|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| El FBI le da la razón a Microsoft en el caso del UPnP | ||
|---|---|---|
VSantivirus No. 545 - Año 6 - Viernes 4 de enero de 2002 El FBI le da la razón a Microsoft en el caso del UPnP Por Jose Luis Lopez videosoft@videosoft.net.uy ¿Deberíamos decir, que la margarita se quedó sin pétalos, y que ganó Microsoft?. Es que el jueves, la oficina de investigación federal norteamericana, ha reconocido que se equivocó, o que al menos actuó precipitadamente al dar el consejo de deshabilitar el UPnP para estar debidamente protegidos, a pesar del parche liberado por Microsoft, y que éste aseguraba era suficiente. La marcha atrás del FBI, está basada "en una revisión cuidadosa de los materiales técnicos y escritos proporcionados por Microsoft" y después de trabajar con un grupo de investigadores del CERT Coordination Center de la Carnegie Mellon University. Las fallas fueron reveladas en su momento por el propio Microsoft, y constituían un grave riesgo para la seguridad de todas las computadoras, permitiendo el robo de toda su información. Afectaban a aquellos que utilizaban o tenían instalado el nuevo dispositivo de control del hardware en forma remota (UPnP). Microsoft ofreció una actualización en su sitio, que eliminaba la vulnerabilidad anunciada. Pero al día siguiente (21 de diciembre), el FBI instaba a los consumidores y a las grandes corporaciones ir más allá, y desactivar en Windows el UPnP, rasgo que provocaba los errores (más detalles en los artículos indicados en las referencias). Sin embargo, también los consejos del FBI fueron catalogados por muchos expertos como erróneos, sin contar que los pasos dados, olvidaban eliminar el servicio realmente culpable de la falla, el protocolo SSDP (Simple Service Discovery Protocol o Protocolo de Descubrimiento de Servicio Simple). "El FBI cometió un error honrado", dijo un experto de seguridad independiente, "todo este material es tan complicado. Muestra que ni siquiera los expertos pueden ser infalibles". Más allá del final de esta dura controversia, hay algunas cosas (ya dichas en un artículo anterior) que creemos conveniente reiterar: 1. El parche de Microsoft soluciona el desbordamiento de búfer. Pero no asegura que no surjan otros problemas. Toda nueva tecnología los tiene, y a medida que surjan artefactos que utilicen el UPnP, podrían revelarse nuevas fallas. Tal vez sería bueno que el propio cortafuegos implementado por Microsoft en Windows XP, previniera esto, cosa que no hace (esa es la razón por la que MS aconseja bloquear los puertos 1900/UDP y 5000/TCP, los que son usados por el SSDP y el UPnP). 2. Si a usted no le preocupa o no le importa que en el futuro su refrigerador pueda comunicarse con el supermercado para autoabastecerse, la utilidad de Steve Gibson (UnPnP) que mencionamos en nuestro boletín 538, realmente acaba con todos los servicios involucrados, incluido el SSDP. Referencias VSantivirus No. 543 - 2/ene/02 UPnP ... Otra vez... Uff!! http://www.vsantivirus.com/02-01-02.htm VSantivirus No. 538 - 28/dic/01 UPnP... Deshojando la margarita con Windows XP (Menciona UnPnP, la utilidad de Steve Gibson) http://www.vsantivirus.com/unpnp.htm La utilidad UnPlug n'Pray (archivo de 22Kb) http://grc.com/files/UnPnP.exe UnPlug n'Pray (artículo) http://grc.com/UnPnP/UnPnP.htm VSantivirus No. 533 - 23/dic/01 Windows XP, las opiniones enfrentadas del FBI y Microsoft http://www.vsantivirus.com/23-12-01.htm VSantivirus No. 533 - 23/dic/01 Grave falla en los servicios UPnP (MS01-059) http://www.vsantivirus.com/vulms01-059b.htm VSantivirus No. 531 - 21/dic/01 Windows XP vulnerable al acceso no autorizado (MS01-059) http://www.vsantivirus.com/vulms01-059.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
