS X's security mess could be fun, I hope to be with Microsoft for a very long time.

15.- Linux, Novell, Spectra,…. ¿Será Apple tu próximo destino?

Aunque arreglar el desaguisado en la seguridad del sistema operativo OS X sería divertido, pretendo estar con Microsoft mucho tiempo.

16.-Have you ever been to Spain o should we invite you to come?

I presented twice at Novell Brianshare Barcelona. A beautiful city and I had a great time there. But don't let that stop you from inviting me :)

16.- ¿Has estado alguna vez en España o te tenemos que invitar para que vengas?

He presentado dos veces en el Brianshare de Barcelona con Novell. Una ciudad preciosa y me lo pasé fenomenal allí. Pero no por eso dejes de invitarme :).

17.- Is Clyppy going to be rescued for Windows 7 helping system?

I think Clippy taught us that no one likes a smarty pants, especially not a smarty pants computer :)

17.- ¿Se va a rescatar a Clippy en la ayuda de Windows 7?

Creo que Clippy nos enseño que a nadie le gusta un listillo, especialmente no una máquina listilla:).

18.- Now you are working in Microsoft... do you feel terror when you are in a hack-con?

Not really. I treat the hot spot at Starbucks the same way I treat the network at Defcon: don't trust anything that isn't protected with layer 4 crypto (SSL, SSH, or equivalent). ;)

18.- Ahora que trabajas en Microsoft… ¿sientes miedo cuando hablas en una Conferencia de Hackers?

Realmente no, Yo trato de la misma manera los hot spots de Starbucks y la red de una conferencia de la Defcon: No te fíes de nada que no esté protegido por una capa criptográfica (SSL, SSH o equivalente) ;)

19.- Tell us a good reason to user Hyper-V and not VMWare

Hyper-V is a server-focused product. It is not my area, but I am told that it has outstanding performance, beating VMware's server products. It also appears to offer much more secure isolation between the guests and the hypervisor than VMware. But it is not my area, so I can't say for sure.

19.- Danos una buena razón para utilizar Hyper-V en vez de VMWare

Hyper-v es un producto enfocado a servidores. No es mi área, pero por lo que me han dicho el rendimiento de Hyper-V es excepcional, por delante incluso de los productos servidores de VMWare. Por lo visto también ofrece mucho mejor aislamiento de seguridad entre el invitado y el hipervisor que VMWare. Pero cómo no es mi área tampoco puedo decírtelo con seguridad.

20.- and... the last one... Do you like to be working in Microsoft?

I love working at Microsoft. An intellectually challenging problem, worth lots of money to solve and therefore interesting, sufficient resources to attack the problem, and lots of great people to work with. And Microsoft health care benefits are the best I have seen since I left Canada :)

20.- y …. La última …. ¿Te gusta trabajar en Microsoft?

Me encanta trabajar en Microsoft. Un problema intelectualmente difícil, que cuesta mucho dinero resolver, por lo tanto interesante, suficientes recursos para atacar el problema y muchísima gente increíble con las que trabajar. Los beneficios médicos que ofrece Microsoft son los mejores que he visto desde que dejé Canadá :).

10 comentarios:

  1. La pregunta 4 no la tienes en negrita.

    Gracias por la interesante entrevista, y gracias también publicarlo también en inglés.


    Éste tio debe ser más friki que yo si hasta 2008 nunca arrancó de forma nativa un solo windows... cuesta de creer que no lo hiciera ni por curiosidad.

    ResponderEliminar
  2. Buena entrevista

    Te mola the kiss xD

    ResponderEliminar
  3. Excelente entrevista.

    ResponderEliminar
  4. Buena entrevista, divertida, seguro que más adelante no dudará en concederte otra, si hubiera sido de esas peñazos le hubiera dado un palo enorme... Para preguntarle cosas técnicas ya están los blogs o los seminarios.

    ResponderEliminar
  5. Me quedo con la pregunta 6, 7 y sobre todo la 10. Está claro que debes defender la empresa que te paga (da igual como pienses). A ti que te gusta Raúl conocerás la anécdota de que ya en categorías inferiores del Madrid, cantaba los goles del Tenerife en el autobús de vuelta de un partido. Supongo que ahora que es más mayor sí será totalmente blanco, o no :)

    El caso es que dice que no ha tenido tiempo de cambiar el Linux del servidor. ¿Se disculpa? ¿Intenta explicar que mejor con un Windows server? Está el dicho de que si funciona no lo toques.

    Hay gente que se mueve según una moral que defienden. Ahí están las tiendas de comercio justo. Otros compran simplemente lo que más les vale y más barato es, sin preguntar cómo ha sido fabricado.

    La mayoría somos así, según nos convenga nos movemos. Por eso no se puede escupir para arriba, después te puede pasar como a este hombre o como a Fernando Alonso antes de fichar por Mclaren:"Quiero ser como Senna, que corrió para Mclaren y nunca para Ferrari".

    Es mejor estar callados, y por lo menos no decir chorradas "antes una mierda... pero ahora mucho mejor. Es tan elegante decir sólo: "yo ahora estoy de puta madre y todo es de puta madre". Claro que si te echan de malos modos y sin explicación seguro que estás resentido

    PD:Lo de la inspiración también se lo podía haber ahorrado. Queda un aire de entrevista fea.

    ResponderEliminar
  6. No he podido ni leer la entrevista. PEDAZO DE CAMISETA CHEMA!!! Donde la has comprado?

    ResponderEliminar
  7. "...Arranque un Windows de forma nativa por primera vez mi primer día de trabajo en Microsoft en enero del 2008..." ¿y que hizo? ¿darle al F1?

    Joder con la política de contratación de Microsoft, jajaja, contratan a un tío que no tiene "ni puta idea" de windows, jajaja, y le pagarán una pasta... voy a mandarles el curriculum ya mismo, que yo al menos se usar el ratón y un poco el notepad !^_^!

    Mu buena la entrevista, la camiseta, y muy buen fichaje el de Microsoft, a ver que tal le va en el lado del mal ;-)

    ResponderEliminar
  8. He recibido tres mails de Crispin Cowan.

    El primero dice: "Muy bien, pero creo que has publicado la respuesta la primera pregunta dos veces".

    El segundo dice: "No,no, creo que has duplicado todas las respuestas!"

    El tercero dice: "Olvidalo, estaba viendo la página con el traductor a español y claro..."

    ResponderEliminar
  9. Maligno,

    Sólo por jod... [ups!]

    En la 9 te has comido parte de la respuesta en la traducción y en la última has REMARCADO en la traducción lo que no estaba así en el original, entre otras cosas.

    ¿Intentas influenciar subliminalmente a tus lecores?

    Un saludo.

    ResponderEliminar