¿Anarquía informativa?
[22-10-01]
Microsoft ha publicado un llamamiento a la comunidad profesional dedicada a la seguridad para que no se divulguen los errores detectados en sus productos. El objetivo de la compañía de Redmon es "no proporcionar información gratuita a los hackers para explotar las debilidades del sistema".
En un comunicado firmado por Scott Culp, responsable del Microsoft Security Response Center se atribuye a la "anarquía informativa" existente en la actualidad el éxito alcanzado por los últimos gusanos: Code Red, Lion, Sadmin, Nimda. Estos gusanos han conseguido paralizar redes de ordenadores, destruir datos y, en algunos casos, infectar los ordenadores para que sean vulnerables a futuros ataques.
Microsoft empieza su nota reconociendo dos hechos obvios y evidentes: "Todos los gusanos se aprovechan de vulnerabilidades en los sistemas atacados. Si no existen vulnerabilidades de seguridad en Windows, Linux y Solaris ninguno de estos [gusanos] podría haber sido escrito". De la misma forma "Si bien la industria debe esforzarse en producir productos más seguros, no es realista esperar que seamos capaces nunca de alcanzar la perfección. Todos los programas no triviales contienen bugs y los sistemas operativos modernos son cosa cualquier excepto triviales. De hecho, se pueden incluir entre las cosas más complejas que nunca haya realizado la humanidad. Las vulnerabilidades de seguridad están aquí para quedarse".
Por tanto, sino puede eliminarse el problema de fondo "se hace más crítico que lo manejemos de la forma más cuidadosa y responsable". Esto contrasta, según la opinión de Microsoft, con la práctica habitual de la comunidad profesional dedicada a la seguridad que es descrita como "anarquía informativa". Esta "anarquía" consiste en publicar todos los problemas descubiertos con instrucciones paso a paso para aprovecharse de la vulnerabilidad.
Microsoft afirma que "informar de la existencia de una vulnerabilidad no ayuda a los administradores que deben proteger las redes. En muchas ocasiones es necesario instalar un parche que cambia el comportamiento del sistema y protege de la vulnerabilidad" mientras que "en otras ocasiones la vulnerabilidad puede eliminarse si el administrador hace una serie de cambios". Por otra parte "a un administrador en verdad poco le interesa saber como funciona una vulnerabilidad en vistas a protegerse de la misma".
En lo referente al sistema actual de aplicación de parches, Microsoft reconoce que "debemos facilitar el método de instalación de parches; es algo que hemos reconocido en uno de los últimos anuncios. Pero si los métodos actuales no son eficientes, hace que todavía sea más importante como tratar la información que puede potencialmente destruir información".
Microsoft solicita de la comunidad un "consenso silencioso de la industria" y para conseguirlo durante los próximos meses trabajará con los líderes del sector.
¿Por qué Microsoft hace este llamamiento?
En mi opinión personal, la posición de Microsoft utiliza unos planteamientos con una lógica casi infantil: si nadie conoce los problemas, nadie puede utilizarlos. Y para ello solicita de la industria que no haga publicidad de las vulnerabilidades en sus productos.
Esto podría funcionar si todos, sin excepción, siguieran esta regla. ¿Pero acaso existe alguna forma de garantizar este "silencio universal"? Sencillamente, plantear en la actualidad que la forma de solucionar un problema es esconder la cabeza bajo tierra es una gran hipocresía.
Microsoft parece estar harta de tener que trabajar en solucionar los problemas de seguridad de sus productos, que cada semana deba publicar uno o más parches para solucionar problemas más o menos importantes y que su nombre aparezca asociado a los diversos gusanos que últimamente nos están inundando.
Una vez más, Microsoft quiere aparecer ante la opinión pública como "una empresa que no tiene problemas, pero si tiene soluciones".
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=1091
Más información
It's Time to End Information Anarchy: http://www.microsoft.com/technet/columns/security/noarch.asp
Versión en catalán de esta noticia: http://www.quands.com/misc/html/crida-ms.html
Xavier Caballé xavi@hispasec.com
Artículos de actualidad ...
Archivo de artículos ...
|