Craig Wright, héroe de la seguridad 

– 4 de abril de 2008

El Instituto de Tecnología SANS

Laboratorio de seguridad

Sec Lab – Héroes de la seguridad

El proyecto SANS Security Heroes tiene como objetivo presentarle a personas que han marcado una diferencia en la seguridad de la información. Creemos que hay muchas personas que contribuyen a que la seguridad funcione y queremos presentárselas.

Judy Novak, heroína de la seguridad – 21 de mayo de 2010
Kathleen Lynch, heroína de la seguridad – 31 de agosto de 2009
Paul Henry, héroe de la seguridad – 12 de mayo de 2009
Anthony Giandomenico, héroe de la seguridad – 18 de febrero de 2009
Craig Wright, héroe de la seguridad – 4 de abril de 2008
Peter Giannoulis, héroe de la seguridad – 19 de marzo de 2008
Suzanne Novak, heroína de la seguridad – 13 de febrero de 2008
Laura Taylor, heroína de la seguridad – 8 de febrero de 2008

Craig Wright, héroe de la seguridad

4 de abril de 2008
Por Stephen Northcutt

Craig Wright sin duda es un héroe de la seguridad. Ha escrito artículos y libros sobre seguridad y posee casi todos los certificados SANS y GIAC disponibles (incluido el platino). Es director técnico de GIAC, un experto en varios oficios y en unos pocos, y todos en el laboratorio de seguridad le agradecemos por su tiempo.

Craig, veo que estás cualificado en varias disciplinas, incluido el hecho de haber terminado recientemente una maestría en derecho. ¿Por qué elegiste la seguridad de la información?
Cuando era joven, la seguridad de la información no existía realmente como carrera. Empecé a realizar algunas tareas de programación sencillas y pasé a ocupar un puesto como administrador de SunOS 4.1. Teníamos una base de datos desarrollada a medida en el sistema y, en ese momento, la seguridad era generalmente la menor de las preocupaciones de todos. Se me había encomendado la tarea de garantizar que los datos del sistema permanecieran seguros y que el sistema estuviera disponible, pero no había presupuesto para seguridad. En los días anteriores a la Web, Gopher resultó ser una gran herramienta para encontrar información. Lo que empecé a aprender en ese entonces fue cuántas vulnerabilidades existen.

De vez en cuando me metía en pequeños problemas cuando demostraba algunas de las vulnerabilidades. Esto me llevó a tener la reputación de ser el tipo que podía «entrar en las cosas», algo que era bueno y malo a la vez. Cuando era necesario configurar los sistemas, me consultaban, pero también descubrí que me culpaban cuando algo salía mal.

Por supuesto, cuando aparecieron los cortafuegos a mediados de los años 90, me los entregaron a mí. Me quedé en el área de seguridad porque es algo que hago bien y me permite contribuir a la comunidad.

Entonces, ¿cómo aprendiste sobre firewalls en ese entonces?
En ese entonces, la red era aún más «inmensa e incontrolable» que ahora. Me avergüenzo de algunas de las cosas que hicimos. Empecé juntando fragmentos que había desenterrado y básicamente improvisé un firewall medio decente usando el kit de herramientas de firewall. En ese entonces, el código estaba disponible y era mucho más simple, por lo que gran parte del proceso de aprendizaje fue realmente jugar. Esto sucedió cuando comencé a trabajar para un ISP. Básicamente, me dieron una copia de Checkpoint firewall-1 versión 2 y esperaba que lo supiera para el final de la semana.

Esto no fue tan malo como parecía, ya que, después de haber trabajado con el kit de herramientas de firewall y Gauntlet, descubrí que Checkpoint era fácil.

¿Qué pasaba con los «cowboys de la seguridad» en los años 90? En aquel entonces parecía que la metodología de seguridad consistía en descargar alguna herramienta de seguridad que se compilaba en un Sun 3. ¿Cómo fueron aquellos tiempos para ti?
En los años 90, la mayoría de nosotros éramos básicamente unos vaqueros. En aquel entonces, no existían metodologías y, si querías cierto nivel de funcionalidad, tenías que crearlo tú mismo. Los errores eran algo habitual, pero lo que realmente importaba era si aprendías de ellos. El cambio más importante para mí fue aceptar un puesto en la Bolsa de Valores de Australia, donde administraba los cortafuegos y otros dispositivos de seguridad. Trabajar en un entorno con un requisito de tiempo de actividad de seis nueves fue una verdadera revelación.

Más que cualquier otra cosa, la ASX me enseñó los beneficios de un proyecto bien planificado. También aprendí sobre VMS. La ASX me hizo perder el control.

¿Cómo desarrollas tus habilidades?
Práctica, práctica, práctica. Y, a eso, añade mucha lectura.
Además, como tengo que viajar diariamente, he utilizado un software de conversión de texto a audio y he cambiado los documentos a archivos MP3, así que los escucho mientras conduzco. Esto se encarga de la teoría, dejando tiempo para practicar las distintas herramientas y técnicas en casa. Si a eso le sumamos una gran cantidad de formación de SANS y otros, y la imposibilidad de salir de la universidad, eso es todo.
En la actualidad, se ha vuelto aún más sencillo. Trabajo como editor para una editorial técnica y también escribo mis propios documentos y libros. Que me paguen por realizar revisiones técnicas es una excelente manera de estar al tanto de todo.

He observado que tienes una colección ecléctica de títulos. ¿Esto ha ayudado a tu carrera en seguridad o es solo por interés general?
He descubierto que el conocimiento de una amplia gama de temas hace que sea más fácil entender el punto de vista de otras personas. Haber estudiado finanzas y derecho ha hecho que mi función como auditor sea más sencilla. Estoy seguro de que muchos de mis clientes no lo ven así, ya que tengo la costumbre de señalar puntos oscuros de la ley que tal vez no estén cumpliendo, pero mi función como auditor es señalar los riesgos a la dirección.

Me mantengo cuerdo porque he aprendido que no es mi problema cómo reaccionan ante lo que les señalo. Mientras pueda asegurarme de que comprenden con precisión el riesgo al que se enfrentan, habré cumplido con mi trabajo.
Las habilidades en estadística y minería de datos han ayudado en este sentido. Todo el tiempo me dicen que no hay suficientes fuentes de datos para poder crear modelos de riesgo cuantitativos adecuados. En este sentido, considero que una base matemática ayudaría a muchos en la industria. Métodos como el análisis de datos longitudinales proporcionan los medios para modelar científicamente el riesgo de una organización. La dificultad es que estas metodologías no se prestan a herramientas simples y requieren un análisis centrado en la organización en particular.



¿Considera la seguridad como una forma de arte o una ciencia?
En la práctica, debería estar progresando hacia una ciencia más que un arte. Sin embargo, muy pocas personas la tratan de esta manera. Lamentablemente, el marketing y la publicidad exagerada ocultan gran parte de lo que es realmente importante. Muchas de las prácticas simples que hacen que un sitio sea seguro no generan una oportunidad para vender servicios. Por lo tanto, muchas de ellas se ignoran.

Además de esto, muchas personas tienen la idea de que la única manera de probar un sistema es utilizando un formato de caja negra en un intento de simular (falsamente) lo que haría un «hacker». Quiero decir, estoy feliz de aceptar el dinero de la organización y pasar un día o dos haciendo investigaciones preliminares básicas que cualquier script kiddie puede hacer si me lo piden, pero estoy mucho más feliz simplemente obteniendo la información de ellos y ahorrándonos tiempo a ambos y dinero a ellos. Veo demasiada propaganda en torno a las habilidades relacionadas con atacar y entrar en un sistema y, de lejos, no se hace el suficiente esfuerzo para proteger los sistemas. Después de todo, se necesita mucha más habilidad para proteger adecuadamente un sistema que para entrar en él.

¿Cuál cree que es el principal problema de la auditoría y el cumplimiento normativo?
Debo decir que el principal problema es que la gente intenta marcar una casilla en lugar de solucionar un problema. A menudo, se dedica más esfuerzo a evitar solucionar una vulnerabilidad u otro problema que a corregirlo.
Otro problema es que la industria está muy desorientada en cuanto a solucionar los problemas. Parece que hacemos todo lo posible para evitar que los clientes se enfrenten al riesgo que realmente corren. Mucha gente dice que los regímenes de cumplimiento como SOX hacen poco por proteger un sistema. La verdad es que esto no está relacionado en absoluto con el régimen de cumplimiento, sino con la evitación general de los mismos. Por ejemplo, nos han contratado para volver a realizar pruebas para clientes SOX que no están relacionadas con la seguridad del sistema. Al indicarle al cliente que los controles que ha implementado no lo harán cumplir con los requisitos de SOX, nos han dado instrucciones de simplemente volver a ejecutar la prueba de los controles implementados.

Por lo tanto, no quiero decir que SOX no conduzca a un sistema seguro, sino que la gente hace todo lo posible por evitarlo. En otros casos, he visto a empresas crear sus propios procedimientos almacenados en una base de datos para ocultar los campos de datos y poder pasar una auditoría PCI. El auditor nunca tiene tiempo suficiente para probar todos los sistemas, por lo que ocultar lo que realmente está ocurriendo es una forma fácil de cumplir con las normas. Lo absurdo es que, en muchos casos, el esfuerzo necesario para ocultar el incumplimiento es mucho mayor que el que se requeriría para lograr que el sistema fuera compatible.

Entonces, ¿por qué, en su opinión, las organizaciones intentan evitar proteger sus sistemas? Sin duda, parece que hay dos claves básicas para la seguridad de la información: configurar los sistemas correctamente y detectar cuándo falla la configuración. Sin embargo, no parece que se le dé mucha importancia a la configuración adecuada.
Parece haber una falta de conocimiento y comprensión sobre seguridad que no ha desaparecido con los años y, en todo caso, ha empeorado. Como profesionales de la seguridad, tenemos que asumir gran parte de la culpa. Muchos de nosotros pasamos nuestro tiempo discutiendo sobre cuestiones oscuras y cosas que realmente no importan. Realmente necesitamos dar un paso atrás y adoptar un enfoque basado en el riesgo. Un poco de formación en economía y finanzas sería de gran beneficio para muchas personas del sector.

Ciertamente entiendo lo que dices sobre las disputas por cuestiones oscuras; me encanta el punto de vista de Schneier en Beyond Fear , tendemos a amar el Security Theater. ¿Qué beneficio crees que le ofrecería al profesional de seguridad promedio estudiar economía y finanzas? Quizás podamos comenzar a tener un enfoque basado en el riesgo. En este momento, muchos de los problemas de seguridad se reducen a preferencias personales. Realmente necesitamos dar un paso atrás y observar el costo real. En lugar de instalar ese lindo juguete nuevo con su precio de seis cifras, tal vez sería beneficioso dedicar un poco de tiempo a revisar y probar algunos estándares de configuración (como los de SANS y CISecurity.org).

Entonces, ¿dónde te ves en el futuro?
Idealmente, quiero pasar a un puesto de investigación técnica. En mi puesto ideal, sería director de tecnología y evangelista de seguridad o director de laboratorio. En este momento, realizo investigaciones en mi tiempo libre. Lo ideal sería que alguien me pagara por hacer lo que es esencialmente mi pasatiempo.

Tecnología SANS

Security Laboratory

Sec Lab – Security Heroes

The SANS Security Heroes project is to help introduce you to people that have made a difference in information security. We believe there are a lot of people contributing to make security work, and we want to introduce you to them.

Judy Novak, Security Hero – May 21st, 2010
Kathleen Lynch, Security Hero – August 31st, 2009
Paul Henry, Security Hero – May 12th, 2009
Anthony Giandomenico, Security Hero – February 18th, 2009
Craig Wright, Security Hero – April 4th, 2008
Peter Giannoulis, Security Hero – March 19th, 2008
Suzanne Novak, Security Hero – February 13th, 2008
Laura Taylor, Security Hero – February 8th, 2008

Craig Wright, Security Hero

April 4th, 2008
By Stephen Northcutt

Craig Wright certainly qualifies as a security hero! He has written articles and books on security and has nearly every SANS and GIAC certificate available (including platinum). He is a GIAC Technical Director, and jack-of-all-trades, master of a few, and all of us at the security laboratory thank him for his time!

Craig, I see that you are qualified in a number of disciplines including having just completed a master’s degree in law. So why did you choose information security?
When I was young, information security didn’t really exist as a career. I started doing some simple programming tasks and moved into a role as a SunOS 4.1 administrator. We had a custom developed database on the system and, at that point, security was generally the least of anyone’s concerns. I had been tasked with ensuring that the data on the system remained secure and that the system was available, but there was no budget for security. Back in the days before the Web, Gopher proved a great tool for finding information. What I started learning about back then was just how many vulnerabilities exist.

I got into a little bit of trouble from time to time when I would demonstrate some of the vulnerabilities. This led to a reputation as the guy who could «break into stuff» – something that was both good and bad. When systems needed to be configured I would be consulted, but I also found that I was would be blamed when anything went wrong.

So, of course, when firewalls came about in the mid-90s, I was the one that they where handed to. I stayed in security as it is something that I do well and it allows me to give back to the community.

So, how did you learn about firewalls back then?
Back then it was even more of the «wild wild web» than now. I cringe at some of the things we did. I started by putting together bits and pieces that I’d dug up and basically cobbled together a halfway decent firewall using the firewall Toolkit. Back then code was available, and a lot simpler, so much of the learning process was really playing. This followed when I started working for an ISP. I was basically given a copy of Checkpoint firewall-1 version 2 and expected to know it by the end of the week.

This wasn’t as bad as it seemed since having worked with the firewall Toolkit and Gauntlet, I found Checkpoint to be easy.

What about «security cowboys» in the 90s? Back then it seemed that the security methodology was to download some security tool that compiled on a Sun 3, how were those times for you?
In the 90s most of us were, basically, cowboys. Back then, methodologies didn’t exist; and if you wanted some level of functionality, you had to make it yourself. Mistakes were a common occurrence, but what really mattered was if you learned from those mistakes. The biggest change for me was taking a role in the Australian Stock Exchange where I managed the firewalls and other security devices. Working in an environment with a six 9’s requirement for uptime was a real eye-opener.

More than anything else, the ASX taught me the benefits of a well planned project. I also learnt VMS. The ASX beat the cowboy out of me.

How do you build your skills?
Practice, practice, practice. And, add to that a lot of reading.
Also, since I have to commute, I have used text to audio conversion software and changed papers to MP3 files, so I listen to these as I drive. This takes care of the theory, leaving time to practice the various tools and techniques at home. Add to that a huge amount of training from SANS and others, and an inability to get out of Uni, and that about covers it.
These days, it has become even simpler. I act as an editor for a technical publisher and also author my own papers and books. Getting paid to conduct technical reviews is a great way to stay on top of things.

I noticed that you have an eclectic collection of qualifications. Has this helped your security career, or is it just out of general interest?
I have found that knowledge in a wide range of topics makes it easier to understand the viewpoint other people are coming from. Having studied finance and law has made my role as an auditor easier. I’m sure that many of my clients do not see it this way since I have a habit of pointing out obscure points of law they may not be complying with, but my role as an auditor is to point out risk to management.

I stay sane as I’ve learnt that it is not my problem on how they act to what I’ve pointed out to them. As long as I can ensure that they have an accurate understanding of risk they face, I’ve done my job.
Statistics and data mining skills have helped this. I get told all the time that there are not enough sources of data to be able to create adequate quantitative risk models. This is where I find that a mathematical foundation would help many in the industry. Methods such as longitudinal data analysis provide the means to scientifically model an organisation’s risk. The difficulty is that these methodologies do not lend themselves to simple tools and require an analysis focused on the particular organisation.



Do you see security as an art form or science?
In practice it should be progressing towards more of a science than an art. However, very few people treat it this way. Unfortunately, marketing and hype obscures much of what is really important. Many of the simple practices that make a site secure don’t lead to an opportunity to sell services. As such, many of these are ignored.

On top of this, many people have the idea that the only way to test a system is by using a black box format in an attempt to simulate (falsely) what a “hacker” would do. I mean, I am happy to take on organisation’s money and spend a day or two doing basic preliminary investigations that any script kiddie can do if they require it of me, but I’m much happier just getting the information from them and saving both of us time and them money. I see far too much hype around the skills related to attacking and breaking into a system and, by far, not enough effort into securing systems. After all, it takes far more skill to properly secure a system than it does to break into one.

So what do you see as the major problem with auditing and compliance?
I have to say the major problem is that people attempt to tick a box rather than fix a problem. Often, more effort is put into avoiding fixing a vulnerability or other issue than would be taken to correct it.
Another problem is that the industry is really geared away from fixing the problems. We seem to do our best to avoid confronting clients with the risk that they actually face. Many people say that compliance regimes such as SOX do little to secure a system. The truth is that this is not related at all to the compliance regime but to the general avoidance of them. As a case in point, we have been engaged to re-perform tests for SOX clients that are unrelated to the security of the system. On instructing the client that the controls they have implemented will not make them compliant with the requirements of SOX, we have been instructed to simply rerun the test of the controls in place.

So, it is not to say that SOX does not lead to a secure system, but rather people do their best to avoid it. In other cases, I have seen companies create their own stored procedures on a database to obscure data fields so that they can pass a PCI audit. The auditor is never given enough time to test all the systems, so hiding what is actually occurring is an easy way to become “compliant”. The silly thing is that, in many instances, the amount of effort to hide non-compliance is far greater than what would be required to make the system compliant.

So why do organizations try to avoid securing systems in your view? It certainly seems like there are two basic keys to information assurance, configuring systems correctly and detecting when the configuration fails. Yet, proper configuration does not seem to get much emphasis.
There seems to be a lack of knowledge and understanding about security that has not disappeared over the years and, if anything, has gotten worse. As security professionals, we have to take a lot of the blame. Many of us spend our time bickering over obscure issues and things that don’t really matter. We really need to step back and take a risk-based approach. Some training in economics and finance would be a great benefit to many people in the industry.

I certainly hear you about the bickering over obscure issues; I love Schneier’s point in Beyond Fear, we tend to love Security Theater. What benefit do you see that studying economics and finance would offer the average Security professional?
We might be able to start having a risk-based approach. At the moment, too many of the issues in security come down to personal preferences. We really need to stand back and look at the true cost. Rather than installing that nice new toy with its six-figure price tag, maybe a little bit of time looking through and testing a few configuration standards (such as those from SANS and CISecurity.org) would benefit.

So, where do you see yourself in the future?
Ideally, I want to move into a technical research role. In my ideal position I would be either CTO and security evangelist or lab director. At the moment, I conduct research in my own time. The ideal would be having someone pay me for doing what is essentially my hobby.