Bernardo Quintero bernardo@hispasec.com La iniciciativa de Microsoft, Strategic Technology Protection Program (STPP), ha generado opiniones para todos los gustos, tanto a favor como en contra. El simple hecho de que Microsoft plantee una nueva estrategia de seguridad ya es de agradecer, si bien las últimas actuaciones e incidencias siguen alimentando el escepticismo. Dejando a un lado la crítica gratuita a la que Microsoft es sometida constantemente, en cualquiera de sus actuaciones, por una comunidad de detractores incondicionales, hay que reconocer que STPP puede suponer un antes y un después para la seguridad informática. No ya por la estrategia en sí, visto que de momento no aporta nada nuevo, sino por el poder de arrastre que las iniciativas de Microsoft tienen en el sector. Bajo este prisma, STPP será beneficioso para todos en lo que a concienciación se refiere, si bien aun está por comprobar el efecto real de la estrategia, algo que sólo podrá verse a medio-largo plazo, por mucho que se empeñen tanto seguidores como detractores en evaluar el impacto de la iniciativa en sus comienzos. En estos momentos estamos ante una campaña de marketing acompañada por algunas medidas de urgencia de sobra conocidas en el sector, basadas en su mayoría en soluciones que Microsoft ya tenía a disposición del público, aunque tal vez no fueran muy conocidas. Tanto la actualización y notificación automatizada, como las herramientas de chequeo, ya estaban aquí. Hoy día es fácil encontrar que la mayoría de los productos nos avisen y se autoactualicen de forma automática a través de Internet, desde la utilidad donde reproducimos los MP3, pasando por la actualización automatizada y centralizada de los antivirus en una red corporativa. Microsoft no era una excepción, ya vimos como a partir de Windows 98 incluyó Windows Update, una herramienta que a demanda chequeaba, notificaba y lanzaba de forma automática las nuevas actualizaciones. Otras herramientas menos conocidas, como HFNetChk, llevan también un tiempo entre nosotros. STPP, de momento, es más de lo mismo, con el anuncio de que las nuevas herramientas incorporarán administración centralizada para entornos corporativos y notificación automática, no a demanda del usuario como hasta ahora. Algo que parece obvio pero que no deja de ser un avance positivo. En palabras de Microsoft, con esta estrategia se intenta disminuir el tiempo que transcurre desde que es descubierta la vulnerabilidad hasta que el sistema del cliente es actualizado, y de esta forma disminuir el riesgo de que los sistemas resulten dañados. Aunque es cierto, esto no deja de ser una simplificación subjetiva y partidista del problema que sitúa al usuario como principal responsable al no actualizar periódicamente sus productos. A Microsoft le ha faltado autocrítica en el planteamiento de la estrategia y el anuncio de iniciativas encaminadas a corregir el problema en su origen. Esperamos que esto sea sólo un problema de comunicación, y que internamente la estrategia STPP tengas otras actuaciones de cara a mejorar el diseño de su software y las actualizaciones. Con esto no quiero decir que Microsoft, ni nadie, pueda concebir programas 100% seguros y libres de fallos. Las vulnerabilidades pueden aparecer en cualquier sistema y no dejarán de existir. Pero tampoco es menos cierto que Microsoft tiene una responsabilidad muy directa en muchos problemas, y sigue evidenciándolos con nuevos incidentes aun en plena campaña STPP (graves problemas de diseño en la protección contra desbordamiento de buffer en Visual C++.Net, o los fallos del último parche para su navegador Internet Explorer 6). Por ejemplo, si nos fijamos tan sólo en lo que a actualizaciones y parches se refiere, motivo principal de la campaña STPP, podemos observar algunos problemas que siguen sin resolver. Regresión de vulnerabilidades Microsoft, en comparación con el resto de plataformas, tiene el mayor índice de regresión de vulnerabilidades. Es decir, la instalación de un parche ha provocado en ocasiones que en nuestro sistema aparezcan vulnerabilidades anteriores ya corregidas. Aparición de nuevas vulnerabilidades En ocasiones se aprovechan los parches de seguridad para incluir actualizaciones con nuevas funcionalidades, obviamente esto aumenta el riesgo de aparición de nuevas vulnerabilidades. Problemas de inestabilidad En parte por los puntos anteriores, son muchos los casos detectados de incompatibilidades o mal funcionamiento del sistema con el hardware/software ya existente tras haber realizado una actualización de seguridad, fomentando la máxima "si funciona, no lo toques", contraria a la propia iniciativa STPP. Discriminación según lengua Otra máxima conocida entre administradores de servidores Windows es "siempre versión USA". No en vano esta versión es la primera en disponer de las soluciones a problemas de seguridad críticos, mientras que el resto de versiones de otros lenguajes deben permanecer vulnerables durante días, incluso semanas, a la espera de su correspondiente parche. La propia STPP ha evidenciado este hecho, con un desfase de meses entre la presentación de la iniciativa en USA y España, por ejemplo. En definitiva, la campaña STPP es beneficiosa, si bien debe ser considerada sólo como un primer paso en la carrera que Microsoft debe seguir para lograr un mayor grado de seguridad en sus productos. Esperamos que así sea. Opina sobre esta noticia: Más información: Microsoft lanza en España su iniciativa STPP (c) Hispasec, 2002 www.hispasec.com/copyright.asp
|
