martes, 19 de febrero de 2002

Microsoft STPP, ¿estrategia tecnológica o lavado de cara?

La iniciciativa de Microsoft, Strategic Technology Protection Program
(STPP), ha generado opiniones para todos los gustos, tanto a favor
como en contra. El simple hecho de que Microsoft plantee una nueva
estrategia de seguridad ya es de agradecer, si bien las últimas
actuaciones e incidencias siguen alimentando el escepticismo.
Dejando a un lado la crítica gratuita a la que Microsoft es sometida
constantemente, en cualquiera de sus actuaciones, por una comunidad
de detractores incondicionales, hay que reconocer que STPP puede
suponer un antes y un después para la seguridad informática. No ya por
la estrategia en sí, visto que de momento no aporta nada nuevo, sino
por el poder de arrastre que las iniciativas de Microsoft tienen en
el sector.

Bajo este prisma, STPP será beneficioso para todos en lo que a
concienciación se refiere, si bien aun está por comprobar el efecto
real de la estrategia, algo que sólo podrá verse a medio-largo plazo,
por mucho que se empeñen tanto seguidores como detractores en evaluar
el impacto de la iniciativa en sus comienzos.

En estos momentos estamos ante una campaña de marketing acompañada
por algunas medidas de urgencia de sobra conocidas en el sector,
basadas en su mayoría en soluciones que Microsoft ya tenía a
disposición del público, aunque tal vez no fueran muy conocidas.
Tanto la actualización y notificación automatizada, como las
herramientas de chequeo, ya estaban aquí.

Hoy día es fácil encontrar que la mayoría de los productos nos
avisen y se autoactualicen de forma automática a través de Internet,
desde la utilidad donde reproducimos los MP3, pasando por la
actualización automatizada y centralizada de los antivirus en una
red corporativa. Microsoft no era una excepción, ya vimos como a
partir de Windows 98 incluyó Windows Update, una herramienta que a
demanda chequeaba, notificaba y lanzaba de forma automática las
nuevas actualizaciones. Otras herramientas menos conocidas, como
HFNetChk, llevan también un tiempo entre nosotros.

STPP, de momento, es más de lo mismo, con el anuncio de que las
nuevas herramientas incorporarán administración centralizada para
entornos corporativos y notificación automática, no a demanda del
usuario como hasta ahora. Algo que parece obvio pero que no deja
de ser un avance positivo.

En palabras de Microsoft, con esta estrategia se intenta disminuir
el tiempo que transcurre desde que es descubierta la vulnerabilidad
hasta que el sistema del cliente es actualizado, y de esta forma
disminuir el riesgo de que los sistemas resulten dañados.

Aunque es cierto, esto no deja de ser una simplificación subjetiva
y partidista del problema que sitúa al usuario como principal
responsable al no actualizar periódicamente sus productos. A
Microsoft le ha faltado autocrítica en el planteamiento de la
estrategia y el anuncio de iniciativas encaminadas a corregir el
problema en su origen. Esperamos que esto sea sólo un problema de
comunicación, y que internamente la estrategia STPP tengas otras
actuaciones de cara a mejorar el diseño de su software y las
actualizaciones.

Con esto no quiero decir que Microsoft, ni nadie, pueda concebir
programas 100% seguros y libres de fallos. Las vulnerabilidades
pueden aparecer en cualquier sistema y no dejarán de existir. Pero
tampoco es menos cierto que Microsoft tiene una responsabilidad
muy directa en muchos problemas, y sigue evidenciándolos con nuevos
incidentes aun en plena campaña STPP (graves problemas de diseño
en la protección contra desbordamiento de buffer en
Visual C++.Net, o los fallos del último parche para su navegador
Internet Explorer 6).

Por ejemplo, si nos fijamos tan sólo en lo que a actualizaciones y
parches se refiere, motivo principal de la campaña STPP, podemos
observar algunos problemas que siguen sin resolver.

- Regresión de vulnerabilidades

Microsoft, en comparación con el resto de plataformas, tiene el
mayor índice de regresión de vulnerabilidades. Es decir, la
instalación de un parche ha provocado en ocasiones que en nuestro
sistema aparezcan vulnerabilidades anteriores ya corregidas.

- Aparición de nuevas vulnerabilidades

En ocasiones se aprovechan los parches de seguridad para incluir
actualizaciones con nuevas funcionalidades, obviamente esto aumenta
el riesgo de aparición de nuevas vulnerabilidades.

- Problemas de inestabilidad

En parte por los puntos anteriores, son muchos los casos detectados
de incompatibilidades o mal funcionamiento del sistema con el
hardware/software ya existente tras haber realizado una actualización
de seguridad, fomentando la máxima "si funciona, no lo toques",
contraria a la propia iniciativa STPP.

- Discriminación según lengua

Otra máxima conocida entre administradores de servidores Windows es
"siempre versión USA". No en vano esta versión es la primera en
disponer de las soluciones a problemas de seguridad críticos, mientras
que el resto de versiones de otros lenguajes deben permanecer
vulnerables durante días, incluso semanas, a la espera de su
correspondiente parche. La propia STPP ha evidenciado este hecho,
con un desfase de meses entre la presentación de la iniciativa en
USA y España, por ejemplo.

En definitiva, la campaña STPP es beneficiosa, si bien debe ser
considerada sólo como un primer paso en la carrera que Microsoft
debe seguir para lograr un mayor grado de seguridad en sus productos.
Esperamos que así sea.



Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft lanza en España su iniciativa STPP
http://www.hispasec.com/unaaldia.asp?id=1212