Que tan importantes son los fallos anunciados en el SP2

15/11/2004 - 14:00 por perico | Informe spam
Que tan importantes son los fallos anunciados en el SP2
http://www.vsantivirus.com/15-11-04a.htm

Por Angela Ruiz
angela@videosoft.net.uy

Luego que la empresa de seguridad Finjan publicara un comunicado de prensa
donde asegura haber descubierto diez importantes agujeros en la seguridad
de Windows XP, se ha desatado un debate acerca de este anuncio (ver
"Advierten sobre diez graves fallos en Windows XP SP2",
http://www.vsantivirus.com/12-11-04.htm).

Microsoft reprendió públicamente a dicha firma privada, por liberar la
información sobre estas vulnerabilidades encontradas en el Service Pack 2
de Windows XP.

Finjan se defiende diciendo que "millones de usuarios están en riesgo", ya
que explotando eras vulnerabilidades, "los atacantes podrían
silenciosamente y en forma remota, tomar posesión de una máquina con
Windows XP que tenga instalado SP2, mientras el usuario simplemente navega
en una página Web".

El jefe ejecutivo de esta compañía, dice haber dado a Microsoft los
detalles técnicos completos, incluyendo el código de las diferentes
pruebas de concepto que demuestran sus dichos, pero el gigante del
software reaccionó ásperamente, sugiriendo que la advertencia de Finjan es
exagerada.

"Nuestros análisis indican que lo que Finjan clama, es potencialmente
engañoso, y posiblemente erróneo con respecto al alcance y la severidad de
las pretendidas vulnerabilidades en el SP2 de Windows", dijo un portavoz
de Microsoft.

"Una vez que Microsoft concluya la investigación de lo que Finjan
proclama, y si realmente se encuentra una vulnerabilidad válida en Windows
XP SP2, entonces tomaremos la acción inmediata más apropiada para ayudar a
proteger a nuestros clientes", agregó el portavoz.

Según Finjan, los problemas son tan graves que un usuario puede estar en
peligro por solo visitar una página Web. Un atacante podría también
conseguir acceso remoto a los archivos de su víctima, o incluso obtener
los permisos de ejecución en le zona de seguridad local. Los
investigadores también dicen haber descubierto un error en el mecanismo de
notificación de Windows XP SP2, cuando se descargan ejecutables, pudiendo
éste ser eludido por los piratas informáticos, y permitiendo así inyectar
código sin ninguna clase de advertencia.

Cuándo se le comentó a un ejecutivo de Finjan que Microsoft dudaba de la
importancia de estos reclamos, éste afirmó que no se tratan de
suposiciones teóricas. "Estas conclusiones se basan en la aplicación de
código en y para cada una de esas diez vulnerabilidades".

Microsoft alienta a Finjan a respetar los principios de la divulgación
responsable, y a que no revele detalles adicionales o comentarios sobre
las supuestas vulnerabilidades, hasta que el propio fabricante complete
sus investigaciones y responda apropiadamente para proteger a sus clientes.

Otras firmas de seguridad, piensan que este asunto demuestra una vez más
la necesidad de establecer un protocolo de cooperación aceptable entre
investigadores independientes y fabricantes de software. "Soy partidario
de revelar la información requerida en el momento apropiado, y eso es por
lo general cuando un parche ya está disponible. En este caso, usted
debería preguntarse cuál es el espíritu de liberar información cuando el
vendedor todavía está haciendo las investigaciones", afirma Gerhard
Eschelbeck, de la firma consultora Qualys.

Finjan insiste que no hizo nada extraordinario. "Proporcionamos la
divulgación completa y los detalles técnicos sólo al vendedor. Ningún
código técnico detallado ni prueba de concepto se publicó jamás. La
información que hemos publicado es básica, y pretende ayudar a las
personas para que se protejan a sí mismos".

Rick Fleming, jefe de tecnología de la firma Digital Defense Inc. de
Texas, piensa que una buena regla empírica sería darle a un vendedor de 30
a 60 días para crear y probar los parches respectivos, antes de liberar la
información. "En un mundo perfecto, los dos lados deben trabajar juntos en
el parche y coordinar la divulgación de la información cuando la solución
esté lista. Eso es lo que sucede muchas veces, pero desgraciadamente, como
sucede en este caso, es todavía un problema", dice Fleming.

Fleming opina además, que los vendedores de software deben asumir también
parte de la culpa. "Algunos vendedores arrastran los pies cuando un asunto
de seguridad es traído a su atención. Eso es un hecho, y es una queja
legítima entre los investigadores".

En muchos casos, los descubridores independientes de vulnerabilidades
trabajan sólo para el reconocimiento de sus pares, y por la publicidad
engendrada. "Existe competencia entre los investigadores de seguridad, y
encontrar un problema grande en SP2 es una gran cosa para un
investigador", dice Fleming.

Pero la divulgación responsable siempre debe servir a los intereses del
usuario final. Si cualquier elemento de esta revelación pone al usuario en
riesgo, eso se convierte en irresponsable.

Marty Lindner del CERT, dice que el problema con la divulgación de
vulnerabilidades se ha exacerbado, por el hecho de que las firmas
investigadores suelen tener políticas diferentes. "Llega a ser una
pregunta filosófica. En un extremo, están los que apoyan la divulgación
completa, en el otro quienes no quieren decir absolutamente nada".

Ambos extremos suelen usar como justificación que benefician al usuario.
Revelar toda la información puede hacer que una posible víctima esté
advertida, y por lo tanto sea más cuidadosa a la hora de manejar sus
aplicaciones. Pero también le da a los piratas herramientas para que
exploten más extensivamente sus exploits.

Por otra parte, no revelar nada hasta que se publiquen los parches, puede
hacer más difícil que alguien descubra prematuramente como usar
maliciosamente un fallo, pero al mismo tiempo deja al usuario totalmente
desprevenido, y lo que es peor, con una falsa sensación de seguridad.

Por el momento, existen dudas de la verdadera gravedad del anuncio de
Finjan. Y lo cierto que la información publicada poco hace para prevenir
al usuario, aunque si proporciona material para la prensa sensacionalista.

En VSAntivirus pensamos que avisar del hecho es importante para mantener
atento al usuario responsable. Pero aún a pesar de ello, la protección
extra que el SP2 proporciona, es algo que no debemos poner en discusión, y
alentamos a los usuarios que aún no lo han hecho, a instalarlo. De todas
las últimas amenazas, incluyendo virus, la mayoría solo afecta a quienes
no usan Windows XP con SP2.


Relacionados

Advierten sobre diez graves fallos en Windows XP SP2
http://www.vsantivirus.com/12-11-04.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com



Copyright 1996-2004 Video Soft BBS
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
15/11/2004 - 15:02 | Informe spam
si se conociesen pero por ahora solo hay rumores.. y los unicos, los que acabas de leer.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"MIENTEN" wrote in message news:
Que tan importantes son los fallos anunciados en el SP2
http://www.vsantivirus.com/15-11-04a.htm

Por Angela Ruiz


Luego que la empresa de seguridad Finjan publicara un comunicado de prensa
donde asegura haber descubierto diez importantes agujeros en la seguridad
de Windows XP, se ha desatado un debate acerca de este anuncio (ver
"Advierten sobre diez graves fallos en Windows XP SP2",
http://www.vsantivirus.com/12-11-04.htm).

Microsoft reprendió públicamente a dicha firma privada, por liberar la
información sobre estas vulnerabilidades encontradas en el Service Pack 2
de Windows XP.

Finjan se defiende diciendo que "millones de usuarios están en riesgo", ya
que explotando eras vulnerabilidades, "los atacantes podrían
silenciosamente y en forma remota, tomar posesión de una máquina con
Windows XP que tenga instalado SP2, mientras el usuario simplemente navega
en una página Web".

El jefe ejecutivo de esta compañía, dice haber dado a Microsoft los
detalles técnicos completos, incluyendo el código de las diferentes
pruebas de concepto que demuestran sus dichos, pero el gigante del
software reaccionó ásperamente, sugiriendo que la advertencia de Finjan es
exagerada.

"Nuestros análisis indican que lo que Finjan clama, es potencialmente
engañoso, y posiblemente erróneo con respecto al alcance y la severidad de
las pretendidas vulnerabilidades en el SP2 de Windows", dijo un portavoz
de Microsoft.

"Una vez que Microsoft concluya la investigación de lo que Finjan
proclama, y si realmente se encuentra una vulnerabilidad válida en Windows
XP SP2, entonces tomaremos la acción inmediata más apropiada para ayudar a
proteger a nuestros clientes", agregó el portavoz.

Según Finjan, los problemas son tan graves que un usuario puede estar en
peligro por solo visitar una página Web. Un atacante podría también
conseguir acceso remoto a los archivos de su víctima, o incluso obtener
los permisos de ejecución en le zona de seguridad local. Los
investigadores también dicen haber descubierto un error en el mecanismo de
notificación de Windows XP SP2, cuando se descargan ejecutables, pudiendo
éste ser eludido por los piratas informáticos, y permitiendo así inyectar
código sin ninguna clase de advertencia.

Cuándo se le comentó a un ejecutivo de Finjan que Microsoft dudaba de la
importancia de estos reclamos, éste afirmó que no se tratan de
suposiciones teóricas. "Estas conclusiones se basan en la aplicación de
código en y para cada una de esas diez vulnerabilidades".

Microsoft alienta a Finjan a respetar los principios de la divulgación
responsable, y a que no revele detalles adicionales o comentarios sobre
las supuestas vulnerabilidades, hasta que el propio fabricante complete
sus investigaciones y responda apropiadamente para proteger a sus clientes.

Otras firmas de seguridad, piensan que este asunto demuestra una vez más
la necesidad de establecer un protocolo de cooperación aceptable entre
investigadores independientes y fabricantes de software. "Soy partidario
de revelar la información requerida en el momento apropiado, y eso es por
lo general cuando un parche ya está disponible. En este caso, usted
debería preguntarse cuál es el espíritu de liberar información cuando el
vendedor todavía está haciendo las investigaciones", afirma Gerhard
Eschelbeck, de la firma consultora Qualys.

Finjan insiste que no hizo nada extraordinario. "Proporcionamos la
divulgación completa y los detalles técnicos sólo al vendedor. Ningún
código técnico detallado ni prueba de concepto se publicó jamás. La
información que hemos publicado es básica, y pretende ayudar a las
personas para que se protejan a sí mismos".

Rick Fleming, jefe de tecnología de la firma Digital Defense Inc. de
Texas, piensa que una buena regla empírica sería darle a un vendedor de 30
a 60 días para crear y probar los parches respectivos, antes de liberar la
información. "En un mundo perfecto, los dos lados deben trabajar juntos en
el parche y coordinar la divulgación de la información cuando la solución
esté lista. Eso es lo que sucede muchas veces, pero desgraciadamente, como
sucede en este caso, es todavía un problema", dice Fleming.

Fleming opina además, que los vendedores de software deben asumir también
parte de la culpa. "Algunos vendedores arrastran los pies cuando un asunto
de seguridad es traído a su atención. Eso es un hecho, y es una queja
legítima entre los investigadores".

En muchos casos, los descubridores independientes de vulnerabilidades
trabajan sólo para el reconocimiento de sus pares, y por la publicidad
engendrada. "Existe competencia entre los investigadores de seguridad, y
encontrar un problema grande en SP2 es una gran cosa para un
investigador", dice Fleming.

Pero la divulgación responsable siempre debe servir a los intereses del
usuario final. Si cualquier elemento de esta revelación pone al usuario en
riesgo, eso se convierte en irresponsable.

Marty Lindner del CERT, dice que el problema con la divulgación de
vulnerabilidades se ha exacerbado, por el hecho de que las firmas
investigadores suelen tener políticas diferentes. "Llega a ser una
pregunta filosófica. En un extremo, están los que apoyan la divulgación
completa, en el otro quienes no quieren decir absolutamente nada".

Ambos extremos suelen usar como justificación que benefician al usuario.
Revelar toda la información puede hacer que una posible víctima esté
advertida, y por lo tanto sea más cuidadosa a la hora de manejar sus
aplicaciones. Pero también le da a los piratas herramientas para que
exploten más extensivamente sus exploits.

Por otra parte, no revelar nada hasta que se publiquen los parches, puede
hacer más difícil que alguien descubra prematuramente como usar
maliciosamente un fallo, pero al mismo tiempo deja al usuario totalmente
desprevenido, y lo que es peor, con una falsa sensación de seguridad.

Por el momento, existen dudas de la verdadera gravedad del anuncio de
Finjan. Y lo cierto que la información publicada poco hace para prevenir
al usuario, aunque si proporciona material para la prensa sensacionalista.

En VSAntivirus pensamos que avisar del hecho es importante para mantener
atento al usuario responsable. Pero aún a pesar de ello, la protección
extra que el SP2 proporciona, es algo que no debemos poner en discusión, y
alentamos a los usuarios que aún no lo han hecho, a instalarlo. De todas
las últimas amenazas, incluyendo virus, la mayoría solo afecta a quienes
no usan Windows XP con SP2.


Relacionados

Advierten sobre diez graves fallos en Windows XP SP2
http://www.vsantivirus.com/12-11-04.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com



Copyright 1996-2004 Video Soft BBS

Preguntas similares