Microsoft ha publicat una crida a la comunitat professional dedicada a la seguretat informàtica per tal de no difondre els errors detectats als seus productes. L'objectiu de la companyia de Redmon és “no proporcionar informació gratuïta als hackers per a explotar les debilitats del sistema”. En un comunicat signat per Scott Culp, responsable del Microsoft Security Response Center, s'indica que l'“anarquia informativa” existent a l'actualitat és l'origen de l'èxit assolit pels últims cucs: “Code Red”, Lion, Sadmin, Nimda. Aquests cucs han aconseguit paralitzar xarxes d'ordinadors, destruir dades i, en alguns casos, infectar els ordinadors per tal que siguin vulnerables a futurs atacs. Microsoft comença la seva nota reconeixent coses ben òbvies: “Tots els cucs s'aprofiten de vulnerabilitats als sistemes atacats. Si no hi han vulnerabilitats de seguretat a Windows, Linux i Solaris no es podria haver escrit cap d'aquests [cucs]”. De la mateixa forma, “si bé la indústria s'ha d'esforçar per tal de produir productes més segurs, no és realista pensar que serem capaços mai d'assolir la perfecció. Tots els programes no trivials tenen bugs i els sistemes operatius moderns són qualsevol cosa excepte trivials. De fet, es poden incloure entre les coses més complexes que mai hagi fet la humanitat. Les vulnerabilitats de seguretat estan aquí per a quedar-s'hi”. Per tant, si no es pot eliminar el problema de fons, “es fa més crític que el tractem amb la màxima responsabilitat”. Això contrasta, segons l'opinió de Microsoft, amb la pràctica habitual de la comunitat professional de seguretat que és descrita com una “anarquia informativa”. Aquesta “anarquia” és publicar tots els problemes descoberts amb instruccions pas a pas per aprofitar-se de la vulnerabilitat. Microsoft afirma que “informar de l'existència d'una vulnerabilitat no ajuda pas als administradors que han de protegir les seves xarxes. En moltes ocasions cal instal·lar un pegat que canvia el comportament del sistema i protegeix davant la vulnerabilitat” mentre que “en d'altres ocasions la vulnerabilitat es pot eliminar si l'administrador fa una sèrie de canvis”. Per altra banda “a un administrador en veritat poc l'interessa saber com funciona una vulnerabilitat per tal de protegir al seu sistema”. En el referent al sistema actual d'aplicació de pegats, Microsoft reconeix que “hem de facilitar el mètode d'instal·lació dels pegats; això ho hem reconegut a un dels últims anuncis. Però si els mètodes actuals no són eficients, fa que encara sigui més important tractar una informació que pot potencialment destruir informació”. Microsoft sol·licita de la comunitat un “consens silenciós de la indústria” i per tal d'aconseguir-lo durant els propers mesos treballarà amb els líders del sector. Per què Microsoft fa aquesta crida? Segons la meva opinió personal, la posició de Microsoft fa servir uns plantejaments amb una lògica gairebé infantil: si ningú coneix els problemes, ningú els pot utilitzar. I per això demana a la indústria de seguretat informàtica que no faci publicitat de les vulnerabilitats existents als seus productes. Això podria arribar a funcionar si tothom, sense excepció, fes cas d'aquesta norma. Però potser hi ha alguna forma de garantir aquest “silenci universal”? Senzillament, plantejar que la forma de solucionar un problema passa per amagar el cap dins de la sorra és una gran hipocresia. Microsoft sembla estar farta d'haver de treballar en solucionar els problemes de seguretat dels seus productes, que l'obliga a publicar cada setmana un o més pegats que han de solucionar problemes més o menys importants i que el seu nom surti associat als diversos cucs que últimament ens estant inundant. Un cop més, Microsoft vol aparèixer davant l'opinió com a “una empresa que no té problemes, però si té solucions”. Xavier Caballé
xcaballe@quands.com Microsoft: It's Time to End Information Anarchy
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/columns/security/noarch.asp | 
