|
Que tan importantes son los fallos anunciados en el SP2
|
|
VSantivirus No. 1592 Año 8, lunes 15 de noviembre de 2004
Que tan importantes son los fallos anunciados en el SP2
http://www.vsantivirus.com/15-11-04a.htm
Por Angela Ruiz
angela@videosoft.net.uy
Luego que la empresa de seguridad Finjan publicara un comunicado de prensa donde asegura haber descubierto diez importantes agujeros en la seguridad de Windows XP, se ha desatado un debate acerca de este anuncio (ver "Advierten sobre diez graves fallos en Windows XP SP2",
http://www.vsantivirus.com/12-11-04.htm).
Microsoft reprendió públicamente a dicha firma privada, por liberar la información sobre estas vulnerabilidades encontradas en el Service Pack 2 de Windows XP.
Finjan se defiende diciendo que "millones de usuarios están en riesgo", ya que explotando
dichas vulnerabilidades, "los atacantes podrían silenciosamente y en forma remota, tomar posesión de una máquina con Windows XP que tenga instalado SP2, mientras el usuario simplemente navega en una página Web".
El jefe ejecutivo de esta compañía, dice haber dado a Microsoft los detalles técnicos completos, incluyendo el código de las diferentes pruebas de concepto que demuestran sus dichos, pero el gigante del software reaccionó ásperamente, sugiriendo que la advertencia de Finjan es exagerada.
"Nuestros análisis indican que lo que Finjan clama, es potencialmente engañoso, y posiblemente erróneo con respecto al alcance y la severidad de las pretendidas vulnerabilidades en el SP2 de Windows", dijo un portavoz de Microsoft.
"Una vez que Microsoft concluya la investigación de lo que Finjan proclama, y si realmente se encuentra una vulnerabilidad válida en Windows XP SP2, entonces tomaremos la acción inmediata más apropiada para ayudar a proteger a nuestros clientes", agregó el portavoz.
Según Finjan, los problemas son tan graves que un usuario puede estar en peligro por solo visitar una página Web. Un atacante podría también conseguir acceso remoto a los archivos de su víctima, o incluso obtener los permisos de ejecución en le zona de seguridad local. Los investigadores también dicen haber descubierto un error en el mecanismo de notificación de Windows XP SP2, cuando se descargan ejecutables, pudiendo éste ser eludido por los piratas informáticos, y permitiendo así inyectar código sin ninguna clase de advertencia.
Cuándo se le comentó a un ejecutivo de Finjan que Microsoft dudaba de la importancia de estos reclamos, éste afirmó que no se tratan de suposiciones teóricas. "Estas conclusiones se basan en la aplicación de código en y para cada una de esas diez vulnerabilidades".
Microsoft alienta a Finjan a respetar los principios de la divulgación responsable, y a que no revele detalles adicionales o comentarios sobre las supuestas vulnerabilidades, hasta que el propio fabricante complete sus investigaciones y responda apropiadamente para proteger a sus clientes.
Otras firmas de seguridad, piensan que este asunto demuestra una vez más la necesidad de establecer un protocolo de cooperación aceptable entre investigadores independientes y fabricantes de software. "Soy partidario de revelar la información requerida en el momento apropiado, y eso es por lo general cuando un parche ya está disponible. En este caso, usted debería preguntarse cuál es el espíritu de liberar información cuando el vendedor todavía está haciendo las investigaciones", afirma Gerhard Eschelbeck, de la firma consultora Qualys.
Finjan insiste que no hizo nada extraordinario. "Proporcionamos la divulgación completa y los detalles técnicos sólo al vendedor. Ningún código técnico detallado ni prueba de concepto se publicó jamás. La información que hemos publicado es básica, y pretende ayudar a las personas para que se protejan a sí mismos".
Rick Fleming, jefe de tecnología de la firma Digital Defense Inc. de Texas, piensa que una buena regla empírica sería darle a un vendedor de 30 a 60 días para crear y probar los parches respectivos, antes de liberar la información. "En un mundo perfecto, los dos lados deben trabajar juntos en el parche y coordinar la divulgación de la información cuando la solución esté lista. Eso es lo que sucede muchas veces, pero desgraciadamente, como sucede en este caso, es todavía un problema", dice Fleming.
Fleming opina además, que los vendedores de software deben asumir también parte de la culpa. "Algunos vendedores arrastran los pies cuando un asunto de seguridad es traído a su atención. Eso es un hecho, y es una queja legítima entre los investigadores".
En muchos casos, los descubridores independientes de vulnerabilidades trabajan sólo para el reconocimiento de sus pares, y por la publicidad engendrada. "Existe competencia entre los investigadores de seguridad, y encontrar un problema grande en SP2 es una gran cosa para un investigador", dice Fleming.
Pero la divulgación responsable siempre debe servir a los intereses del usuario final. Si cualquier elemento de esta revelación pone al usuario en riesgo, eso se convierte en irresponsable.
Marty Lindner del CERT, dice que el problema con la divulgación de vulnerabilidades se ha exacerbado, por el hecho de que las firmas investigadores suelen tener políticas diferentes. "Llega a ser una pregunta filosófica. En un extremo, están los que apoyan la divulgación completa, en el otro quienes no quieren decir absolutamente nada".
Ambos extremos suelen usar como justificación que benefician al usuario. Revelar toda la información puede hacer que una posible víctima esté advertida, y por lo tanto sea más cuidadosa a la hora de manejar sus aplicaciones. Pero también le da a los piratas herramientas para que exploten más extensivamente sus exploits.
Por otra parte, no revelar nada hasta que se publiquen los parches, puede hacer más difícil que alguien descubra prematuramente como usar maliciosamente un fallo, pero al mismo tiempo deja al usuario totalmente desprevenido, y lo que es peor, con una falsa sensación de seguridad.
Por el momento, existen dudas de la verdadera gravedad del anuncio de Finjan. Y lo cierto que la información publicada poco hace para prevenir al usuario, aunque si proporciona material para la prensa sensacionalista.
En VSAntivirus pensamos que avisar del hecho es importante para mantener atento al usuario responsable. Pero aún a pesar de ello, la protección extra que el SP2 proporciona, es algo que no debemos poner en discusión, y alentamos a los usuarios que aún no lo han hecho, a instalarlo. De todas las últimas amenazas, incluyendo virus, la mayoría solo afecta a quienes no usan Windows XP con SP2.
Relacionados
Advierten sobre diez graves fallos en Windows XP SP2
http://www.vsantivirus.com/12-11-04.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|