Microsoft ha publicado un llamamiento a la comunidad
profesional dedicada a la seguridad para que no se divulguen
los errores detectados en sus productos. El objetivo de la
compañía de Redmon es «no proporcionar información gratuita a
los hackers para explotar las debilidades del sistema».
En un comunicado firmado por Scott Culp, responsable del
Microsoft Security Response Center se atribuye a la «anarquía
informativa» existente en la actualidad el éxito alcanzado por
los últimos gusanos: Code Red, Lion, Sadmin, Nimda. Estos
gusanos han conseguido paralizar redes de ordenadores,
destruir datos y, en algunos casos, infectar los ordenadores
para que sean vulnerables a futuros ataques.
Microsoft empieza su nota reconociendo dos hechos obvios y
evidentes: «Todos los gusanos se aprovechan de
vulnerabilidades en los sistemas atacados. Si no existen
vulnerabilidades de seguridad en Windows, Linux y Solaris
ninguno de estos [gusanos] podría haber sido escrito». De la
misma forma «Si bien la industria debe esforzarse en producir
productos más seguros, no es realista esperar que seamos
capaces nunca de alcanzar la perfección. Todos los programas
no triviales contienen bugs y los sistemas operativos modernos
son cosa cualquier excepto triviales. De hecho, se pueden
incluir entre las cosas más complejas que nunca haya realizado
la humanidad. Las vulnerabilidades de seguridad están aquí
para quedarse».
Por tanto, sino puede eliminarse el problema de fondo «se hace
más crítico que lo manejemos de la forma más cuidadosa y
responsable». Esto contrasta, según la opinión de Microsoft,
con la práctica habitual de la comunidad profesional dedicada
a la seguridad que es descrita como «anarquía informativa».
Esta «anarquía» consiste en publicar todos los problemas
descubiertos con instrucciones paso a paso para aprovecharse
de la vulnerabilidad.
Microsoft afirma que «informar de la existencia de una
vulnerabilidad no ayuda a los administradores que deben
proteger las redes. En muchas ocasiones es necesario instalar
un parche que cambia el comportamiento del sistema y protege
de la vulnerabilidad» mientras que «en otras ocasiones la
vulnerabilidad puede eliminarse si el administrador hace una
serie de cambios». Por otra parte «a un administrador en
verdad poco le interesa saber como funciona una vulnerabilidad
en vistas a protegerse de la misma».
En lo referente al sistema actual de aplicación de parches,
Microsoft reconoce que «debemos facilitar el método de
instalación de parches; es algo que hemos reconocido en uno de
los últimos anuncios. Pero si los métodos actuales no son
eficientes, hace que todavía sea más importante como tratar la
información que puede potencialmente destruir información».
Microsoft solicita de la comunidad un «consenso silencioso de
la industria» y para conseguirlo durante los próximos meses
trabajará con los líderes del sector.
¿Por qué Microsoft hace este llamamiento?
En mi opinión personal, la posición de Microsoft utiliza unos
planteamientos con una lógica casi infantil: si nadie conoce
los problemas, nadie puede utilizarlos. Y para ello solicita
de la industria que no haga publicidad de las vulnerabilidades
en sus productos.
Esto podría funcionar si todos, sin excepción, siguieran esta
regla. ¿Pero acaso existe alguna forma de garantizar este
«silencio universal»? Sencillamente, plantear en la actualidad
que la forma de solucionar un problema es esconder la cabeza
bajo tierra es una gran hipocresía.
Microsoft parece estar harta de tener que trabajar en
solucionar los problemas de seguridad de sus productos, que
cada semana deba publicar uno o más parches para solucionar
problemas más o menos importantes y que su nombre aparezca
asociado a los diversos gusanos que últimamente nos están
inundando.
Una vez más, Microsoft quiere aparecer ante la opinión pública
como «una empresa que no tiene problemas, pero si tiene
soluciones».
xavi@hispasec.com
Deja una respuesta