Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / General / Microsoft publica los detalles de su implementación Kerberos, o casi

Microsoft publica los detalles de su implementación Kerberos, o casi

Por Deja un comentario

Tras recibir innumerables críticas de todos los individuos y
organizaciones involucradas en el estándar Kerberos, debido a
«extensiones no documentadas» por parte de Microsoft, la compañía hace
públicas sus modificaciones al estándar. No obstante la licencia
incluida en la documentación hace que ésta sea completamente inutil.
Kerberos es un estándar de autentificación que posibilita que un
cliente acceda a recursos de red gracias a «tickets» proporcionados
por un servidor de autentificación centralizado. Kerberos es un
estándar del mundo UNIX, en servicio desde 1.988, pero la
implementación Kerberos de Windows 2000 introducía cambios no
documentados. Los lectores interesados en los detalles pueden consultar
el boletín Hispasec publicado el pasado 28 de Marzo.

Debido a las fuertes críticas recibidas, Microsoft ha terminado por
publicar en su web la especificación técnica de las modificaciones.
Ello sería encomiable si no fuera por la licencia que Microsoft incluye
en la documentación que, básicamente, no permite utilizar la
información contenida en dicho documento para desarrollar ningún
servicio compatible.

En otras palabras, aunque la especificación esté disponible, es ilegal
utilizarla para crear software compatible con la misma. Mi pregunta
entonces es, ¿para qué sirve publicar una norma si el cumplirla es
ilegal?.

La lógica de este movimiento de la compañía se me escapa. Sinceramente,
mi opinión es que Microsoft no ha cambiado las tácticas que han
provocado su juicio antimonopolio.

Por si fuera poco el agravio, el documento PDF se descomprime a través
de un ejecutable Windows. Es decir, Microsoft fuerza a toda persona
interesada en su documentación no ya a cumplir un acuerdo de
confidencialidad absolutamente fuera de lugar, sino a leer la
documentación desde una máquina con sistema operativo Windows.

Cuando se ejecuta el programa, imprime en pantalla en acuerdo de
confidencialidad, que el usuario debe aceptar para poder visualizar la
documentación. Lo curioso del caso es que si se abre el ejecutable
desde el programa WinZIP, es posible descomprimir la documentación sin
que se visualice ningún contrato en pantalla. Me pregunto si ello será
ilegal o no :-).

Claro que no sirve de mucho, ya que Micosoft se ha encargado de añadir
una nota al pié de todas las páginas del documento, indicando que si
no se ha aceptado el acuerdo de confidencialidad, no estoy «autorizado»
a leerlo.

Bill Gates ataca de nuevo.

Más información:
Microsoft To Publish Details of Kerberos Authorization Data in Windows
2000
http://www.microsoft.com/technet/security/kerberos/default.asp

Jeremy Allison: Microsoft document kerberos PAC format – with a catch…
http://linuxtoday.com/stories/21066.html

28-03-2000 – Kerberos y Microsoft Windows 2000
http://www.hispasec.com/unaaldia.asp?id=518
http://www.argo.es/~jcea/artic/hispasec57.htm

LinuxWorld: The Gates of Hades – Microsoft attempts to co-opt Kerberos
http://linuxtoday.com/news_story.php3?ltsn=2000-04-20-005-04-NW

Slashdot: Jeremy Allison Answers Samba Questions
http://linuxtoday.com/news_story.php3?ltsn=2000-03-24-005-04-OS

Microsoft finally publishes secret Kerberos format
http://www.infoworld.com/articles/en/xml/00/04/28/000428enkerpub.xml

The Economist: Microsoft: Deadly Embrace [& Extend of Kerberos]
http://linuxtoday.com/news_story.php3?ltsn=2000-04-04-029-06-SC

Inter@ctive Week: Kerberos Made To Heel To Windows 2000
http://linuxtoday.com/news_story.php3?ltsn=2000-02-28-016-06-SC

Jesús Cea Avión
jcea@hispasec.com

Interacciones del lector

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.