Bernardo Quintero bernardo@hispasec.com
En octubre de 2001 Microsoft lanzaba Strategic Technology Protection Program (STPP), que anunciaron como una iniciativa sin precedentes que mejoraría la seguridad de sus sistemas operativos y su respuesta ante nuevos problemas de seguridad. Pasados dos años, donde los incidentes de seguridad que aprovechan vulnerabilidades de Microsoft no han hecho más que aumentar, vuelven a realizar nuevas promesas. De nuevo el marketing se adelanta a la tecnología. Durante una conferencia de partners la pasada semana, Steve Ballmer anunció nuevas iniciativas que harán de Windows un sistema menos vulnerable a los ataques. De entrada ha adelantado que estas funcionalidades se ofrecerán gratuitamente en el próximo service pack para Windows XP y Windows Server 2003. No sabemos si este anuncio debe interpretarse como que los usuarios de versiones anteriores de Windows, incluido Windows 2000, tendrán que migrar forzosamente si quieren acceder a este nuevo y prometido nivel de seguridad. Además del anuncio público, de cara a mitigar el aluvión de críticas que está padeciendo Microsoft por el verano negro que ha protagonizado en materia de seguridad, tan sólo han transcendido vagas pinceladas sobre las medidas reales que implantarán. Desde la activación por defecto del firewall que incluye Windows, hasta una nueva política de avisos, parches y actualizaciones que pasarán a ser mensuales, en vez de los más periódicos como nos tenía acostumbrado hasta ahora. Este último punto parece más una idea de un creativo de marketing que de un analista técnico. Desde el punto de vista de seguridad todo son desventajas. En palabras de Amy Carroll, director de producto de la unidad de negocio de seguridad de Microsoft, esta cambio facilitará a los usuarios la localización e instalación de las actualizaciones de seguridad. Microsoft ha recibido en los últimos tiempos muchas críticas por los continuos parches de seguridad que deben aplicarse en Windows, lo que dificulta la labor a los profesionales y es poco práctico para los usuarios finales que no tienen porqué estar pendientes continuamente de las actualizaciones. Parece que Microsoft ha optado por simplificar el problema y reducirlo a lo absurdo: si no quieren muchos parches pequeños de forma periódica, daremos uno grande una vez al mes. Los riesgos son evidentes, por un lado la ventana de tiempo entre que una vulnerabilidad es descubierta y la corrección está disponible será aun mayor, por otro lado los macro-parches, que tienen que modificar múltiples componentes del sistema, son más proclives a los problemas de compatibilidad e interferencias con el software ya existente. Como anécdota, la misión principal de la iniciativa STPP era disminuir el tiempo que transcurre desde que es descubierta la vulnerabilidad hasta que el sistema del cliente es actualizado, y de esta forma disminuir el riesgo de que los sistemas resulten dañados. Ahora parece que dan la vuelta a la tortilla. Como ya hiciéramos en su día en Hispasec, a través de la noticia "Microsoft STPP, ¿estrategia tecnológica o lavado de cara?", de nuevo hacemos hincapié en que es una simplificación subjetiva y partidista del problema que sitúa al usuario como principal responsable al no actualizar periódicamente sus productos. A Microsoft le ha faltado de nuevo autocrítica en el planteamiento de la estrategia, y el anuncio de iniciativas encaminadas a corregir el problema en su origen. Más vale prevenir que curar.
Microsoft to improve Windows security for free Microsoft STPP, ¿estrategia tecnológica o lavado de cara? Microsoft Strategic Technology Protection Program
|
