miércoles, 27 de abril de 2005

Repercusión de la actualización defectuosa de Trend Micro

Como informamos anteriormente, una actualización del patrón de firmas
de Trend Micro distribuida el pasado viernes causó que sistemas que
utilizan su antivirus se bloquearan por completo. Varios días después
del incidente ya se han publicado algunos datos sobre su repercusión.

Según datos estimados, ofrecidos por la propia central de Trend Micro,
más de 4.500 ordenadores se bloquearon, 652 compañías se han visto
afectadas por el problema, y su servicio de soporte ha recibido más
de 370.000 llamadas telefónicas en relación a la actualización
defectuosa.

Respecto a los detalles técnicos, el lunes Trend Micro ofreció más
información, además de reconocer que cometieron un doble error. Por
un lado a la hora de programar una rutina de descompresión que se
incluía en la actualización, y por otro lado en la ausencia de las
pertinentes pruebas de control que se deben realizar antes de su
publicación, precisamente para detectar este tipo de problemas.

En relación a los sistemas afectados, la lista se amplía:

Trend Micro Scan Engine 7.500 o superior
OfficeScan versiones 5.58 hasta la 7.0 en Windows XP SP2
OfficeScan versiones 6.5 hasta la 7.0 en Windows 2003 SP1
ServerProtect parar NT 5.58 en Windows 2000 SP4
ServerProtect for NT 5.58 Normal Server on Windows 2003 SP1
Client/Server/Messaging Suite 2.0 para SMB
Client/Server Suite 2.0 para SMB
PC-cillin (VirusBuster)
PC-cillin (VirusBuster) 2002 (PCC 9) en Windows ME y Windows XP SP2
PC-cillin (VirusBuster) 2003 (PCC 10) en Windows ME y Windows XP SP2
PC-cillin Internet Security (VirusBuster) 2004 (PCC 11) en Windows ME y Windows XP SP2
PC-cillin Internet Security (VirusBuster) 2005 en Windows XP SP2

Aunque la incidencia ha sido global, ha golpeado especialmente a
Japón, donde Trend Micro mantiene una mayor cuota de mercado. La
compañía de ferrocarriles y metro, hospitales, y varios medios de
comunicación, son algunos de los ejemplos de redes afectadas que han
salido a la luz pública.

Además de las críticas que pueden leerse por Internet, tanto de
profesionales corporativos como clientes particulares, y del daño
global a su imagen de marca, se especula sobre la repercusión directa
en las cuentas de Trend Micro. Aunque habrá que esperar para conocer
el impacto real, ya se ha observado que el incidente ha acentuado la
tendencia a la baja que las acciones de la compañía arrastraban desde
principios de año.

Dejando un lado el caso concreto de Trend Micro, supongo que el
incidente habrá hecho reflexionar al resto de casas antivirus sobre
las actualizaciones de sus productos. Ya no sólo al hecho de los
controles de calidad que deben pasar antes de su publicación, sino
a otros riesgos que acechan a este tipo de esquemas.

Imaginemos por un momento una actualización maliciosa, colocada por
un atacante que haya podido introducirse en sus servidores. En
cuestión de minutos ese código malicioso sería descargado por miles
y miles de sistemas. Evidentemente hay formas de mitigar este tipo
de ataques, por ejemplo utilizando criptografía de llave pública.
Pero, a día de hoy, ¿cuantos productos antivirus incluyen
comprobación de firma digital antes de instalar las actualizaciones?

Por el lado de los clientes también cabe alguna que otra reflexión.
Según publican, a la pregunta de si piensan compensar a los clientes
tanto corporativos como particulares por los daños ocasionados,
Trend Micro, dentro de lo previsible, ha contestado que no lo tienen
planeado.

¿Hasta que punto somos dependientes de un fallo de software?, y
sin embargo, ¿por qué somos tan poco exigentes?.

¿Se han leído alguna vez al completo la licencia de cualquier
producto de software?, algo que aceptamos automáticamente al
instalarlo en nuestros sistemas. Más o menos podemos encontrar
algo similar:

Se considera que acepta el Software. El Software se suministra
TAL CUAL sin garantías. En la medida permitida por la ley, "X"
rechaza toda posible garantía, incluyendo las concernientes a
la calidad, seguridad o utilidad del software. "X" no hace
representaciones o garantías en cuando a lo verídico, la
exactitud o lo completo de ningún estatuto, información o
material concerniente al software, En ningún caso podrá "X"
ser responsable por ningún daño indirecto, punitivo, especial
incidental o consecuencial.

En definitiva, firmamos un documento en blanco, aceptamos que
el programa, llegado el caso, nos formatee el disco duro.

Por otro lado, no se de que me extraño, al fin y al cabo la
mayoría de la gente ha aceptado como normal que de vez en
cuando el sistema le de un pantallazo azul, que si algo falla
la solución sea reiniciar, o que es normal que cada cierto
tiempo haya que formatear el sistema para "limpiarlo".

¿Debemos exigir más a la informática?

¿O no queda más remedio que aceptarla tal cual?


Bernardo Quintero
bernardo@hispasec.com


Más información:

Pattern File 2.594.00 may cause high CPU utilization
http://www.trendmicro.com/en/support/pattern594/overview.htm

Trend Micro: No Compensation for Faulty Update
http://www.pcworld.com/news/article/0,aid,120577,00.asp

Bug in antivirus software hits LANs at JR East, some media
http://www.japantimes.com/cgi-bin/getarticle.pl5?nn20050424a2.htm

Trend Micro antivirus fix wasn't tested before release
http://www.asahi.com/english/Herald-asahi/TKY200504260127.html

Actualización de TrendMicro bloquea los sistemas de sus clientes
http://www.hispasec.com/unaaldia/2375/