Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Opinión: Ojos que no ven...
|
|
VSantivirus No. 493 - Año 6 - Martes 13 de noviembre de 2001
Opinión: Ojos que no ven...
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Creemos que Microsoft ha errado el camino. Luego de su pedido a la comunidad informática, de no publicar los fallos de seguridad descubiertos en sus programas, al menos hasta que no estuvieran los parches respectivos, no ha recibido más que una andanada de anuncios de nuevas fallas en sus productos.
Véase por ejemplo lo de las cookies, que obligó a Microsoft a emitir un boletín de seguridad para avisar del problema, sin tener ningún parche disponible aún.
La semana pasada, cinco importantes empresas de seguridad fueron invitadas por la compañía de Bill Gates para una reunión en California, donde se firmó una especie de pacto o "código de conducta".
Básicamente, estas empresas se comprometieron a no brindar información detallada sobre los fallos encontrados, hasta pasado un plazo de 30 días, dando tiempo a la creación del parche respectivo.
Y a propósito, si la mala suerte con los parches que ha tenido Microsoft en las últimas semanas, sigue igual, ¿se creará otro código de conducta para no revelar las fallas de los parches hasta que estos funcionen correctamente?.
Pero veamos unos hechos. No estamos criticando las fallas en si mismas. Cualquier software puede presentar fallas, unas veces por la mala implementación de un algoritmo. Otras (la mayoría), por no prever todas las posibles acciones de un usuario. Acciones que no debería hacer (por no ser necesarias), pero que tarde o temprano, cualquiera frente a un teclado las va a intentar (¿conoce las leyes de Murphy?).
Quienes alguna vez programamos algo, sabemos que este punto (el prever todo lo que se le puede llegar a ocurrir frente al monitor a un usuario), es la más delicada, costosa, y la que más tiempo consume, siempre que queramos brindar un producto final robusto. Y esto aumenta en forma proporcional, mientras más grandes y sofisticados sean los programas.
También es claro que los productos de Microsoft, tal vez porque son los más usados a pesar de las críticas, también son los más examinados y literalmente desmenuzados en busca de errores.
Lo que está mal desde nuestro punto de vista, es el concepto de esconder esta información.
La idea tal vez sea honesta, impedir que programadores o crackers con malas intenciones, se aprovechen de los errores, causando más daño aún. Por aquello de "ojos que no ven...", o como decimos vulgarmente en el barrio, "para no avivar giles...".
Pero nuestra opinión personal es que no es correcto hacer eso (tal vez porque se parece demasiado a una censura).
Y no es correcto por una sencilla razón, para la cuál valga un solo ejemplo, la falla en el Passport.
Esta tecnología usada en el sistema de validación on-line de Microsoft en sitios como Hotmail, MSN y sobre todo en su e-wallet (cartera electrónica), podía permitir a un atacante robar información personal, incluidos sus números de tarjetas de crédito.
Esto fue revelado al público, antes que Microsoft hubiera solucionado el problema.
Ahora bien, si se hubiera aplicado el código de conducta mencionado antes, eso hubiera significado lisa y llanamente que durante 30 días el sistema hubiera estado vulnerable permitiendo la acción maliciosa de unos pocos. El haberlo hecho público, no solo obligó a su cierre (por unas horas) hasta solucionar el problema, sino que impidió que se cometiera algún fraude.
¿No es esto suficiente razón como para explicar porqué pensamos que la actitud de Microsoft está equivocada?.
Hace mucho se planteó respecto a nuestro sitio un dilema parecido. ¿Era correcto en algunos casos revelar fallos, virus o técnicas maliciosas, antes que existieran soluciones para ellas?. La mayoría de nuestros lectores dijo que si.
De allí nuestra filosofía de que estar informados, es el primer paso para estar seguros. El saber que algo es posible, nos prepara para prevenir males mayores.
Es una opinión claro. Y si bien ya existieron encuestas sobre el tema (ver "Relacionados"), creemos que es justo escuchar otras opiniones, por lo que invitamos a nuestros lectores a brindarnos las suyas.
Si lo desea, envíe su mensaje a opinion@videosoft.net.uy.
Los correos más representativos, serán publicados en nuestros próximos números.
Relacionados:
VSantivirus No. 484 - 4/nov/01
Passport, vulnerable al robo de información personal
http://www.vsantivirus.com/04-11-01.htm
VSantivirus No. 483 - 3/nov/01
Su opinión: Microsoft y la seguridad
http://www.vsantivirus.com/03-11-01.htm
VSantivirus No. 470 - 21/oct/01
Su opinión: ¿Es correcto revelar fallas detalladamente?
http://www.vsantivirus.com/21-10-01.htm
VSantivirus No. 470 - 21/oct/01
El final de los virus sociales
http://www.vsantivirus.com/virus-sociales.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|