Sin lugar a dudas este film de Robert Zemeckis marco una época en 1985, la carrera de Michael J. Fox siempre será recordada por esta mini saga de tres entregas, en el papel de Marty McFly, a cual más entretenida. Buena prueba del impacto de esta película en su 25º (+1) aniversario es que Nike se ha decidido a lanzar una edición limitada de las Nike MAG, aunque no dispondrán de auto-anudado seguro que hacen las delicias de uno de los 1,500 afortunados que se podran hacer con ellas.

Igual que “Back to the Future” marco una epoca, creo que va a hacer lo propio la tecnologia RAST que recientemente ha presentado HP Fortify. RAST es el acrónimo de “Real-time Application Security Testing”, no os preocupéis si no habías odio hablar de esta tecnología, es como cuando Lorraine le pregunta a Marty si se llama “Levi’s” ya que toda su ropa la tiene marcada con ese nombre.

Seguro que habréis oído hablar de DAST y SAST, aunque no necesariamente con ese nombre. DAST son las iniciales de “Dynamic Application Security Testing”, es decir las pruebas dinámicas de análisis de la seguridad de las aplicaciones, algo más popularmente conocido como “pruebas de penetración” o “pruebas de hacking ético”. Este es el método mas habitual para evaluar las posibles vulnerabilidades que puede presentar nuestras aplicaciones, básicamente consisten en intentar explotar dicha aplicación simulando los ataques que los hackers realizarían, bien de manera manual, bien de manera automatizada con la ayuda de herramientas.

Por otro lado disponemos de SAST, “Static Application Security Testing” o lo que es lo mismo la pruebas estáticas de código fuente. En este caso se trabaja con el código del aplicativo tal y como lo ha escrito el desarrollador, e igualmente se puede realizar de manera manual para pequeños fragmentos, aunque de manera práctica se suele realizar con la ayuda de soluciones que permiten modelar y analizar los flujos de datos y el control.

Lógicamente el debate está servido, ¿pruebas de penetración o análisis del código? Ambas técnicas presentan ventajas e inconvenientes, algunas de las más solidas serian:

Las pruebas dinámicas, o de caja negra, analizan la infraestructura completa, aplicación en su entorno de ejecución (+) Identifican el punto de explotación (+) pero… siempre nos dejara la duda, ¿hemos probado todos los escenarios? (-) y una vez identificada la vulnerabilidad, ¿Cuál es la causa raíz de la vulnerabilidad? ¿Qué he de modificar? (-)

Por su lado el análisis estático, o de caja blanca, nos asegura unos resultados exhaustivos al inspeccionar todos los posibles caminos (+), identifica la causa raíz y acelera la resolución al proporcionar las directrices para su remediación (+); pero no nos permite identificar si la vulnerabilidad es explotable en producción (-) y resulta complejo determinar la prioridad de las vulnerabilidades (-).

¿Por qué no combinar ambos juegos de resultados? ¿Podemos correlacionarlos? En teoría la respuesta es si, en la práctica la respuesta es no. Es un problema sumamente complejo el relación una determinada dirección (URL) con la línea de código responsable de la misma, una práctica que involucra a profesionales tan distintos como analistas de seguridad y desarrolladores, de manera práctica los clientes con los que he tenido oportunidad de charlar me han confirmado claramente esta situación a pesar de los esfuerzos realizados para obtener unos resultados en principio muy golosos.

Afortunadamente la tecnología RAST desarrollada por HP Fortify ha conseguido resolver esta problemática. La pieza clave es la instrumentación del servidor de aplicaciones (tanto en entornos Java como .net) que nos permite analizar la pila de llamadas y determinar en tiempo real, mientras realizamos una prueba de penetración, cual es el código siendo invocado, lo que nos da una visibilidad sin precedentes a la hora de determinar con precisión aquellas vulnerabilidades explotables y cuál es la causa raíz de las mismas.

Esta tecnología de próxima generación presenta ventajas para todos los actores de la cadena de valor. Al especialista de seguridad le aporta la capacidad de analizar una mayor superficie de ataque, a la vez que le proporciona diagnósticos más precisos limitando los terribles falsos positivos. Para los desarrolladores les ofrece la localización específica de las vulnerabilidades en el código, y permite entender las vulnerabilidades organizadas por impacto y causa raíz. Por último a la dirección le podemos facilitar una vista unificada de las pruebas de caja negra y caja blanca, favoreciendo una visión completa y precisa de los riesgos.

Si estáis interesados en conocer más detalles de esta tecnología os invito a que leáis el white paper que han publicado los chicos de HP Fortify.

Back to the Future. Regreso al futuro. USA 1985, Pelicula de ciencia ficción juvenil, dirigida por Robert Zemeckis y protagonizada por Michael J. Fox, Christopher Lloyd y Lea Thompson. Un icono del cine de los ochenta.

La verdad es que el título original de esta película de Wesley Snipes y Woody Harrelson, “Money Train”, que en España se tradujo por “Asalto al tren del dinero”, también la podían haber traducido como el “AVE Manchego”.

No soy lector de El Mundo, pero el sábado mientras esperaba en un comercio mi turno lo estaba ojeando y una extraña sensación me recorrió la espina dorsal, mi punto de vista estaba totalmente alineado con una de las editoriales del periódico. En el mismo artículo de  opinión se despachaban con igual firmeza contra el socialista José Maria Barreda, presidente de Castilla La Mancha que contra los populares Valencianos Francisco Camps y Carlos Fabra. Ponían en evidencia a esta clase política que nos inunda de populismo y brindis al sol en lugar de centrarse en los temas claves que permitirían impulsar la competitividad del país.

Al primero lo ponían de vuelta y media por el proyecto del “AVE Manchego” el AVE que enlazaba Toledo-Cuenca-Albacete, y que afortunadamente se ha decidido cerrar. Y es que no es para menos, ofertaba 2,800 plazas diarias, cuando en seis meses el servicio ha sido usado por 2,800 pasajeros, lo que arroja una bonita cifra media de nueve pasajeros al día, teniendo en cuenta que los costes operativos eran de unos 18,000 € al día, cada pasajero salía por 2,000 €. Tan solo con los costes variables se podía pagar una limusina puerta a puerta con barra libre de Moët Chandon acompañado de caviar iraní. A todo esto súmenle los costes de construcción de la línea, escribo de memoria, del orden de 5 Millones de euros… por cada kilómetro de línea de alta velocidad.

La particular pirámide de los faraones populares de levante no es menos gravosa, 150 millones para el Aeroport de Castellò, el ‘aeropuerto del abuelo’ como el señor Fabra se encargó de recordarle a sus nietas. La verdad es que la obra civil no es uno de mis fuertes, pero las matemáticas y la lógica se me dan bastante bien. No sé si esa cantidad es mucha o poca para construir un aeropuerto, pero sí sé que 150 millones para un aeropuerto donde no aterrizan aviones es un despilfarro intolerable.

La verdad es que como país no sabemos evolucionar, nos quedamos en la superficie de las situaciones y tropezamos una y otra vez con la misma piedra. Tenemos otra vez a los populares repitiendo aquello de “Váyase señor Gonzalez”, solo que ahora el señor se llama Zapatero. Unos lo hacen mal y los otros peor, y no somos capaces de desalojar a semejante clase política centrada en los folclorismos en lugar de llevar el país al siglo XXI.

Necesitamos tener un punto de inflexión similar al de los años de la transición cuando nuestro país supo salir de la autarquía y anacronismo en el que vivía para convertirse en un país del siglo XX, un país que sabía competir en mercados internacionales, que sabía modernizar sus infraestructuras y se adaptaba a las necesidades del mercado.

No podemos anclarnos en cómo nos gustaría que fueran la cosas, hemos de adaptarnos y hacer buena es cita de Heráclito, "la única constante es el cambio". Y ello pasa por dejar de defender los puestos de trabajo y empezar a defender los trabajadores; que aunque no lo parezcan son cosas muy distintas. No podemos perpetuar nuestra ventaja competitiva en bajos costes, porque en su momento llegaran FDI (foreign direct invesments) industriales, porque estas se han desplazado al Este Europeo o las economías emergentes; no podemos seguir ofreciendo un turismo de sol y playa básico, porque los destinos del Magreb o las ‘nuevas’ playas de Croacia o Turquía se nos comerán la merienda. Hay que potenciar a los trabajadores para que estos puedan ser competitivos y alcancen puestos de trabajo por su propio valor, no por designación del divino. Tenemos que convertir a este país en un país donde los turistas norte europeos puedan comunicarse en su idioma o por lo menos en un fluido inglés, el debate no debe ser si la enseñanza es castellano o catalán, ha de ser en inglés; porque ese es el idioma de los negocios. Hemos de re-convertir esas plantas de producción en plantas de diseño, que fabriquen esas economías emergentes, que aporten ellos la mano de obra menos cualificada a la cadena de producción global y reservémonos para nosotros el I+D.

Un I+D que no ha de ser subvencionado por el gobierno, no. Yo lo que quiero es que se anime a la iniciativa privada y que cuando esta sea exitosa no se la castigue con gravosos impuestos. Si el capital obtiene un buen rendimiento, este se pondrá a trabajar, pero si el premio al esfuerzo, a la inversión, al éxito, es castigarlo con impuestos ¿para qué voy a aventurarme?

Cierro por hoy con una reflexión que liga estos últimos puntos. Escuchaba hace unos días que la Junta de Andalucía en un enésimo ejercicio de populismo había creado unas becas de 400 € / mes para aquellos que habiendo abandonado sus estudios volvieran a las aulas. Hombre me parece interesante que se promueva la educación, ya que sin duda hará a esas personas más competitivas y elevaran tanto sus expectativas de empleo como la remuneración del mismo. Ahora bien, deberíamos indexar esas becas al éxito de esos estudios, es decir que en caso de superar los exámenes o de abandonar de nuevo esos estudios sean deducidas las cantidades de futuros derechos de desempleo, etc. Porque si no resulta que la fiesta la pagamos siempre los mismos, ya que lógicamente esas becas no se pagan con billetes que salen del aire, sino que salen de los impuestos de aquellas personas que no habiendo abandonado sus estudios están cotizando y pagando sus impuestos, para que se beneficie aquel que habiéndolos abandonado en primera instancia para ganar un dinero fácil en la época de las vacas gordas de la burbuja, ahora cuando vienen mal dadas … en fin ya conocéis la fábula de la hormiga y la cigarra.

Money Train – Asalto al tren del dinero. USA 1995, dirigida por Joseph Ruben y protagonizada por Wesley Snipes, Woody Harrelson y Jennifer Lopez. Buena película de acción con toques de comedia a todo tren.