7 Preguntas a Christian Linacre (Microsoft)
Mi relación con Microsoft siempre ha sido un tanto extraña. Mientras de ella como institución tengo la peor de las impresiones, siento un gran respeto por varios de sus empleados en Chile.
Uno de ellos es Christian Linacre, a quien tuve oportunidad de conocer durante una charla sobre Windows Server 2008 que dio junto a los chicos de ITSur a fines del año pasado.
Por entonces encargado de comunidades IT de Microsoft, Linacre destacaba por no ser el típico marquetero que las empresas envían a vender la pomada, sino un técnico capaz de dar respuestas certeras, yendo del lenguaje más técnico al más simple, según quien fuera su interlocutor.
(Y sobre todo sin arrogancia. Quizá hasta con algo de humor).
Sus jefes en Redmond no tardaron en reconocer este talento y lo abdujeron a Estados Unidos, donde lleva 5 meses como Gerente de la División de Seguridad y Privacidad de MS para toda América Latina. Buen logro para un compatriota.
Envidioso de su trayectoria, me propuse tenderle una trampa enviándole una serie de preguntas capciosas cuyas respuestas forzaran su expulsión del país. Sin embargo este maldito roedor salvó con éxito mi celada con respuestas casi-diplomáticas… aunque no por eso menos contundentes.
Dénle un vistazo. No se desilusionarán.
“Tecnología sin educación es un esfuerzo no sólo fútil sino ingenuo”
1. Hace X meses (¿cuántos van ya?) cambiaste tu oficina de Microsoft en Chile por la sede de Seattle. ¿Cuáles son exactamente tus nuevas responsabilidades?, pero sobre todo, ¿cómo ha sido acostumbrarse al modo de trabajo gringo? ¿qué te ha llamado más la atención y qué es lo que más te ha costado asimilar?
Empecé mi trabajo en Microsoft USA en Junio y me mudé a Florida, en Julio de este año – impresionante que ya van 5 meses. Actualmente estoy trabajando en la oficina regional para Latinoamérica, en Fort Lauderdale, donde soy el Gerente de Seguridad y Privacidad para toda la región (de México a Chile). Mis responsabilidades pasan por las iniciativas relacionadas con seguridad y privacidad para clientes y consumidores en la región, con el fin de proveer y fomentar un ecosistema más seguro.
El modo de trabajo es bastante similar al que nosotros tenemos en Microsoft Chile, en términos de organización y funcionamiento. Lo que cambia considerablemente es la diversidad de gente con la que trabajas, gente de todos los países con estilos distintos, lenguajes diferentes y con mucho que aportar para aprender.
Creo que he aprendido más en los últimos 3 meses que en los últimos 3 años. Esta diversidad es la que muchas veces nos falta en Chile y que no nos deja ver las cosas en una perspectiva mayor.
Lo más difícil de asimilar aquí en Florida es que no hay invierno y por ende no hay nieve ;-). En el trabajo te diría que ha sido más bien fácil la transición.
2. Entrando en materia, la sorpresa de noviembre para los analistas fue el retiro por parte de Microsoft de OneCare para reemplazarlo por un producto gratuito, jugada típica cuando se intenta ganar un mercado cuya competencia es demasiado fuerte (Internet Explorer, WMP…)
Como encargado en el área de seguridad de Microsoft, ¿interpretarías esto como una derrota? Y más todavía, ¿es muy difícil vender soluciones de seguridad de una empresa cuya confiabilidad y estabilidad han sido históricamente puestas en entredicho? (baste recordar las famosas frases de Scott McNealy).
La verdad que esta es una noticia súper positiva para todos, especialmente en Latinoamérica donde los usuarios están más expuestos a nuevas amenazas y donde muchas veces están menos protegidos. La decisión se basa principalmente en el hecho de que en mercados emergentes, donde muchas veces para el usuario es su primer computador y no necesariamente cuenta con todas las herramientas para mantenerse protegido.
Esto es parte de nuestro compromiso de generar un ambiente de Computación Confiable donde lo más importante es la protección del usuario, de su información y de su familia; pilares fundamentales de las iniciativas de navegación segura Microsoft. Más detalles están en nuestro sitio de prensa.
Por otro lado, Microsoft no sólo continuará protegiendo a los clientes sino que continuará con sus negocios orientados al área de la seguridad con la suite Forefront, donde proveemos soluciones de antimalware para estaciones y servidores así como soluciones perimetrales y de gateways. Esperamos tener un crecimiento de un 30% en estas soluciones en este año.
Esto es un refuerzo de nuestra estrategia para proteger a nuestros clientes.
3. Un debate común en seguridad es si el usuario debería ser instruido sobre cómo protegerse o si -juzgando inútil ya esta medida- el software debe mejorar para proteger al usuario en forma transparente. Jakob Nielsen es de esta última opinión (y yo también, aunque dudo que mi posición le importe a alguien).
¿Crees que la educación sea una batalla perdida frente a virus, troyanos, spyware, phishing, espam y otros tipos de malware y debemos dedicarnos a fortalecer los sistemas automatizados? ¿Son las actualizaciones automáticas obligatorias una buena solución al descuido de los usuarios?
Estando a ambos lados (industria y educación) soy un convencido que tecnología sin educación es un esfuerzo no sólo fútil sino ingenuo.
No creo que teniendo sistemas de seguridad automatizados resuelva el problema por completo, en general quienes trabajamos en seguridad de la información siempre estamos generando actividades de difusión y educación entre los usuarios para mantenerlos protegidos; esto se aplica para usuarios en la casa como para usuarios en las empresas. En términos de seguridad, siempre se habla de que la seguridad es tan fuerte como el eslabón más débil; esto independiente de si es el usuario o la tecnología.
A pesar de que Nielsen es un gurú de la usabilidad, no es precisamente un experto en seguridad. Si coincido con él que las interfaces deben ser más simples para los usuarios, pero estos mismos tienen que ser responsables de su seguridad. No es necesario que un usuario entienda como funciona un mecanismo de encripción o cómo funciona el protocolo HTTPS pero si debe ser capaz de diferenciar entre un sitio que cuenta con medidas mínimas de seguridad y uno que no.
En general, todas las asociaciones de profesionales de seguridad como ISSA o ISACA no solo fomentan la educación en seguridad sino que producen materiales para ayudar a esta educación.
Las soluciones como Actualizaciones Automáticas son una buena manera de reducir los riesgos a los que los usuarios se ven expuestos; además que como sabemos las amenazas evolucionan constantemente. Los invito a leer el reporte de Inteligencia de Seguridad de Microsoft liberado recientemente que muestra un incremento del 43% en el malware en el primer semestre del 2008.
“Tenemos un desafío interesante en volver a ser “cool” como compañía”
4. Seguramente te enteraste (y si no aprovecho de contarte) que hace unas semanas se produjo una polémica en Chile en torno a una indicación presentada en el Congreso para evaluar y preferir el software libre en las reparticiones públicas. La disposición finalmente fue anulada… no sin la ayuda de la ACTI y algunos ministros de Estado.
Anticipándome a tu respuesta, ¿no crees que sería más transparente que el Estado cuando menos evaluara las alternativas existentes de código abierto antes de adquirir una licencia de software?
Creo que en estricto rigor el comentario anterior contiene un error. Lo más importante para el Estado de Chile, es que éste posea toda la independencia posible para poder definir de manera transparente qué soluciones tecnológicas aplica.
De hecho, los servicios públicos son libres de elegir la tecnología que mejor se ajuste a sus necesidades. Esto es independiente de la plataforma tecnológica que existe. Esto hace posible que actualmente en el Estado convivan todas la opciones tecnológicas existentes.
Obligar a las reparticiones a elegir una determinada tecnología por sobre otra, sobre la base de una indicación presupuestaria, no es el mejor camino ya que atenta directamente sobre la independencia de las reparticiones para elegir.
Además, estás dejando fuera a todo un espectro de proveedores tecnológicos y agregas una tremenda carga administrativa, ya que no sólo debes justificar la elección, sino también la no elección de una determinada plataforma.
Asimismo, la forma en que se desarrolló esta indicación no fue la mejor. Se introdujo una indicación al presupuesto un día viernes en la madrugada. Creo que tu, al igual que muchos de tus lectores, consideran que un tema como este debe tener una discusión más profunda.
5. A Apple le ha ido bastante bien últimamente, ¿eh? Según MarketShare la participación de mercado de Mac OS X ya alcanza un histórico 8.8%, Apple se convierte en el 3º vendedor de PCs en EEUU e incluso el iPhone logró imponer su S.O. de bolsillo frente a Windows Mobile a nivel mundial.
¿Crees que el auge de Apple sea un efecto pasajero? Digamos, Google es cool. Apple es Cool. ¿Por qué Microsoft no es cool?
Depende lo que definamos como pasajero, al ritmo de hoy en tecnología 1 año parecen como 10 en otras áreas. :-)
Creo que la definición de cool depende de la moda y la tecnología lo ha sido en los últimos años. Hoy es Mac y Google, hace 5 años era Linux, hace 10 era Windows (¿recuerdas el lanzamiento de Windows 95?)
Creo que la moda se da por lo que el usuario adopta de acuerdo a sus necesidades y a otros factores que no son fáciles de predecir o manejar. Si les interesan las tendencias y como se generan, les recomiendo leer “The tipping point” de Malcolm Gladwell.
Creo que tenemos un desafío interesante para volver a ser cool como compañía, dado que tenemos productos que lo son como la XBOX, el Zune e incluso el hardware (los mouse MS son de lo mejor que hay :)
Veremos que depara el futuro cuando este llegue. (Hoy no se fía mañana si.)
6. Independiente de la opinión que se tenga de Microsoft, el que un compatriota llegue a liderar para Latinoamérica el área de una multinacional del software en Estados Unidos es un logro que merece kudos. ¿Qué consejos prácticos darías a los estudiantes o profesionales de la informática que desean seguir tus pasos?
Muchas gracias por los kudos, que tu no lo haces nada de mal de invitado a EBE :-)
En términos de consejos prácticos, creo que lo más fácil es dedicarte a algo que te gusta. Obviamente, suena a cliché pero lo importante es tratar de dedicarse y especializarse en algo.
Muchas veces no es fácil porque en informática hay muchas áreas a las que dedicarse, pero mantenerse con la mente abierta es necesario y tampoco olvidar que lo importante es ser pragmático y tomar decisiones informadas y no dejarse llevar por las “modas” o la farandulización que ha sufrido la informática en el último tiempo.
Con eso y harto trabajo se te abren puertas, eso es por seguro. Y el dato que uno siempre escucha cuando se dedica a esto es que hay que estudiar siempre! siempre! siempre!
7. Por último, cuéntanos la firme: ¿aún le queda alguna esperanza a Vista o con el lanzamiento de Windows 7 el próximo año se demuestra que ni Seinfeld la pudo salvar? ¿Vista no estaba listo para el público o el público no estaba listo para Vista, como dijo Mike Sievert?
El tema de Windows Vista es más que nada percepción, mucha gente de la que opina ni siquiera lo ha usado. El mejor ejemplo se puede ver en las entrevista del Experimento Mojave que hizo Microsoft y donde ves que la gente se asombra muchas veces porque ha opinado sin saber.
Sobre Windows 7 aún falta más de 1 año, pero pronto tendremos betas para que los profesionales de tecnología puedan probarlo adecuadamente. Así que veremos… podemos hacer un update de la entrevista en 3 meses ;)
- ¿Windows, Mac o Linux?:
Windows Vista x64 SP2 (beta) con Bitlocker y máquinas virtuales de Windows XP, Windows 2003, Windows 2008, CentOS y Ubuntu.
- ¿Navegador favorito?:
Internet Explorer 8 Beta 2.
- ¿3 sitios web favoritos?:
1) Technorati.com – la mejor forma de buscar en los blogs
2) Facebook.com (placer culpable)
3) Amazon.com – especialmente la sección de Customer Reviews
3.5) (Mi blog: http://blogs.technet.com/linacre ;)
- ¿Programa indispensable?:
Windows Live Writer – no bloguearía ni la mitad sin esto
- ¿Servicio web indispensable?:
Los RSS en general, y los readers de los mismos: Outlook en el PC, VIIGO en el teléfono. Aumentaron mi tasa de lectura de noticias de manera infinita (base inicial 0 :)
- ¿Teléfono celular y/o PDA?:
HTC 8925 – Tilt con Windows Mobile 6.0 (próximo a migrarse a 6.1)
- ¿Videojuego favorito?:
Guitar Hero III Legends of Rock en XBOX360 (soy un newbie en esto)
Publicado el 22.12.2008 @ 00:52 | 
Categorías: 
Eduardo Diaz
22.12.2008 @ 09:26
No es demasiado capcioso referenciar a Nielsen del 2004, y McNeally 2006?
Los años en tecnología son como los años de los perros ;), y en “28 años” Nielsen probablemente cambió de opinión sobre educar.
Pero como dice Linacre, la seguridad es responsabilidad de los usuarios.
Hannibal
22.12.2008 @ 09:46
Casi le creo, hasta que leí la ficha geek.
Leonardo
22.12.2008 @ 10:31
Todo un romance lo tuyo. Interesante lo que dice el hombre.
DragonTrainer
22.12.2008 @ 10:36
Capaz que las versiones que usa son exclusivas para desarrolladores de Microsoft y por eso no fallan *shot*
Puntos en los que concuerdo:
- El usuario necesita educación; el software no puede hacerlo solo.
- Las actualizaciones automáticas son una buena ayuda, y no sólo con Windows.
- Hay que esforzarse y trabajar en lo que te gusta, y estudiar siempre.
Puntos en los que no concuerdo:
- Intenta usar Illustrator CS3 en una PC Intel Core 2 Duo 2 GhZ y 3 GB de RAM. Se arrastra. ¿Culpa de Vista o de Illustrator, siendo que la misma versión en XP con esos requerimientos vuela? No ando echándole barro (ya) a Vista diciendo que es su culpa, pero sigo sin tener intenciones de convertirlo en mi SO de uso diario más que nada porque encuentro que tiene una estética hermosa pero es demasiado comedor. Esperemos que 7 sea tan liviano como prometieron que sería.
- Los mouse Microsoft no son lo mejor que hay…. bueno, quizás. Al menos a mi juicio eran como cualquier otro mouse. Y eso que a los mouse les daba un power-use al darles uso como herramienta de dibujo.
Uhm… pues sería eso :P
Pao
22.12.2008 @ 11:34
Me toco trabajar harto tiempo con Chris y la verdad es que si hay alguien que se toma en serio su pega y se dedica a ella (aperrado, derechamente), ése es él -además de “terrible de buena onda” :) -.
No sólo es un libro andante de tecnología de quien aprendí mucho, sino que además es capaz de explicarla en forma más simple.
También sé que aunque está con MILES de cosas que hacer, siempre se da el tiempo para contestar preguntas.
Un abrazo para ti y Carol desde la distancia!!
Pao.
Felipe
22.12.2008 @ 12:07
Disculpen que me salga del tema, pero cuando lo escribo en el sitio de FayerWayer no pasa mucho tiempo para que me borren el thread (sin que este contenga insultos o cuestiones fuertes que hieran a alguien).
Desde un tiempo a esta parte FayerWayer ha cambiado negativamente. Me pareció muy bien que se asociaran y encontraran un modelo de negocios para lucrar con una actividad licita como la de bloguear. Lo que me parece por lo menos criticable, es que desde un tiempo a esta parte han lanzado señales muy poderosas, muchas veces involuntarias (o no?), que están creando un espacio enorme, un precipicio entre los usuarios y quienes administran la web. Ya es sabido que sin los usuarios, sin su ánimo, sin su opinión y colaboración las cosas no resultan. No comentan el error de ver al usuario como pageviews.
Una critica, que espero sea tomada constructivamente.
Y por último no borren los comentarios que tratan de aportar desde una critica respetuosa.
Saludos,
Felipe González.
Acertijo
22.12.2008 @ 12:13
Yo no sé qué definición técnica tendría un periodista que pone de su cizaña personal sin ser un experto, precisamente, del tema tratado sino más bien sólo de lo que tiene entendido por oídas. Cada pregunta “grapciosa” fue contestada en forma profesional y contundente aunque el entrevistador quiera ver “respuestas políticamente correctas” o “casi-diplomáticas” porque no eran las que esperaba oir.
Independiente de eso, Linacre siempre fue un buen anfitrión en seminarios y foros organizados. Y no sólo él, basta con asistir a cualquiera organizado por Microsoft y tendrás “clones” de Linacre.
Además, con respecto a la seguridad, la educación al usuario debe ser constante. Me gustó eso que dijo que los encargados de seguridad siempre estamos educando a los usuarios porque los virus, malware, etc. son problemas menores si consideramos el fuerte incremento del phishing que afecta a todos (Problema Capa 8).
No obstante lo anterior, me llama la atención una cosa puntual que omitió Linacre que tiene relación con “estudiar”:
Yo recomiendo a los interesados en seguridad informática, certificarse. Y si las lucas no sobran, Microsoft tiene disponible unos cursos total y absolutamente gratuitos que incluso entregan “certificados”. Hay que visitar la Microsoft Virtual Academy para más información.
Pero bueno, eso.
PS:
Acepto el borrón Mr. Leal porque comparto la censura realizada, pero lo que había alegado era verdad (tal vez problemas de Capa 7). Pero no soy un chico rencoroso. Volví, leí y aporto con un granito de arena.
Christian Linacre
22.12.2008 @ 12:49
@Acertijo,
gracias por los comentarios :)
No se si lo de los clones en para preocuparse o no (me sentí como parte de una historia ciberpunk :-)
Lo de estudiar, no lo omití de hecho esta en la respuesta a la pregunta 6: “Y el dato que uno siempre escucha cuando se dedica a esto es que hay que estudiar siempre! siempre! siempre!”
En resumen, hay que estudiar.
Saludos, Christian.-
Franco Catrin
22.12.2008 @ 13:10
Buena entrevista! Conocí a Christian Linacre en persona y me consta que es un profesional de esos que merecen ser llamados así.
BTW : uso mouse Microsoft, exclusivamente.
Christian Linacre
22.12.2008 @ 13:21
@DragonTrainer,
para aclarar cualquier escepticismo, ocupo en mi máquina productiva lo mismo que está disponible para todos los usuarios; obviamente, para entender la experiencia del usuario. Obviamente, hago otras pruebas con betas tanto internos como externos.
Sobre el uso de herramientas de diseño, no sólo no me puedo pronunciar sino que soy un absoluto ignorante en el tema. Pero en el tema de rendimiento de la máquina, algunas preguntas:
- Disco? RPM?
- Probaste actualizando la evaluación de la máquina? que puntaje te da?
- Probaste con SP1 instalado?
Saludos, Christian.-
DragonTrainer
22.12.2008 @ 13:28
@Christian: Lo de la versión de desarrollo lo dije como chiste, por eso el “shot” por detrás.
Respecto a Windows Vista, si dejé de echarle barro es porque tuve la oportunidad de usarlo con el SP1 instalado, y aunque hay cosas que aún no me gustan, se nota mejor y mucho más estable. Digamos que exactamente igual que XP en su comienzo (que la primera versión sin SP fallaba bastante :P)
Ahora respecto a las preguntas: El disco es de 160 GB, 7200 RPM, si no me equivoco (tendría que ir y abrir el tarro para verlo). No tengo a mano esa máquina en particular (es de la universidad), así que tendría que decirte después el puntaje que me da (me había olvidado de esa nota que le pone a tu sistema, lol, craso error mío).
Saludos, y sorry por no ser capaz de contestar ^^u
Tobal
22.12.2008 @ 14:52
Se le sale la propaganda oficial por todos lados eso sí, nadie peude tener de navegador favorito a IE8 Beta, es un asco
xD
Francotirador
22.12.2008 @ 15:04
La verdad es que a mi amargo pesar, debo reconocer que IE8 está bastante bueno (en especial desde la óptica del desarrollo).
IE6… ESO SÍ ES UN ASCO. Deberían enviar a Gates a Guantánamo por autorizarlo.
Christian Linacre
22.12.2008 @ 15:09
@Tobal,
que es lo que no te gusta de IE8beta2?
Si tienes problemas específicos, se pueden reportar como bugs; es la idea del un beta :-)
Si quieres los envías directamente a mi mail: christian.linacre @ microsoft.com
Saludos, Christian.-
Andrés
22.12.2008 @ 16:14
La forma en que se quiso introducir el tema de promover el software libre en la legislación, impulsada por el senador Navarro, es el peor ejemplo de como se deben hacer las leyes en un país. Un muy flaco favor le hizo el político a la causa. Por cuanto utilizó una formula, por demás chapucera, que, terrible sería si se usara en forma común para “legislar” sobre cualquier tema.
En todo caso no comparto tampoco las apreciaciones del Christian Linacre, sobre la “libertad” de las instituciones para manejar o adquirir software. Si el estado de Chile, considera en su conjunto que debe establecerse preferencias y estándares, lo que corresponde es una legislación que apunte a ello. Aun cuando esto afecte comercialmente a alguna empresa en particular. Las instituciones no son autónomas. El Estado no se plantea sobre las leyes de mercado, sino que se maneja en muchas otras consideraciones como la seguridad nacional, por ejemplo.
(que tonto, este cometnario lo escribí en otro post :P)
M@rTIn X
22.12.2008 @ 18:07
En el gobierno no tengo mucha fe ya un ejemplo transantiago soy un usuario desde Windows 3.1 lo que hay que erradicar es el fanatismo hay talibanes en las dos caras de la moneda me gusta mucho XP antes no me cambiaba de Windows 98 segunda Edición ahora estoy con Vista muchas veces he querido volver a XP, pero aquí estoy con sus problemas pero mirando hacia atrás fue lo mismo que me paso con XP en sus primeras ediciones así como Windows 95.
He probado Ubuntu y tampoco me satisface mucho uno usa lo que le gusta y le acomoda a sus necesidades que sea pago o no es irrelevante ante esto. Es como comprar zapatos depende para que los vayas a utilizar y que tan cómodo te sientas en ellos. Hay al llamado a la tolerancia si es bueno para mí no quiere decir que sea bueno para los demás. En vez de hablar que es mejor uno o lo otro creo que es más entretenido como hacemos para que hablen el mismo idioma (Interoperabilidad).
Todos los sistemas son vulnerables desde su concepción ya que son hechos y operados por humanos y hay muchos factores como para decir uno es más seguro que otro. La ignorancia en temas de seguridad es mayúscula en cibercomportamiento es como que medidas tengo que tomar para andar en la calle.
A Christian he tenido la oportunidad de interactuar en algunas cosas con él como en todo hemos tenido diferencias de opinión pero siempre ha tenido la deferencia de escuchar mientras el debate se mantenga dentro de los márgenes del respeto y la tolerancia puede ser educativa. Me alegra mucho que tenga una visión más amplia desde el puesto que tiene ahora chile por su geografía tiende a ser una isla pero internet nos da la ventaja de poder abrirnos al mundo.
La mejor herramienta en seguridad es el sentido común alguien conoce en su totalidad el código civil o penal a no ser que sea abogado.
Aprovecho para desearles una feliz navidad y un prospero año nuevo.
Christian Linacre
22.12.2008 @ 18:09
@Andrés,
el punto que yo planteo es simplemente, que las cosas deben hacerse de manera transparente.
Y como dicen por ahí primero ahí, primero hay que caminar y luego que correr.
Si pongo prioridades (y nadie me las ha preguntado por lo demás) en términos de que cosas son más importantes en términos de país respecto de las tecnologías de información (Disclaimer soy Ingeniero no Abogado):
- Iniciativas de Modernización de Procesos
- Iniciativas de aporte a las MYPES, servicios para ellas
- Ley de Protección de Datos acorde a las necesidades de hoy
- Ley de Privacidad de Datos
- Ley de Delito Informático actualizada (la que tenemos es del 93), idealmente que se incluya en el código penal (no soy experto pero esta es la recomendación de los expertos.
- Iniciativas de Protección de Infraestructura Crítica (CIIP)
- Iniciativas de Seguridad Nacional en términos de tecnologías de información (ciberguerra)
…y así la lista puede continuar. Creo que esos son temas que son de mayor interés que si hay indicaciones presupuestarias para uno u otro lado. El lado que importa es el avance de las tecnologías de información en Chile y no sólo en términos de tendencias de consumo sino en términos de las prioridades como país, donde eso es lo importante en términos de técnologías de información. Ya sea en este gobierno o el próximo o el anterior. Dónde está el Ministerio de Ciencia y Tecnología?
Además, en el caso de las reparticiones si hicieras una cosa así que impide que la siguiente “sugerencia” sea dar trabajo sólo a gente que sea certificada en Linux por ejemplo o aún más que obligatoriamente en cada terna haya un candidato que sea certificado Linux; suena descabellado o no? Bueno eso es discriminación positiva; donde al menos YO no estoy de acuerdo.
Creo que cada repartición debe tener la libertad de elegir lo que mejor le convenga, de acuerdo a sus prioridades, necesidades, conocimientos internos, etc. Obviamente, las reparticiones responden y son responsables de dar cuenta al Estado Central.
En general, creo que deben haber regulaciones pero estas deben ir por el lado de los lineamientos y no por el lado de las preferencias.
Dificil tema en cualquier caso.
Saludos, Christian.-
suribe
22.12.2008 @ 21:58
faltó preguntarle por la “seguridad” MS al lanzar un parcha para un fallo de seguridad…7 AÑOS DESPUÉS!
http://www.theinquirer.es/2008/11/12/7-anos-despues-ya-tenemos-parche-para-smb.html
Christian Linacre
22.12.2008 @ 23:35
@suribe,
la vulnerabilidad que mencionas fue corregida en el boletin MS08-068 (http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-068.mspx), liberado el 11 de Noviembre de 2008. Toda la información de las actualizaciones y boletines puede ser encontrada en el Blog de Seguridad de Microsoft Latinoamerica: http://blogs.technet.com/seguridad/
Este boletín corríge una vulnerabilidad asociada al protocolo SMB llamada SMBRelay. Que es un ataque de reflexión de credenciales, que podría permitir a un atacante externo ejecutar código remoto con las credenciales del usuario afectado, por ende, si el usuario en cuestión tiene menos privilegios se verá menos afectado; es por eso, que se recomiendo configurar las cuentas, siempre, con el menor nivel de privilegios posible.
La vulnerabilidad efectivamente fue descubierta el año 2001 e inmediatamente después de descubierta se entregaron recomendaciones de soluciones provisionales como el bloqueo de puertos especifico (139 y 445) en el firewall externo (de hecho ningun administrador de firewall dejaría abiertos esos puertos hoy).
Adicionalmente, se recomendaba hacer uso de SMB signing que es el proceso de firmar digitalmente los paquetes de transmisión de SMB, pero no siempre podía ser aplicado.
También en el intertando se liberó SMB 2.0 que está libre de esta vulnerabilidad, pero muchas veces por temas de compatibilidad hacia atrás era díficil de implementar.
Ahora yendo al caso puntual de porque no se había liberado una actualización por la dificultad de implementarla sin afectar la arquitectura del sistema en si, así como otras implementaciones de la plataforma de aquella epoca. El detalle en específico y las razones se pueden encontrar en el siguiente post de Christopher Bud, quien trabaja en el Microsoft Security Response Center: http://blogs.technet.com/msrc/archive/2008/11/11/ms08-068-and-smbrelay.aspx
Si necesitas más información respecto de este boletín o crees que un sistema tuyo pueda estar afectado, no dejes de contactarme. En Microsoft proveemos de soporte gratuito en caso de problemas de seguridad.
Si simplemente era por hacer referencia al artículo del The Inquirer, te invito a reflexionar leyendo un artículo de Gustavo Aldegani que publiqué hoy mismo en mi blog: http://blogs.technet.com/linacre/archive/2008/12/22/informando-con-sensatez.aspx
Cualquier comentario como siempre bienvenido.
Saludos, Christian.-
Gonzalo
22.12.2008 @ 23:41
Christian Linacre es un tipo fuera de lo común, con una disposición tremenda, con la deferencia de responder cualquier pregunta y/o comentario, sincero y con un power envidiable por lo que hace, tuve que trabajar con él en temas de comunidades de usuarios y el apoyo fue total.
Por un lado , una lastima que se fuera de Chile, pero por otro lado , POWER!!!!, es un tipo revalioso en lo que hace, y sin duda, su aporte será (proporcional + n) a su puesto.
Grande Linacre!
Shine on!
Saludos
Chalalo
Alejandro[FV]
23.12.2008 @ 12:57
Concuerdo con @Gonzalo, un gran tipoi Linacre, lastima por nosotros que se fue, excelente por él la oportunidad que se le otorgo…
suribe
23.12.2008 @ 15:56
@Christian, gracias por la respuesta detallada y completa, un lujo que no se ve todos los días.
nespejo
23.12.2008 @ 23:56
@Christian,
Una pregunta con algo de malicia:
Es Vista mucho más seguro que Windows XP?. Esto considerando que Microsoft tuvo que recular al ofrecer licencias OEM de XP para netbooks.
Saludos,
nespejo.
PD: Espero que con Windows7 puedan ofrecer una version adhoc a este mercado, pues da la sensación que los pilló mal parados.
Benjamin
24.12.2008 @ 10:11
me dejo medio esperando que se hablara mas sobre la division que existe entre microsoft y el software open source. me parece que ese tema no lo trataron mucho. hubiera sido bueno saber que piensa un gerente del area de seguridad y privacidad de MS cuando su sistema es una de los mas vulnerados y al cual mas virus atacan, cuando le preguntaran por sistemas como red hat, solaris o SLED. en fin.
no pongamos en aprietos a nuestra ilustre visita.
Christian Linacre
24.12.2008 @ 19:12
@nespejo,
gracias por la pregunta, nada de malicia en la pregunta.
La respuesta fácil de si Vista es más seguro que XP es SI. Ahora la parte complicada es definir que es seguro y que no.
Si definimos seguridad por características del sistema operativo esi mismo, hay muchisimas mejoras que estan en Vista y no en XP como:
- Nuevo diseño de niveles de aislamiento en el kernel y rediseño del mismo
- Bitlocker, encripción transparente de disco completo usando TPM
- Nuevas funcionalidades de cambio de claves criptorgráficas en el caso de sistemas de archivos encriptados
- Nuevo centro de Seguridad que se integra con más de 40 software de seguridad de terceros
- Windows Defender incorporado
- Kernel patch protection en el caso de versiones de 64 bits
- Nuevo Windows Firewall, que te permite filtrar por puertos, protocolos, aplicaciones tanto de entrada como de salida
- Nuevas opciones de seguridad en Internet Explorer, como el modo protegido que impide el mal uso de los segmentos de memoria
- Nuevo centro de respaldo y restauración integrado al S.O.; recordemos que respaldo es un tema de seguridad ;)
- Más de 3000 políticas de grupo que permiten configurarlo en ambientes de dominio
y así tantos otros cambios.
Adicionalmente, en Vista tienes el UAC o User Account Control que si bien más que una medida de seguridad, es una medida de prevención de elevación de privilegios. Esto reduce las probabilidades de ser atacado por la reducción de la superficie de ataque; basado en el concepto de defensa en profundidad.
Desde el punto de vista de vulnerabilidades descubiertas en los sistemas operativos, Vista tiene menos vulnerabilidades por período de tiempo que XP. Lo que obviamente disminuye las proabilides de ataques exitosos.
Te invito a revisar el estudio liberado hace poco más de un mes al respecto: http://blogs.technet.com/linacre/archive/2008/10/29/windows-menos-vulnerabilidades-y-menos-d-as-de-riesgo.aspx
Con todas estas mejoras en situaciones similares las posibilidades de infección o verse comprometido por temas de seguridad, en Vista bajan 40% respecto de XP.
Por lo tanto, me atrevería a decir que SI ES MAS SEGURO, y por lejos.
Sobre el tema de los PC con licencias OEM, estas son decisiones del que produce los computadores, no de Microsoft y como ellos aun tenían stock de computadores “entry-level” sobre todo en mercados emergentes, como Chile, se decidión continuar proveyendo XP para ellos durante un tiempo. En cualquier caso, la cantidad de unidades vendidas de Vista supera por lejos la cantidad de XP en períodos similares de tiempo. Por lo que eso de “recular”es más que nada una percepción.
Cualquier duda sobre los temas de arriba, no dejes de avisar.
Saludos, Christian.
Christian Linacre
24.12.2008 @ 19:25
@Benjamin,
no me pones en aprietos en lo absoluto.
En respuesta a tu afirmación creo que la seguridad de los sistemas tiene como dije más arriba, dos componentes fundamentales: la infraestructura en si (hardware+software) más el usuario (y las prácticas que este tenga)
Lo que dices de sistemas vulnerados, se basa en percepciones ;) como simpre y hoy en día la realidad dice que los puntos de vulnerabilidad más importantes estan en las aplicaciones. Así mismo las tendencias de uso de los sistemas operativos en caso de usuario final en general son Windows y Mac; la verdad dice que a modo de usuario las ofertas OSS son para geeks, esto reconocido por mucha gente de la comunidad OSS.
Hoy en día las tendencias de ataques y vulneraciones estan orientadas al beneficio económico detrás de estas acciones, donde quien genera esto busca específicamente tratar de cortar la cadena de seguridad en el eslabón más débil: el usuario. A través de engaños e ingeniería social para que voluntariamente instale malware y de ahi en adelante tomar provecho, ya sea obteniendo información del sistema en específico o convirtiendo el sistema atacado en un zombie en un botnet, para luego cobrar por sus servicios. (Dejó de ser ingenua la Internet hace mucho) El detalle de esto y como funciona se puede encontrar y leer en el Informe de Inteligencia de Seguridad que liberamos en Noviembre, te invito a leerlo y comentar al respecto: http://blogs.technet.com/seguridad/archive/2008/11/03/microsoft-libera-informe-de-inteligencia-de-seguridad.aspx
Obviamente la batalla contra el malware se hace en todos los sistemas operativos, más aun dado que es un problema de industria la cantidad de vulnerabilidades y el tiempo que toma solucionarlas. Ahora cuando hablamos de este tema la verdad dice que en los primeros 6 meses del 2008, los sistemas operativos Windows tuvieron menos vulnerabilidades que RedHat, Ubuntu o MacOS, asi que de vuelta estamos en las percepciones :) El detalle del estudio esta disponible en mi blog: http://blogs.technet.com/linacre/archive/2008/10/29/windows-menos-vulnerabilidades-y-menos-d-as-de-riesgo.aspx
La realidad dice que Windows tiene menos vulnerabilidades y menos días de riesgos que la competencia. Obviamente, esto no significa tajantemente más seguridad sino que significa menor probabilidad de estar sometido a un problema. Como dije al principio es el sistema más el uso que se le da.
Espero haber sido claro, cualquier cosa no dudes en preguntar.
Saludos, Christian.-
DragonTrainer
24.12.2008 @ 21:45
Christian, acaba de ocurrírseme una pregunta, que va más que nada a nivel de usuario.
No me considero un experto en informática -he comprobado que en este blog varias personas me pasan por kilómetros de distancia- y aunque algo de conocimiento tengo, mis preguntas van más orientadas al lado del usuario. A eso viene lo siguiente.
Cuando Windows 3.11 cambió su interfaz por la de Windows 95, hubo un reaprendizaje de la interfaz de sistema. Yo era aún un niño en esa época, pero como siempre fui pegado a los computadores, pude percibir que se requería un tiempo de a
DragonTrainer
24.12.2008 @ 22:16
(Sorry FT, sin querer envié el mensaje anterior antes de terminarlo. Malvada tecla TAB…)
La repito completa.
—-
Christian, acaban de ocurrírseme algunas preguntas, que van más que nada a nivel de usuario.
No me considero un experto en informática -he comprobado que en este blog varias personas me pasan por kilómetros de distancia- y aunque algo de conocimiento tengo, mis preguntas van más orientadas al lado del usuario. Es por eso que voy a obviar un poco la parte que generalment es más interesante a los demás lectores de este blog, como lo es la posición sobre el software libre y el gobierno y todo eso, que creo que ya ha sido contestado. Mis preguntinhas.
Cuando Windows 3.11 cambió su interfaz por la de Windows 95, hubo un reaprendizaje de la interfaz de sistema. Yo era aún un niño en esa época, pero como siempre fui pegado a los computadores, pude percibir que se requería un tiempo de aprendizaje. Por otro lado, fue bastante fácil, y mejor organizado podría decir.
El uso de la interfaz se mantuvo estable en las diferentes versiones sucesivas de Windows, con mínimos cambios, hasta que llegó la XP.
El uso del nuevo menú Inicio de Windows XP fue algo confuso para usuarios veteranos. Siempre se podía volver al menú antiguo, es cierto, pero de que confundía un poco, lo hacía. Igual que el Panel de Control. La organización, heredada de sistemas NT anteriores (2000, NT4), era algo extraña comparándola con los Windows 9x anteriores. Al menos podíamos encontrar los perfiles en el raíz de C, en vez de en \WINDOWS\Profiles.
Sin embargo, el mundo se adaptó a XP, y eso nadie lo niega. Al contrario; ya es normal, y cuando quiero algo sé rápidamente cómo hacerlo. Aún hay muchas opciones ocultas al usuario normal (o al menos, no tan evidentes), como la Microsoft Management Console, pero en teoría, ya el mundo se adecuó.
Cuando salió Windows Vista, noté que de nuevo había cambios. Cambios que a un observador casual le parecerían simples, pero que para usuarios novatos eran muy profundos, como el nuevo menú de inicio remodelado con función de búsqueda, o que se cambió el nombre de Mi PC a Equipo. Y los perfiles ya no están en (raíz):\Documents and Settings, sino en (raíz):\Users.
(No estoy tomando en cuenta cosas como el flip3D o las animaciones).
Por supuesto, siempre se puede volver al estilo anterior, pero confunde. Otro cambio notorio es la organización dentro del panel de control.
Ahora, todo el blablá para la pregunta.
Yo sé que Windows 7 está en desarrollo y muchas cosas pueden pasar de aquí al día en que lo tengamos para
piratearlocomprarlo/adquirirlo (quizás con una PC nueva, quién sabe). Mis dudas…¿Tendrá Windows 7 un cambio profundo en la interfaz de usuario, o al menos se planea? (Aparte al tener más transparencias o efectos bonitos).
¿Qué tan liviano se planea que sea el sistema? Porque, por ejemplo, uno de los grandes dramas de Vista fue que se certificaban para este SO sistemas que no estaban a la altura de sus requisitos de sistema. ¿Se espera que el sistema siga siendo consumidor (uh, lo dije sin censura) y que nos fuerce a renovar los PC? ¿O podré, por ejemplo, si me compro un PC común de ahora con Vista (Procesador doble núcleo, 2 GB de RAM, 160 GB de disco duro), actualizarlo a Seven con seguridad el día de mañana?
Eso es más que nada. Gracias de antebrazo por tu tiempo, por responder con claridad y por ser amable contra los escépticos xD Saludos.
Francotirador
25.12.2008 @ 02:20
Christian: No entiendo mucho de la jerga técnica, pero entre tus argumentos de seguridad de Vista hubo una sigla que sí reconocí: UAC.
Puede que UAC haga más seguro a Vista (incluso he visto cifras al respecto), ¿pero es válido lograrlo en torno al fastidio de los usuarios, como la propia Microsoft ha reconocido?
Digamos, meterse en una celda móvil blindada de acero también nos ayudaría a prevenir los asaltos cuando salimos a la calle, pero…
Benjamin
25.12.2008 @ 03:10
@Cristian:
es decir….. segun lo quedices tu la culpa de ser vulnerable no la tiene le SO sino que uso que le da el usuario???
entonces de que estamos hablando con “seguridad en los SO” si al final el usuario con “su uso” hace vulnerable el SO que se supone “seguro”??
no entiendo…. asi es re facil decir que windows en seguro si aparentemente ofrece mas seguridad si se escuda en que el uso del personaje que lo maneje va a convertirlo en vulnerable…
lo unico que se es que aca en el trabajo tenemos servidores sun solaris 9 y solaris 10 corriendo 24x7x365 SIN NINGUN PROBLEMA, mientras los 2003 server tenemos que hacerles mantencion mensual de antivirus, disk space, actualizaciones, parches….. bug fixes…… etc,….y por ende, reiniciando y bajando los servicios….
tipica respuesta coorporativa… le echan la culpa al usuario de los errores del software.
Christian Linacre
25.12.2008 @ 14:50
@DragonTrainer,
los cambios de interfaz han sido para hacerla más intuititva en el tiempo y para hacer más fácil el uso y encontrar de mejor maneras las cosas. Es por eso la adición de Instant Search en Vista y, por ejemplo, la agrupación por temas en el Panel de Control, etc.
Sobre Windows 7, hay cambios en la interfaz pero no considero que sean mayores. Hay muchas mejoras en el manejo de Tablet PC, pero mejor dejo que lo averigues en el beta que se libera en los proximos meses :-)
Sobre los requerimientos de sistema (disco, memoria o CPU) es muy temprano para especificarlos. Dado que en general, esto se específica cuando tenemos la versión final (RTM) o en el último Release Candidate (RC) y aun vamos por la primera beta en un par de meses.
Así que el momento hay que esperar.
Saludos, Christian.-
Christian Linacre
25.12.2008 @ 15:50
@Benjamin,
lamento que pienses que es la típica respuesta corporativa, pero si lees más arriba mi punto es que independiente como sea el sistema y cual este sea el usuario puede convertirlo en algo inseguro, más aun así es la mayor parte de las veces. No puedo ni contar cuantas veces he visto conexiones a bases de datos con admin y sin contraseña, sólo por dar un ejemplo.
Ahora el usar Solaris no te exime de actualizarlo ni hacerle mantención, en efecto eso es administrarlo :-)
Si bien no uso Solaris hace tiempo, el proceso de update era bastante tortuoso, más aun revisando el sitio de Solaris http://sunsolve.sun.com/show.do?target=patches/zos-s10 me doy cuenta que Solaris 10 tiene nada menos de 1040 (mil cuarenta) actualizaciones, obviamente algunas de ellas reemplazadas por otras, pero mil al final del día. De las cuales 21 son actualizaciones al kernel, que a menos que me equivoque requieren reinicio igual.
Asumo que los servidores Solaris pasan por el proceso de actualización mensual también, de hecho solo el 2008 hay 468 updates. Como ves el tema de las actualizaciones es un tema de industria en general.
Bueno, el punto en realidad es que para mantener protegido los sistemas no es suficiente con simplemente actualizarlos y tener las medidas de seguridad básicas, sino que el usuario tiene un factor de responsabilidad importante. Es por eso que insisto tanto en la educacíón de los usuarios.
Saludos, Christian.-
DragonTrainer
25.12.2008 @ 16:43
Gracias, colega. Un gusto.
Christian Linacre
25.12.2008 @ 17:07
@Christian (Francotirador),
te diría que más que una medida de seguridad propiamente tal, es una medida de prevención. Para prevenir que los usuarios usen privilegios elevados, que en primer lugar no debieran tener necesidad de usar.
La mayor parte de los problemas en XP, se deben a la elevación de privilegios y la instalación voluntaria (pero inadvertida) de malware por parte de los usuarios, que además corren como administrador. La idea de UAC es correr con la menor cantidad de privilegios posible. Ojo que en Windows 7 esto no va a ser eliminado pero si disminuiran la cantidad de preguntas (prompts) al respecto.
Saludos, Christian.-
nespejo
26.12.2008 @ 17:40
@Christian,
Gracias por tu respuesta, pero cuando me refería a netbooks no estaba pensando en PCs “Entry Level”, sino más bien a los ultraportátiles que por lo general compra gente como segunda máquina. Aquí Vista ni siquiera cabe en el disco sólido, excepto algunos que están en el borde del concepto de ultraportátiles y traen disco duro. Aquí por supuesto la comparación de licencias vendidas de XP y Vista no tiene sentido, y más aún, la cantidad de equipos vendidos con algún Linux supera significativamente el promedio de equipos con Linux preinstalados para otros segmentos.
Christian Linacre
26.12.2008 @ 22:47
@nespejo,
gracias por la aclaración, la verdad el tema de los netbooks es todo un tema.
De hecho la arquitectura de los netbooks no da para correr sistemas como los actuales. Lo que si preocupa es que en general además los diferentes sistemas de antimalware (antivirus, antispyware, etc) no son instalados en los netbooks y estos podrían presentar una amenaza en términos de seguridad.
En general, los que he visto tienen versiones de XP, XP embeded e incluso algunos con Vista.
Probablemente este 2009 veremos más modelos y soluciones al respecto.
Saludos, Christian.-
Mr_Trukit0
31.12.2008 @ 19:57
@Christian,
Llegué algo tarde, pero tengo algunas preguntas.
¿Se planea para Windows 7 eliminar definitivamente el concepto de “letras de unidades”? Sé que es algo menor, pero yo lo considero como una característica obsoleta. Quizá no se ha realizado por retrocompatibilidad, pero me gustaría saber si se realizará, y de no realizarse me gustaría saber los diversos motivos.
¿Se seguirá utilizando NTFS en Windows 7? ¿O se utilizará algún sistema de archivos con un algoritmo optimizado para evitar fragmentación de los archivos?
¿Windows 7 tendrá por defecto Microsoft PowerShell, o seguirá usando el intérprete CMD?
¿El kernel de Windows 7 tendrá soporte para algún tipo de “magic keys”? (como en los sistemas UNIX, ej. SysRq se utiliza combinada con otras teclas para salvar el sistema de algún estado en donde no responda, pudiendo sincronizar discos, matar procesos y reiniciar inclusive cuando el sistema se cuelga).
¿Se seguirá dando privilegios administrativos por defecto a las cuentas de usuario en Windows 7? ¿Se planea utilizar algún esquema de autentificación tipo “sudo” para cuando un usuario normal realiza cambios importantes en el sistema?
Esas son mis dudas. Gracias de antemano.
Y gracias a FT por traernos esta entrevista y la posibilidad de realizar estas preguntas.
Pelotil
02.01.2009 @ 09:53
Solamente quería destacar y agradecer a Christian por todo el tiempo dedicado en responder cada una de las preguntas que le fueron realizadas.
De verdad estoy sorprendido del tiempo dedicado, imaginándome que tiempo libre no debe ser algo muy común en su día a día.
Gracias FT por la entreviste. Saludos. Pelotil
Christian Linacre
05.01.2009 @ 01:00
@Mr_Trukit0
gracias por tus preguntas, las que respectan a Windows 7 me tomo la libertad de posponer la respuesta hasta que este liberado el Beta 1. Apenas eso ocurra, las responderé con gusto.
Un detalle no menor sobre una de las preguntas, que si quiero destacar es que preguntas por los privilegios administrativos a las cuentas de usuario.
Las cuentas de usuario no tienen permisos administrativos por defecto, esto es así desde Windows XP SP2 y por supuesto que en Windows Vista no lo es.
De hecho esa es una de la buenas prácticas recomendadas es no tener permisos administrativos en los usuarios.
Saludos y respondo el resto pronto.
Christian.-
Christian Linacre
05.01.2009 @ 01:03
@Pelotil
muchas gracias por tus comentarios, en general respondo las preguntas con tiempo así como los mails que me llegan, peor no en cualquier blog y es por eso que desde hace ya un tiempo participo en el blog de Christian Leal.
Cosa que no hago en casi ningun otro blog de tecnología, a excepción de los que mantengo yo. Esto dado que a pesar de que las opiniones vertidas acá no son, ni tienen porque ser, las mismas que las mías. Veo que los lectores mantienen una tónica de respeto, cosa que no ocurre en otros lados.
Kudos para Leal por esto…
Saludos, Christian.-