• Tweet

En los primeros días de enero, los administradores de redes y los usuarios tuvieron sólo una elección: descargar e instalar una versión de un parche no official para corregir un desperfecto crítico en los archivos con formato WMF (Windows Meta Files), a que tener que esperar alrededor de una semana para una nueva actualización oficial de Microsoft.

Con los expertos en seguridad advirtiéndo acerca del esparcimiento de exploits que afectaban las fallas recientes en el sistema operativo Windows, 10 millones de personas descargaron la actualización de un sitio de desarrollo de software de seguridad desarrollado por Ilfak Guilfanov, además de recurrir a otros sitios que alojaron el parche,de acuerdo con los números dados a SecurityFocus.

La rápida publicación de este parche mostró el poder de la comunidad para crear código, pero también para crear trampas. Mientras el codigo fuente de dicho parche se libero con licencia de código abierto, el cual proporcionaba venía con el parche y la empresa que lo desarrolló (Guilfanov) lo hizo fácil de usar e instalar, la decisión de instalar el parche se vino abajo por una sola pregunta: el usuario confia en el software desarrollado por dicha empresa-

"El parche era un remedio - dejen que se instale", mencionó Richard Ford, profesor asociado de ciencias de la computación del Institudo de Tecnología de Florida. "Los usuarios no son sofisticados". Esto es duro para ellos, el decirles las diferencias entre un parche genuino creado por A, y el programa creado por el B que luce como una actualización."

Un día despues, diversos grupos de seguridad dijeron que el parche fue desarrollado por Guilfanov como así lo mencionó, reduciéndo así el riesgo de un software no confiable. Aún con esto, los problemas venían inherentes a la situación. Teniendo que tomar la decisión a cerca de que sí un tercer parche confiable no debería ser necesario para proteger los sistemas.

"Como una regla general, un tercer u otros parches no deberían ser aplicados," menciona la empresa de Guilfanov"." La situación actual fue, desde nuestra percepción, un poco diferente. Primero había peligro, después, vimos relativamente un riesgo que simplemente se corrigió. Si nuestro conocimiento podría ayudar a la comunidad -- quién podría hacer sus propias pruebas - por que no ayudar -, de todas formas la gente está publicando exploits todo el tiempo, por que no publicar una solución para motivar un cambio-".

La versión no oficial del parche, es un debate que subraya los problemas en confiar en correcciones de software para sistemas seguros. Mientras Microsoft actualizó en su sitio su parche oficial el pasado Martes - cinco días antes - los atacantes ya estaban comenzando a utilizar las vulnerabilidades provistas en el WMF - poniéndo a los usuarios bajo un riesgo. El hecho está en que ni los parches de Microsoft, ni los que la comunidad corregirían aún así las amenazas de un día cero.

"El proceso de distribución del parche núnca va a resolver el problema, y este núnca va a ser lo suficiente mente rápido," fue lo que mencionó Ford del Instituto de Tecnología de Florida. "Necesitamos invertir seriamente para defendernos de un día cero," por que otro día de estos pasará. Hay mucho de que hablar, pero algo real es que se debería de remover el riesgo y no el de migrarlo".

De cualquier forma, aun en el mejor de los casos, Microsoft no podría mejorar sus tiempos de respuesta.

Por otro lado, el gigante del software retrasó la publicación del parche sus usuarios, debido a un control de calidad aún cuándo tuvo un release candidate en menos de 24 horas, debido a que se hicieron pruebas de este contra todo su sistema operativo, asi como también en todas sus aplicaciones, lo que tomó más tiempo. Si la empresa tuviera que hacer una elección de nuevo, mantendría la misma, por que romper con el funcionamiento de un número pequeño de sistemas es inaceptable, comentó Kevin Kean, director del Centro de Seguridad y Respuestas de Microsoft (MSRC, por sus siglas en inglés).

El gigante del software puso a más de 200 personas para corregir las fallas y probar el parche, mencionó Kean. El equipo de productos de la compañia veto cientos de aplicaciones para asegurar que el parche no causara conflictos.

Como resultado de todo este esfuerzo, Microsoft actualizó su parche en nueve días, tiempo en el que apareció la primera vulnerabilidad.

Este prodría ser la corrección y distribución más rápida que el gigante del software haya hecho para resolver sus desperfectos. En los avisos de seguridad publicados por Microsoft en los últimos tres años, el Washington Post encontró que Microsoft tiene una larga lista de correcciones de vulnerabilidades previamente reportada a la compañía, teniéndo un tiempo para corregirlas y reportarlas.

Microsoft tomo un promedio de tres meses para corregir sus fallas en el 2003, su respuesta en el 2004 y 2005 fué de alrededo de 4.5 meses, de acuerdo con los analistas.

Aún en cuando la diferencia de tiemo de respuesta de esos años fue de 71 días para el 2003 y de 46 días para el 2005 respectivamente.