Vista y Windows 7: ¿Se abre la veda?
Escrito por: Borja Marcos mac os x, seguridad, microsoft, windows, vista, sdl
10 Sep 2009
Una de las grandísimas novedades, según dicen, en Windows Vista, es un generoso despliegue de contramedidas contra distintos tipos de ataques. Además, tambiíén dicen, se dedicaron a formar a la plantilla para que no metiera la pata. Nótese, de cualquier manera, que las medidas defensivas (que no de seguridad) anunciadas por Microsoft para Windows Vista están asimismo presentes en Windows 7, y se anuncian como La Gran Ventaja frente al resto de los sistemas, que por obra y gracia de alguna imaginación calenturienta, ¡ahora son más inseguros!.
Me sorprende que toda la masa de blogs que se dedican a comentar estos temas no haya saltado con esta noticia: Un problema de seguridad en el servicio de compartir archivos de Windwos Vista, 2008 Server y (según algunos, esto es contradictorio) Windows 7, puede emplearse para hacer rearrancar una máquina e incluso para tomar el control.
(Puede verse el enlace en el ISC de SANS ).
Y ya está, punto en boca todo el mundo. Usual business, que dicen los ingleses. Sale un fallo, sale el arreglo, se lleva a cabo el ritual de la instalación de parches y aquí no ha pasado nada.
¿Nada? Veamos. Llevo ya años (desde que los pollos descabezados de Redmond dejaron de correr a oscuras y se dirigieron a la Luz) leyendo y escuchando que esto no iba a volver a pasar. Que las medidas "de seguridad" (insisto, contramedidas, es MUY distinto) lo iban a evitar. Incluso veo que se pone a parir a otros fabricantes que hacen sus deberes pero a su manera (ejemplo, Apple) porque no han hecho lo mismo.
Entonces, ¿en quíé quedamos? ¿Dónde están las medidas? ¿Funcionan? ¿No funcionan?
Así en plan especulativo veo dos explicaciones:
1) Las medidas (1) no se aplicas en este caso. ¿Por quíé? Por lo mismo que eludieron medidas de seguridad debido a decisiones erróneas en el pasado. Metieron una pata semejante en el año 2000 con XP, y se pagó con sangre (2).
2) La contramedida no sirve de gran cosa.
Si la explicación es la primera, que es la que creo probable, deja patente una verdad como un templo, que es: ninguna medida de seguridad puede combatir la estupidez humana. Traducido al lenguaje de la seguridad informática, ninguna contramedida es una protección eficaz contra un fallo de diseño, que es lo que creo que ha ocurrido en este caso.
Teóricamente se había acometido una revisión en profundidad de su proceso de desarrollo de software. Hasta le pusieron nombrecito (Security Development Lifecycle ), con la consiguiente reprobación y desdíén hacia otros fabricantes que no han puesto a su departamento de marketing a "verborrear" de forma similar sobre el particular.
Lo verdaderamente divertido de todo esto es que, como pongo en el título de este exabrupto, creo que ahora se abrirá la veda. Hasta ahora la cuota de mercado de Windows Vista es más o menos similar a la cuota de mercado de Apple. Al menos entre las visitas a este blog veo que los números son comparables. (Steve Ballmer tendría algo que decir, calificó la cuota de Apple de error de redondeo .
Y se han empleado argumentos muy divertidos para afirmar que Vista/7 son seguros, Mac OS X y Linux son inseguros, y si los usuarios de Mac no sufren virus es porque son poquitos y "vuelan debajo del radar".
Pero veamos:
- Mac OS X tiene pocos incidentes porque es minoritario
- Windows Vista tiene pocos incidentes porque es seguro
- Windows Vista es tan minoritario como Mac OS X.
¿No canta esto un poquitín?
Resumiendo, que esto queda muy largo: Si se abre la veda, como es previsible, esto se va a poner interesante. Yo voy preparando el paquete de palomitas. Veremos, si la cuota de mercado de Windows 7 crece como es previsible, quíé pasa, y quiíén sufre más incidentes.
A lo mejor me equivoco, claro está, y resulta que han hecho los deberes de verdad. Nada me gustaría más. De hecho, Bill Gates anunció en 2004 que para 2006 el spam habría desaparecido. A día de hoy, más del 90% del correo electrónico que circula por Internet es spam. De ese correo, la mayoría se envía desde ordenadores con un sistema operativo de diseño defectuoso, producto de la compañía fundada por Bill Gates y sus amigos. E incluso hace unos años Microsoft se dedicó a torpedear de forma activa la creación de un estándar de autentificación de correo electrónico que, sin resolver el problema, ayuda al menos a mitigar parte de las consecuencias. Pero de estos temas hablaremos otro día.
P.D: Mi posición sobre Apple es la siguiente. Soy un cliente satisfecho. Ni me pagan el sueldo, ni me han regalado absolutamente nada. Ni soy amigo de Jobs, ni estoy enamorado de íél (no me da por ahí) ni nada parecido. Lo que sí me revienta es leer estupideces sobre estos temas. Aun así, a ver cuántos comentarios tengo llamándome fanboy y cosas así. O no, porque tengo poquitos lectores por el momento.
(1) No cosa de andar con demasiados tecnicismos aquí. Me refiero a la "aleatorización de direcciones" y otras hierbas. Los interesados en esto tienen referencias para aburrir.
(2) Me refiero al caso del servicio UPnP. Windows XP tenía un cortafuegos instalado. Al ponerlo en marcha, este servicio tenía un trato especial y el cortafuegos no lo protegía. Con tan mala suerte que resultó ser vulnerable. Este patinazo se estrenó a la semana del lanzamiento de XP o así, cuando Microsoft hablaba de la versión de Windows más segura.