Enlaces
Acerca de este sitio
NSB es un lugar para comentar las novedades sobre seguridad informática. También para la promoción del Software Libre, entre otras muchas razones (y no es la menos importante de ellas la libertad de modificarlo, copiarlo y distribuirlo), porque es el único que, desde el punto de vista de la privacidad, es realmente seguro, ya que su código es conocido.
Me interesa el diseño web basado en un buen uso de HTML y CSS, prescindiendo de cualquier lenguaje de script. De vez en cuando, cae un enlace o algún minitutorial o experimento al respecto. Aviso que soy de los que creen que lo único que se necesita para hacer páginas web es un buen editor de texto.
Para ocultar este texto vuelve a pulsar sobre el titulo.
La ilógica lógica de Microsoft
Héctor Sánchez, responsable de Seguridad Corporativa de Microsoft Ibérica, ha escrito a Hispasec una carta en la que responde a las críticas que desde alli ha recibido la nueva política de distribución de parches mensual de Microsoft.
A continuación un extracto:
Si se asume el riesgo de que una vulnerabilidad se conozca internamente (dentro de Microsoft, quiero decir), y no se haga pública puesto que aún nadie ha dado la alarma, ésto sería bastante correcto, siempre que sólo Microsoft publicase sus fallos y lo hiciese junto con el parche correspondiente. Pero es que resulta que no funciona así la cosa. Más bien, al contrario. Muy rara vez Microsoft publica un parche para una vulnerabilidad que no sea ya conocida y, en bastantes ocasiones, un exploit está disponible antes de que Microsoft saque el parche correspondiente.
En cuanto a la afirmación de que el porcentaje es al contrario, es decir, que sólo el 0,1% de las veces ocurre como explico en el párrafo anterior, creo que el enlace siguiente será suficientemente explicativo, aquí hay una lista con 20 vulnerabilidades de Internet Explorer que aún esperan parche.
Mientras, Microsoft retira el soporte al único de sus sistemas operativos que no es vulnerable a través de IE a la más grave de esas 20 vulnerabilidades (Windows 95 y NT no cuentan, pues ya hace tiempo que se les retiró el soporte; curiosamente, tampoco son vulnerables).
Actualizado 26/12/2003
Hispasec ha publicado un resumen de los comentarios de sus lectores a la noticia en la que se reproducía la carta de Microsoft como respuesta a ésta. No tiene desperdicio.
A continuación un extracto:
...podemos poner un ejemplo reciente con el virus Blaster: La vulnerabilidad que utilizó Blaster (026) ha estado latente. El riesgo que ha supuesto durante esos años es mínimo, prácticamente inexistente. ¿Cuando aumenta el riesgo? Cuando se descubre y anuncia su existencia. De hecho, es solo 27 días después cuando Blaster entra en escena. Técnicas de Ingeniería inversa sobre el update publicado son en parte responsables de esta celeridad.
Si volvemos a pensar en el anuncio que hace Microsoft, tendremos mas claro que no perdemos en materia de seguridad desde el momento que asumimos que el riesgo es casi inexistente antes de cualquier tipo de anuncio, y solo a partir de entonces, el riesgo es elevado.
[...]
Pero aun así, en ese 0.1% de casos donde el orden de sucesos no ocurra de esta forma, como por ejemplo el conocimiento de una vulnerabilidad de forma previa a la creación del update, NO SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en cuanto la actualización esté preparada.
Si se asume el riesgo de que una vulnerabilidad se conozca internamente (dentro de Microsoft, quiero decir), y no se haga pública puesto que aún nadie ha dado la alarma, ésto sería bastante correcto, siempre que sólo Microsoft publicase sus fallos y lo hiciese junto con el parche correspondiente. Pero es que resulta que no funciona así la cosa. Más bien, al contrario. Muy rara vez Microsoft publica un parche para una vulnerabilidad que no sea ya conocida y, en bastantes ocasiones, un exploit está disponible antes de que Microsoft saque el parche correspondiente.
En cuanto a la afirmación de que el porcentaje es al contrario, es decir, que sólo el 0,1% de las veces ocurre como explico en el párrafo anterior, creo que el enlace siguiente será suficientemente explicativo, aquí hay una lista con 20 vulnerabilidades de Internet Explorer que aún esperan parche.
Mientras, Microsoft retira el soporte al único de sus sistemas operativos que no es vulnerable a través de IE a la más grave de esas 20 vulnerabilidades (Windows 95 y NT no cuentan, pues ya hace tiempo que se les retiró el soporte; curiosamente, tampoco son vulnerables).
Actualizado 26/12/2003
Hispasec ha publicado un resumen de los comentarios de sus lectores a la noticia en la que se reproducía la carta de Microsoft como respuesta a ésta. No tiene desperdicio.
16/12/2003 21:50
.