Microsoft: marketing vs. seguridad

Hispasec - una-al-día 13/10/2003

Todos los días una noticia de seguridad www.hispasec.com

-


Microsoft: marketing vs. seguridad

-

En octubre de 2001 Microsoft lanzaba Strategic Technology Protection Program
(STPP), que anunciaron como una iniciativa sin precedentes que mejoraría la
seguridad de sus sistemas operativos y su respuesta ante nuevos problemas de
seguridad. Pasados dos años, donde los incidentes de seguridad que
aprovechan vulnerabilidades de Microsoft no han hecho más que aumentar,
vuelven a realizar nuevas promesas.

De nuevo el marketing se adelanta a la tecnología. Durante una conferencia
de partners la pasada semana, Steve Ballmer anunció nuevas iniciativas que
harán de Windows un sistema menos vulnerable a los ataques. De entrada ha
adelantado que estas funcionalidades se ofrecerán gratuitamente en el
próximo service pack para Windows XP y Windows Server 2003. No sabemos si
este anuncio debe interpretarse como que los usuarios de versiones
anteriores de Windows, incluido Windows 2000, tendrán que migrar
forzosamente si quieren acceder a este nuevo y prometido nivel de seguridad.

Además del anuncio público, de cara a mitigar el aluvión de críticas que
está padeciendo Microsoft por el verano negro que ha protagonizado en
materia de seguridad, tan sólo han transcendido vagas pinceladas sobre las
medidas reales que implantarán. Desde la activación por defecto del firewall
que incluye Windows, hasta una nueva política de avisos, parches y
actualizaciones que pasarán a ser mensuales, en vez de los más periódicos
como nos tenía acostumbrado hasta ahora.

Este último punto parece más una idea de un creativo de marketing que de un
analista técnico. Desde el punto de vista de seguridad todo son desventajas.
En palabras de Amy Carroll, director de producto de la unidad de negocio de
seguridad de Microsoft, esta cambio facilitará a los usuarios la
localización e instalación de las actualizaciones de seguridad.

Microsoft ha recibido en los últimos tiempos muchas críticas por los
continuos parches de seguridad que deben aplicarse en Windows, lo que
dificulta la labor a los profesionales y es poco práctico para los usuarios
finales que no tienen porqué estar pendientes continuamente de las
actualizaciones. Parece que Microsoft ha optado por simplificar el problema
y reducirlo a lo absurdo: si no quieren muchos parches pequeños de forma
periódica, daremos uno grande una vez al mes.

Los riesgos son evidentes, por un lado la ventana de tiempo entre que una
vulnerabilidad es descubierta y la corrección está disponible será aun
mayor, por otro lado los macro-parches, que tienen que modificar múltiples
componentes del sistema, son más proclives a los problemas de compatibilidad
e interferencias con el software ya existente.

Como anécdota, la misión principal de la iniciativa STPP era disminuir el
tiempo que transcurre desde que es descubierta la vulnerabilidad hasta que
el sistema del cliente es actualizado, y de esta forma disminuir el riesgo
de que los sistemas resulten dañados. Ahora parece que dan la vuelta a la
tortilla.

Como ya hiciéramos en su día en Hispasec, a través de la noticia "Microsoft
STPP, ¿estrategia tecnológica o lavado de cara?", de nuevo hacemos hincapié
en que es una simplificación subjetiva y partidista del problema que sitúa
al usuario como principal responsable al no actualizar periódicamente sus
productos. A Microsoft le ha faltado de nuevo autocrítica en el
planteamiento de la estrategia, y el anuncio de iniciativas encaminadas a
corregir el problema en su origen. Más vale prevenir que curar.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/1814/comentar

Más información:

Microsoft to improve Windows security for free
http://www.ctv.ca/servlet/ArticleNe...ub=SciTech

Microsoft STPP, ¿estrategia tecnológica o lavado de cara?

http://www.hispasec.com/unaaldia/1213

Microsoft Strategic Technology Protection Program
http://www.microsoft.com/security/mstpp.asp



Bernardo Quintero

bernardo@hispasec.com