No se puede decir más claro ni de una forma más precisa. Los compañeros de Hispasec lo dejan bién claro. La industria más representativa del software propietario no da su brazo a tocer y sigue cometiendo los mismos errores históricos. A esto nos referimos cuando con toda determinación afirmarmos que esta industria es una de las más nefastas.
No es normal que se venga denunciando que esta no es la manera más óptima de actuar y pese a todo sigan defendiendola a capa y espada. El año que viene seguiremos viendo como cada vez tenemos más problemas de seguridad y se pierden muchas más horas de trabajo. Eso sí lo beneficios de unas pocas compañias seguirán aumentando. Y por supuesto no cambiarán de política.
Enhorabuena por el trabajo de los chicos de Hispasec, como en otras ocasiones, de 10.
De: [email protected]
Responder a: [email protected]
Para: [email protected]
Asunto: una-al-dia (24/12/2003) Respuestas a la política de actualizaciones de Microsoft
Fecha: Wed, 24 Dec 2003 18:05:02 +0200
—–BEGIN PGP SIGNED MESSAGE—–
——————————————————————-
Hispasec – una-al-día
24/12/2003 Todos los días una noticia de seguridad
www.hispasec.com
——————————————————————-
Respuestas a la política de actualizaciones de Microsoft ——————————————————–
El pasado día 15 publicamos en «una-al-día» las explicaciones deMicrosoft sobre su nueva política de actualizaciones. Hoy damos lapalabra a nuestros lectores, que en gran número nos hicieron llegarsus comentarios y razonamientos al respecto.Debido al gran volumen de mensajes, y lo extenso de algunos, vamosa intentar resumir en cinco puntos los argumentos que más serepitieron por parte de los lectores.
1) Las vulnerabilidades existen y se explotan antes de ser publicadasEn las explicaciones de Microsoft podíamos leer «Las vulnerabilidadesrepresentan un aumento exponencial del riesgo a partir de sudescubrimiento y anuncio, no antes. […] no perdemos en materia deseguridad desde el momento que asumimos que el riesgo es casiinexistente antes de cualquier tipo de anuncio».Respecto a esta afirmación, son muchos los lectores que recuerdanque no todas las vulnerabilidades se publican cuando sondescubiertas, no todo los hackers son «whitehats». De hecho existengrupos de investigación dedicados a descubrir vulnerabilidades ya explotarlas en beneficio propio.Que una vulnerabilidad no se publique, no quiere decir que noexistan ataques basadas en ellas que estén pasando desapercibidos.El sistema debe ser seguro por diseño, no porque no se publiqueno se oculten sus fallos. No a la seguridad por oscuridad.
2) Microsoft no descubre las vulnerabilidadesSegún Microsoft «en ese 0.1% de casos donde el orden de sucesos noocurra de esta forma, como por ejemplo el conocimiento de unavulnerabilidad de forma previa a la creación del update».Para muchos lectores ese porcentaje tal vez sería válido a la inversa,es decir, la inmensa mayoría de los descubrimientos de agujeros enel software de Microsoft son autoría de terceras personas ajenas ala compañía. Por lo tanto las vulnerabilidades suelen conocerse antesde la creación y distribución de la actualización.Microsoft no puede, ni debe, controlar el descubrimiento ypublicación de vulnerabilidades.
3) Las empresas planifican sus propias políticas de actualizaciones»La medida está pensada fundamentalmente para minimizar situacionesde actualización de software no planificadas, y permitir que unacorporación pueda planificar sus recursos adecuada y ordenadamenteante una actualización de seguridad.»Muchos administradores de sistemas y responsables de seguridadindican que cuentan con sus propias políticas corporativas deactualizaciones, y que la planificación de éstas no deben estarcondicionadas (ni se van a ver mejoradas) porque las actualizacionesse encuentren disponibles un día determinado.En la mayoría de los casos, en ambientes críticos, los parches yactualizaciones deben pasar unos tests y controles de calidad ensistemas de pruebas, antes de distribuirlos en los sistemas enproducción. No en vano, la instalación directa e inmediata de losparches puede ocasionar problemas de incompatibilidad,mal funcionamiento, o regresión de vulnerabilidades.Este tipo de comprobaciones, que hasta ahora se hacía de formaescalonada y puntual según publicación de parches concretos, ahoraresulta más complicada al acumularse todo en una fecha, y puededar lugar a retrasos en el despliegue final. No es lo mismo, nise tarda el mismo tiempo, en comprobar que una actualización paraInternet Explorer es correcta, que en comprobar 6 o 7 parches paradiferentes componentes del sistema.En definitiva, en muchos casos la acumulación de parches supone unretraso en la distribución final de los mismos en ambientescorporativos. Los administradores piden que la actualización seencuentre disponible tan pronto sea posible, ya serán ellos los quedecidan como les afecta, la prioridad, y el día en que se procederáa su instalación.
4) Dificultad para usuarios sin banda ancha en la descarga de grandesactualizacionesAlgunos usuarios, que conectan a Internet a través de módemsanalógicos conectados a la red telefónica básica, muestran supreocupación por la acumulación y distribución de los parchesen un mismo día.Si algunas actualizaciones individuales pueden ocupar megas, laactualización del paquete mensual puede llegar a ser todo uninconveniente para ellos.Como anécdota, recordar que fueron muchos los usuarios domésticos quetuvieron problemas con la actualización de la vulnerabilidad queexplotaba el gusano Blaster, ya que en el tiempo que tardaban endescargarse la actualización desde Internet el gusano volvía ainfectarles y/o a reiniciar sus equipos.
5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)Con respecto a los números barajados por Microsoft, a la hora decomparar vulnerabilidades entre sus sistemas y algunas distribucionesde Linux, los lectores hacen hincapié en que es necesario distinguirentre vulnerabilidades de aplicaciones y del propio sistema operativo.Las distribuciones cuentan con un gran número de aplicaciones, deinstalación opcional, que no forman parte del sistema operativo.Además, no basta con dar números absolutos, debería analizarsecuantas de esas vulnerabilidades son explotables remotamente, y elimpacto real en la seguridad de los usuarios.La propia política de Microsoft, de integración de aplicaciones yfuncionalidades extras en el propio sistema operativo, supone unaumento en el número de vulnerabilidades que afectan a todos sussistemas. Un ejemplo claro lo tenemos en Internet Explorer.Con respecto a la resolución, muchos lectores recuerdan que enalgunos casos la comunidad Open Source, tras el descubrimiento deuna vulnerabilidad, facilita parches en cuestión de horas. Enúltima instancia, el usuario tiene el control sobre el sistema,y no depende exclusivamente de la resolución de una empresa.La claveA título personal, aunque comparto de forma genérica las opinionesde los lectores, creo que la clave en la explicación de Microsoftestá en la afirmación «en ese 0.1% de casos donde el orden desucesos no ocurra de esta forma, como por ejemplo el conocimientode una vulnerabilidad de forma previa a la creación del update, NOSE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará encuanto la actualización esté preparada.»El caso es que desde hace semanas tenemos varios de esos casos, enconcreto hay varias vulnerabilidades de Internet Explorer que sehan hecho públicas (algunas desde finales de noviembre), han sidocatalogadas como críticas (tanto por su impacto como por lafacilidad de explotación), y están siendo aprovechadas en ataques.A día de hoy, finales de diciembre, aun no hay parches para corregiresas vulnerabilidades. De entrada queda patente los tiempos derespuesta de Microsoft ante vulnerabilidades críticas. Si bien aunqueda pendiente conocer cuando se publicarán finalmente estosparches.Si los parches de Internet Explorer se publican en su paquete deactualizaciones mensuales, el segundo martes de enero, en vez dehacerlo de forma puntual en cuanto tengan la solución (dada laimportancia), Microsoft habrá tirado por tierra gran parte de suspropias argumentaciones.Opina sobre esta
noticia:
http://www.hispasec.com/unaaldia/1886/comentarMás información:Explicaciones de Microsoft sobre su nueva política de actualizaciones
http://www.hispasec.com/unaaldia/1877Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884Bernardo [email protected] Tal día como hoy:
—————–
24/12/2002: Vulnerabilidad en Fetchmail http://www.hispasec.com/unaaldia/152124/12/2001: Finaliza con éxito la Campaña de Seguridad en la Red http://www.hispasec.com/unaaldia/115624/12/2000: Estudio sobre la seguridad de ActiveX
http://www.hispasec.com/unaaldia/79124/12/1999: Fiscalía Especial para los Delitos Informáticos
http://www.hispasec.com/unaaldia/42324/12/1998: Se pide una corte especial «año 2000» al Congreso de los EEUU http://www.hispasec.com/unaaldia/58 ——————————————————————- Claves PGP en http://www.hispasec.com/directorio/contacto ——————————————————————- Bajas: mailto:[email protected]?subject=unsubscribe Altas: mailto:[email protected]?subject=subscribe ——————————————————————- (c) 2003 Hispasec http://www.hispasec.com/copyright
