La ilógica lógica de Microsoft
Héctor Sánchez, responsable de Seguridad Corporativa de Microsoft Ibérica, ha escrito a Hispasec una carta en la que responde a las críticas que desde alli ha recibido la nueva política de distribución de parches mensual de Microsoft.
A continuación un extracto:
Si se asume el riesgo de que una vulnerabilidad se conozca internamente (dentro de Microsoft, quiero decir), y no se haga pública puesto que aún nadie ha dado la alarma, ésto sería bastante correcto, siempre que sólo Microsoft publicase sus fallos y lo hiciese junto con el parche correspondiente. Pero es que resulta que no funciona así la cosa. Más bien, al contrario. Muy rara vez Microsoft publica un parche para una vulnerabilidad que no sea ya conocida y, en bastantes ocasiones, un exploit está disponible antes de que Microsoft saque el parche correspondiente.
En cuanto a la afirmación de que el porcentaje es al contrario, es decir, que sólo el 0,1% de las veces ocurre como explico en el párrafo anterior, creo que el enlace siguiente será suficientemente explicativo, aquí hay una lista con 20 vulnerabilidades de Internet Explorer que aún esperan parche.
Mientras, Microsoft retira el soporte al único de sus sistemas operativos que no es vulnerable a través de IE a la más grave de esas 20 vulnerabilidades (Windows 95 y NT no cuentan, pues ya hace tiempo que se les retiró el soporte; curiosamente, tampoco son vulnerables).
Actualizado 26/12/2003
Hispasec ha publicado un resumen de los comentarios de sus lectores a la noticia en la que se reproducía la carta de Microsoft como respuesta a ésta. No tiene desperdicio.
A continuación un extracto:
...podemos poner un ejemplo reciente con el virus Blaster: La vulnerabilidad que utilizó Blaster (026) ha estado latente. El riesgo que ha supuesto durante esos años es mínimo, prácticamente inexistente. ¿Cuando aumenta el riesgo? Cuando se descubre y anuncia su existencia. De hecho, es solo 27 días después cuando Blaster entra en escena. Técnicas de Ingeniería inversa sobre el update publicado son en parte responsables de esta celeridad.
Si volvemos a pensar en el anuncio que hace Microsoft, tendremos mas claro que no perdemos en materia de seguridad desde el momento que asumimos que el riesgo es casi inexistente antes de cualquier tipo de anuncio, y solo a partir de entonces, el riesgo es elevado.
[...]
Pero aun así, en ese 0.1% de casos donde el orden de sucesos no ocurra de esta forma, como por ejemplo el conocimiento de una vulnerabilidad de forma previa a la creación del update, NO SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en cuanto la actualización esté preparada.
Si se asume el riesgo de que una vulnerabilidad se conozca internamente (dentro de Microsoft, quiero decir), y no se haga pública puesto que aún nadie ha dado la alarma, ésto sería bastante correcto, siempre que sólo Microsoft publicase sus fallos y lo hiciese junto con el parche correspondiente. Pero es que resulta que no funciona así la cosa. Más bien, al contrario. Muy rara vez Microsoft publica un parche para una vulnerabilidad que no sea ya conocida y, en bastantes ocasiones, un exploit está disponible antes de que Microsoft saque el parche correspondiente.
En cuanto a la afirmación de que el porcentaje es al contrario, es decir, que sólo el 0,1% de las veces ocurre como explico en el párrafo anterior, creo que el enlace siguiente será suficientemente explicativo, aquí hay una lista con 20 vulnerabilidades de Internet Explorer que aún esperan parche.
Mientras, Microsoft retira el soporte al único de sus sistemas operativos que no es vulnerable a través de IE a la más grave de esas 20 vulnerabilidades (Windows 95 y NT no cuentan, pues ya hace tiempo que se les retiró el soporte; curiosamente, tampoco son vulnerables).
Actualizado 26/12/2003
Hispasec ha publicado un resumen de los comentarios de sus lectores a la noticia en la que se reproducía la carta de Microsoft como respuesta a ésta. No tiene desperdicio.
0 comentarios