La iniciativa de Microsoft, "Strategic Technology Protection Program" (STPP) ha generat opinions per a tots els gustos, tant a favor com en contra. El simple fet que Microsoft plantegi una nova estratègia de seguretat ja és d'agrair si bé les últimes actuacions i incidència segueixen alimentant l'escepticisme.
Deixant de banda la crítica gratuïta a la que es sotmet Microsoft de forma constant, en qualsevol de les seves actuacions per una comunitat de detractors incondicionals, cal que reconèixer que STTP pot suposar un abans i un després per a la seguretat informàtica. No només per l'estratègia pròpiament dita, ja que ara per ara no aporta res de nou, sinó per la capacitat que té Microsoft per arrossegar a la resta del sector.
Des d'aquest punt de vista, STTP serà beneficiós per a tothom si bé encara està per comprovar l'efecte real de l'estratègia ja que això només es podrà veure a mig-llarg plaç, per molt que tant els seguidors com els detractors en avaluar l'impacte de la iniciativa als seus començaments.
En aquests moments, estem davant d'una campanya de marketing acompanyada per algunes mesures d'urgència de sobra conegudes al sector, basades bàsicament en solucions que Microsoft ja tenia a disposició del públic encara que potser no són massa conegudes. Tant l'actualització i la notificació automatitzada, com les eines de comprovació ja estaven aquí.
Avui en dia és fàcil trobar que la majoria dels productes ens avisin i s'actualitzin de forma automàtica a traves d'Internet, des de la utilitat on reproduïm els MP3 passant per l'actualització automatitzada i centralitzada dels antivírics o una xarxa corporativa. Microsoft no era pas una excepció, ja que des de Windows 98 inclou el Windows Update, una eina que, sota la petició de l'usuari, verifica, notifica i realitza la instal·lació de forma automàtica les noves actualitzacions. Altres eines menys conegudes, com HFNetChk també porten un cert temps amb nosaltres.
STPP de moment, és més del mateix, amb l'anunci de que les noves eines incorporaran l'administració centralitzada per a entorns corporatius i la notificació automàtica, no a demanda de l'usuari com fins ara. Una cosa que sembla obvia però no deixa de ser un avanç positiu.
En paraules de Microsoft, amb aquesta estratègia s'intenta disminuir el temps que passa entre el descobriment d'una vulnerabilitat fins que el sistema del client és actualitzat i, d'aquesta forma, disminuir el risc de que els sistemes puguin patir danys.
Malgrat que això és cert, no deixa de ser una simplificació subjectiva i partidista del problema que situa a l'usuari com a principal responsable al no realitzar de forma periòdica l'actualització dels seus productes. A Microsoft li ha mancat capacitat d'autocrítica en el plantejament de l'estratègia i l'anunci de mesures encaminades a corregir el problema al seu origen. Esperem que això només sigui un problema de comunicació i que, internament, l'estratègia STPP tingui altres actuacions de cara a millorar el disseny del seu software i les actualitzacions.
Amb això no vull dir que Microsoft, ni ningú, pugui concebre programes 100% segurs i lliures d'errors. Les vulnerabilitats poden aparèixer en qualsevol sistema i no deixaran d'existir. Però tampoc és menys cert que Microsoft té una responsabilitat molt directa a molts problemes i que això és continua evidenciant encara en plena campanya STPP (greus problemes de disseny a la protecció contra desbordament de memòria intermèdia a Visual C++ .NET o els últims problemes per al seu navegador Internet Explorer).
Per últim, si ens fixem únicament en allò que fa referència a les actualitzacions i pegats, motiu principal de la campanya STPP, podem observar alguns problemes encara sense resoldre:
Regressió de vulnerabilitats
Microsoft, en comparació amb la resta de plataformes, té el major índex de regressió de vulnerabilitats. És a dir, la instal·lació d'un pegat ha provocat en ocasions que tornin a sorgir vulnerabilitats per les que s'havia aplicat un pegat amb
anterioritat.
Aparició de noves vulnerabilitats
En ocasions s'aprofiten els pegats de seguretat per tal d'incloure noves funcionalitats. Òbviament això augmenta el risc d'aparició de noves vulnerabilitats.
Problemes d'inestabilitat
En part pels punts anteriors, són molts els casos detectats d'incompatibilitats o mal funcionament del sistema amb el hardware/software ja existent un cop s'ha realitzat una actualització de seguretat, fomentant la màxima "si funciona, no ho toquis" contraria a la seva pròpia iniciativa STTP.
Discriminació per l'idioma
Una altra màxima coneguda entre els administradors de servidors Windows és "sempre fer servir la versió americana". El motiu és que aquesta versió sempre és la primera a disposar de les solucions a problemes de seguretat crítics mentre que la resta de versions en altres idiomes han de romandre vulnerables durant uns quants dies. La pròpia STPP evidencia aquest fet, amb una diferència de mesos entre la presentació de la iniciativa a Estats Units i a l'Estat espanyol, per exemple.
En definitiva, la campanya STTP és beneficiosa si bé ha de ser considerada únicament com el primer pas de Microsoft en la seva cursa per oferir un major grau de seguretat als seus productes. Esperem que sigui així.
Més informació
Microsoft presenta a Espanya la seva iniciativa STTP
http://www.quands.cat/unaperdia/arxiu/20020218.html
|
