miércoles, 6 de mayo de 2015

Windows 10 y la vuelta atrás de Microsoft

Microsoft acaba de anunciar que con la llegada de Windows 10 las actualizaciones de seguridad, que se publican de forma periódica los segundos martes de cada mes, llegarán a los sistemas de los usuarios (PCs, tabletas y teléfonos) tan pronto estén disponibles.

Si bien este cambio solo se aplicará a los usuarios domésticos. Los usuarios corporativos podrán para aprovechar el nuevo "Windows Update for Business", un servicio gratuito para todos los dispositivos Windows Pro y Windows Enterprise, que permitirá a los administradores adoptar el sistema de actualización temprana de los usuarios domésticos.

Según el anuncio realizado en la conferencia Ignite de Microsoft, la compañía planea distribuir los parches a los usuarios de Windows 10 tan pronto como estos estén disponibles (en forma de 24/7). Esto claramente reducirá el tiempo que los ordenadores quedan vulnerables a nuevas amenazas. Se verán beneficiados por este nuevo sistema todos los dispositivos que ejecuten Windows 10, ya sean PCs, tabletas o teléfonos inteligentes.

Vuelta a los orígenes

Hace 14 años Microsoft introdujo su estrategia STPP, dentro de la cual se incluyó la muy polémica distribución de parches mensual. De esta forma, en 2003 empezaron a publicarse todas las actualizaciones de forma mensual. Así Microsoft conseguía librarse de golpe de las múltiples críticas que recibía, cada dos por tres, por la publicación continua de nuevos parches. Algo que sin duda dificulta la labor a los profesionales y es poco práctico para los usuarios finales que no tienen porqué estar pendientes continuamente de las actualizaciones.

Microsoft optó por simplificar el problema y reducirlo a lo absurdo: si no quieren muchos parches pequeños de forma periódica, daremos uno grande una vez al mes. La información sobre las actualizaciones de Microsoft se veía reducida de esta forma a una vez al mes. El impacto mediático también se veía reducido.

Esta medida fue duramente criticada en su momento en Hispasec, de hecho en aquel momento se veía más como un movimiento de márketing que algo realmente pensado en la seguridad de los usuarios.

El tiempo y la cantidad de compañías que han adoptado la política de distribución de parches de Microsoft (Adobe, Oracle…) parecía que habían dado la razón a Microsoft. Algunas adoptando incluso el mismo día para la publicación de sus actualizaciones. Lo cual, en la actualidad, puede convertir algunos segundos martes de mes en un verdadero infierno de actualizaciones para un administrador.

Finalmente las empresas y los usuarios finales, parece que habían aceptado el modelo de distribución de actualizaciones de forma mensual. Ahora Microsoft vuelve a sus orígenes y volverá a publicar los parches según estén disponibles. Pero esta vuelta atrás, no hace sino pensar que durante más de 12 años nos ha tenido engañados haciéndonos pensar que la distribución de parches mensual era el modelo más beneficioso para todos. ¿Por qué lo que antes era malo ahora es bueno?

Aunque como se indica esta nueva política solo afecta a los usuarios finales, y no a las empresas y corporaciones. Ahí puede estar gran buena parte de la diferencia, en una gran corporación con múltiples sistemas, instalaciones y plataformas, sí puede ser necesaria una cierta planificación para la instalación de los parches. Planificación que evidentemente no necesitan los usuarios finales, y que actualizarán su sistema en el momento que más les convenga, por ejemplo para realizar el casi obligado reinicio en cualquier actualización.

Pero según se plantea esta nueva política de distribución, ahora se abre otra clara problemática, los usuarios finales podrán recibir actualizaciones mucho antes que una corporación. Lo cual en esta ocasión abre una ventana de tiempo entre que una vulnerabilidad es parcheada en un sistema doméstico y que esa misma corrección esté disponible para un entorno corporativo.

Con un problema adicional. Como es sabido muchos exploits ven la luz en base a un análisis de ingeniería inversa sobre los parches una vez que son publicados, algo conocido como "Patch tuesday, exploit wednesday". ¿En qué medida una actualización publicada para un sistema doméstico, no podrá emplearse para conseguir un exploit que permita atacar empresas aun sin parchear y sin siquiera la posibilidad de obtener ese parche?

Es posible que aun quede mucho por aclarar sobre esta nueva política de distribución de parches. Pero esperamos que se aclararen todas las dudas, que sea lo mejor para los usuarios y que al contrario de lo que ocurrió hace años, no quede lugar para la polémica.

Más información:

Ignite 2015: New solutions fuel innovationand transformation for IT pros

Announcing Windows Update for Business

una-al-dia (19/02/2002) Microsoft STPP, ¿estrategia tecnológica o lavado de cara?

una-al-dia (13/10/2003) Microsoft: marketing vs. seguridad

una-al-dia (12/11/2003) Microsoft distribuye los parches de noviembre

una-al-dia (09/12/2003) Microsoft no distribuye los parches de diciembre

una-al-dia (15/12/2003) Explicaciones de Microsoft sobre su nueva política de actualiz

una-al-dia (24/12/2003) Respuestas a la política de actualizaciones de Microsoft

Windows 10 spells the end of Patch Tuesday



Antonio Ropero
Twitter: @aropero


martes, 5 de mayo de 2015

Vulnerabilidad de validación de certificados en Squid

Se ha solucionado una vulnerabilidad en Squid que podría permitir que un servidor evite la validación de certificados cliente.

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

El fallo está considerado importante debido a que podría permitir que servidores remotes realicen la validación de certificados cliente. El problema reside en la validación de los campos hostname/domain de un certificado X509. Algunos atacantes también pueden utilizar certificados válidos firmados por una Autoridad Certificadora para un dominio para abusar de un dominio ajeno.

La vulnerabilidad, con CVE-2015-3455, solo es explotable en sistemas Squid con "SSL-Bumb" con el modo de operación "client-first" o "bump". Se ven afectadas las versiones Squid 3.2 a 3.2.13, Squid 3.3 a 3.3.13, Squid 3.4 a 3.4.12 y Squid 3.5 a 3.5.3.

Los problemas están solucionados en las versiones Squid 3.5.4, 3.4.13, 3.3.14 y 3.2.14.
o se puede también aplicar los parches disponibles desde:
Squid 3.2:
Squid 3.3:
Squid 3.4:
Squid 3.5:

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2015:1
Incorrect X509 server certificate validation

Antonio Ropero

Twitter: @aropero