[FT] Respuestas a la política de actua lizaciones de Microsoft

25/12/2003 - 21:43 por Ille Corvus | Informe spam
24/12/2003 - Respuestas a la política de actualizaciones de Microsoft

El pasado día 15 publicamos en "una-al-día" las explicaciones de
Microsoft sobre su nueva política de actualizaciones. Hoy damos la
palabra a nuestros lectores, que en gran número nos hicieron llegar
sus comentarios y razonamientos al respecto.

Debido al gran volumen de mensajes, y lo extenso de algunos, vamos
a intentar resumir en cinco puntos los argumentos que más se
repitieron por parte de los lectores.

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

En las explicaciones de Microsoft podíamos leer "Las vulnerabilidades
representan un aumento exponencial del riesgo a partir de su
descubrimiento y anuncio, no antes. [...] no perdemos en materia de
seguridad desde el momento que asumimos que el riesgo es casi
inexistente antes de cualquier tipo de anuncio".

Respecto a esta afirmación, son muchos los lectores que recuerdan
que no todas las vulnerabilidades se publican cuando son
descubiertas, no todo los hackers son "whitehats". De hecho existen
grupos de investigación dedicados a descubrir vulnerabilidades y
a explotarlas en beneficio propio.

Que una vulnerabilidad no se publique, no quiere decir que no
existan ataques basadas en ellas que estén pasando desapercibidos.
El sistema debe ser seguro por diseño, no porque no se publiquen
o se oculten sus fallos. No a la seguridad por oscuridad.


2) Microsoft no descubre las vulnerabilidades

Según Microsoft "en ese 0.1% de casos donde el orden de sucesos no
ocurra de esta forma, como por ejemplo el conocimiento de una
vulnerabilidad de forma previa a la creación del update".

Para muchos lectores ese porcentaje tal vez sería válido a la inversa,
es decir, la inmensa mayoría de los descubrimientos de agujeros en
el software de Microsoft son autoría de terceras personas ajenas a
la compañía. Por lo tanto las vulnerabilidades suelen conocerse antes
de la creación y distribución de la actualización.

Microsoft no puede, ni debe, controlar el descubrimiento y
publicación de vulnerabilidades.


3) Las empresas planifican sus propias políticas de actualizaciones

"La medida está pensada fundamentalmente para minimizar situaciones
de actualización de software no planificadas, y permitir que una
corporación pueda planificar sus recursos adecuada y ordenadamente
ante una actualización de seguridad."

Muchos administradores de sistemas y responsables de seguridad
indican que cuentan con sus propias políticas corporativas de
actualizaciones, y que la planificación de éstas no deben estar
condicionadas (ni se van a ver mejoradas) porque las actualizaciones
se encuentren disponibles un día determinado.

En la mayoría de los casos, en ambientes críticos, los parches y
actualizaciones deben pasar unos tests y controles de calidad en
sistemas de pruebas, antes de distribuirlos en los sistemas en
producción. No en vano, la instalación directa e inmediata de los
parches puede ocasionar problemas de incompatibilidad,
mal funcionamiento, o regresión de vulnerabilidades.

Este tipo de comprobaciones, que hasta ahora se hacía de forma
escalonada y puntual según publicación de parches concretos, ahora
resulta más complicada al acumularse todo en una fecha, y puede
dar lugar a retrasos en el despliegue final. No es lo mismo, ni
se tarda el mismo tiempo, en comprobar que una actualización para
Internet Explorer es correcta, que en comprobar 6 o 7 parches para
diferentes componentes del sistema.

En definitiva, en muchos casos la acumulación de parches supone un
retraso en la distribución final de los mismos en ambientes
corporativos. Los administradores piden que la actualización se
encuentre disponible tan pronto sea posible, ya serán ellos los que
decidan como les afecta, la prioridad, y el día en que se procederá
a su instalación.


4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

Algunos usuarios, que conectan a Internet a través de módems
analógicos conectados a la red telefónica básica, muestran su
preocupación por la acumulación y distribución de los parches
en un mismo día.

Si algunas actualizaciones individuales pueden ocupar megas, la
actualización del paquete mensual puede llegar a ser todo un
inconveniente para ellos.

Como anécdota, recordar que fueron muchos los usuarios domésticos que
tuvieron problemas con la actualización de la vulnerabilidad que
explotaba el gusano Blaster, ya que en el tiempo que tardaban en
descargarse la actualización desde Internet el gusano volvía a
infectarles y/o a reiniciar sus equipos.


5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

Con respecto a los números barajados por Microsoft, a la hora de
comparar vulnerabilidades entre sus sistemas y algunas distribuciones
de Linux, los lectores hacen hincapié en que es necesario distinguir
entre vulnerabilidades de aplicaciones y del propio sistema operativo.

Las distribuciones cuentan con un gran número de aplicaciones, de
instalación opcional, que no forman parte del sistema operativo.
Además, no basta con dar números absolutos, debería analizarse
cuantas de esas vulnerabilidades son explotables remotamente, y el
impacto real en la seguridad de los usuarios.

La propia política de Microsoft, de integración de aplicaciones y
funcionalidades extras en el propio sistema operativo, supone un
aumento en el número de vulnerabilidades que afectan a todos sus
sistemas. Un ejemplo claro lo tenemos en Internet Explorer.

Con respecto a la resolución, muchos lectores recuerdan que en
algunos casos la comunidad Open Source, tras el descubrimiento de
una vulnerabilidad, facilita parches en cuestión de horas. En
última instancia, el usuario tiene el control sobre el sistema,
y no depende exclusivamente de la resolución de una empresa.


La clave

A título personal, aunque comparto de forma genérica las opiniones
de los lectores, creo que la clave en la explicación de Microsoft
está en la afirmación "en ese 0.1% de casos donde el orden de
sucesos no ocurra de esta forma, como por ejemplo el conocimiento
de una vulnerabilidad de forma previa a la creación del update, NO
SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en
cuanto la actualización esté preparada."

El caso es que desde hace semanas tenemos varios de esos casos, en
concreto hay varias vulnerabilidades de Internet Explorer que se
han hecho públicas (algunas desde finales de noviembre), han sido
catalogadas como críticas (tanto por su impacto como por la
facilidad de explotación), y están siendo aprovechadas en ataques.

A día de hoy, finales de diciembre, aun no hay parches para corregir
esas vulnerabilidades. De entrada queda patente los tiempos de
respuesta de Microsoft ante vulnerabilidades críticas. Si bien aun
queda pendiente conocer cuando se publicarán finalmente estos
parches.

Si los parches de Internet Explorer se publican en su paquete de
actualizaciones mensuales, el segundo martes de enero, en vez de
hacerlo de forma puntual en cuanto tengan la solución (dada la
importancia), Microsoft habrá tirado por tierra gran parte de sus
propias argumentaciones.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1886/comentar

Más Información:

Explicaciones de Microsoft sobre su nueva política de actualizaciones
http://www.hispasec.com/unaaldia/1877

Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884


Bernardo Quintero

Informacion extraida de: http://www.hispasec.com/unaaldia/1886


Ille Corvus. Hic et Nunc.

Preguntas similare

Leer las respuestas

#1 Mr Big Dragon
26/12/2003 - 16:08 | Informe spam
1) Las vulnerabilidades existen y se explotan antes de ser publicadas


Correcto y afirmativo, incluso algunos hackers que se las dan de "Santos"
ven si hay algo explotable antes de avisar de tal o cual nuevo "Agujero"...

2) Microsoft no descubre las vulnerabilidades


Pues esto no lo se a ciencia cierta pero parece cierto, almenos en este año
que termina microsoft no clama responsabilidad por ninguno de los agujeros
detectados y si hay muchos otros que claman su descubrimiento...

3) Las empresas planifican sus propias políticas de actualizaciones


Muy correcto y aceptable, recuerda que despues del SP1 hubo que "Reparchar"
sobre algunos detalles que dejo mal el "Parche", esto en mision critica no
es aceptable, pero tambien es cierto que los escenarios de pruebas son
permanentes y a la salida de cualquier detalle, el ejercito de informatico
debe estar listo para probarlo sin demora y aceptar o denegar su
implementacion.

4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones



De super acuerdo con esto, y no me eches sal en la herida que aun la tengo
abierta...
Gente pobre en comunidades rurales con modems y conexiones a 33,600 BPS y se
les llamo todo tipo de insultos por no instalar un SP1 de 130 MB y otros 72
MB de actualizaciones via intenet???
y otros tantos insultos por preguntar como desactivar un agente de
actualizaciones que verdaderamente no sirve PARA NADA cuando tienes un modem
y conexion de 33600.
Mejor lo dejamos de lado

5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)


Esto lo pregunte yo mismo hace rato, por que como que ya es cansado leer a
los dos bandos tirandose bolita por bolita cada bug que se encuentra en cada
sistema operativo esto no es justo ni de un lado ni de otro, vamos a ver
cual ha sido el mas dañino y/o peligroso de un lado y otro
Por lo que se este año MS se lleva la palma con todo y honores, al tener un
bug en un sistema operativo que estaba latente desde Windows NT4 y que
parece mentira pero le pego hasta al recien nacido Windows 2003 a solo unos
dias de haber visto la luz con fanfarria y pompa que ensalzaba el
"Asombroso" nivel de integridad y seguridad, no os preocupeis chicos, que
hasta Fred Astaire se cayo alguna vez en el escenario...

Saludos
Mr Big Dragon



"Ille Corvus" wrote in message
news:
24/12/2003 - Respuestas a la política de actualizaciones de Microsoft

El pasado día 15 publicamos en "una-al-día" las explicaciones de
Microsoft sobre su nueva política de actualizaciones. Hoy damos la
palabra a nuestros lectores, que en gran número nos hicieron llegar
sus comentarios y razonamientos al respecto.

Debido al gran volumen de mensajes, y lo extenso de algunos, vamos
a intentar resumir en cinco puntos los argumentos que más se
repitieron por parte de los lectores.

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

En las explicaciones de Microsoft podíamos leer "Las vulnerabilidades
representan un aumento exponencial del riesgo a partir de su
descubrimiento y anuncio, no antes. [...] no perdemos en materia de
seguridad desde el momento que asumimos que el riesgo es casi
inexistente antes de cualquier tipo de anuncio".

Respecto a esta afirmación, son muchos los lectores que recuerdan
que no todas las vulnerabilidades se publican cuando son
descubiertas, no todo los hackers son "whitehats". De hecho existen
grupos de investigación dedicados a descubrir vulnerabilidades y
a explotarlas en beneficio propio.

Que una vulnerabilidad no se publique, no quiere decir que no
existan ataques basadas en ellas que estén pasando desapercibidos.
El sistema debe ser seguro por diseño, no porque no se publiquen
o se oculten sus fallos. No a la seguridad por oscuridad.


2) Microsoft no descubre las vulnerabilidades

Según Microsoft "en ese 0.1% de casos donde el orden de sucesos no
ocurra de esta forma, como por ejemplo el conocimiento de una
vulnerabilidad de forma previa a la creación del update".

Para muchos lectores ese porcentaje tal vez sería válido a la inversa,
es decir, la inmensa mayoría de los descubrimientos de agujeros en
el software de Microsoft son autoría de terceras personas ajenas a
la compañía. Por lo tanto las vulnerabilidades suelen conocerse antes
de la creación y distribución de la actualización.

Microsoft no puede, ni debe, controlar el descubrimiento y
publicación de vulnerabilidades.


3) Las empresas planifican sus propias políticas de actualizaciones

"La medida está pensada fundamentalmente para minimizar situaciones
de actualización de software no planificadas, y permitir que una
corporación pueda planificar sus recursos adecuada y ordenadamente
ante una actualización de seguridad."

Muchos administradores de sistemas y responsables de seguridad
indican que cuentan con sus propias políticas corporativas de
actualizaciones, y que la planificación de éstas no deben estar
condicionadas (ni se van a ver mejoradas) porque las actualizaciones
se encuentren disponibles un día determinado.

En la mayoría de los casos, en ambientes críticos, los parches y
actualizaciones deben pasar unos tests y controles de calidad en
sistemas de pruebas, antes de distribuirlos en los sistemas en
producción. No en vano, la instalación directa e inmediata de los
parches puede ocasionar problemas de incompatibilidad,
mal funcionamiento, o regresión de vulnerabilidades.

Este tipo de comprobaciones, que hasta ahora se hacía de forma
escalonada y puntual según publicación de parches concretos, ahora
resulta más complicada al acumularse todo en una fecha, y puede
dar lugar a retrasos en el despliegue final. No es lo mismo, ni
se tarda el mismo tiempo, en comprobar que una actualización para
Internet Explorer es correcta, que en comprobar 6 o 7 parches para
diferentes componentes del sistema.

En definitiva, en muchos casos la acumulación de parches supone un
retraso en la distribución final de los mismos en ambientes
corporativos. Los administradores piden que la actualización se
encuentre disponible tan pronto sea posible, ya serán ellos los que
decidan como les afecta, la prioridad, y el día en que se procederá
a su instalación.


4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

Algunos usuarios, que conectan a Internet a través de módems
analógicos conectados a la red telefónica básica, muestran su
preocupación por la acumulación y distribución de los parches
en un mismo día.

Si algunas actualizaciones individuales pueden ocupar megas, la
actualización del paquete mensual puede llegar a ser todo un
inconveniente para ellos.

Como anécdota, recordar que fueron muchos los usuarios domésticos que
tuvieron problemas con la actualización de la vulnerabilidad que
explotaba el gusano Blaster, ya que en el tiempo que tardaban en
descargarse la actualización desde Internet el gusano volvía a
infectarles y/o a reiniciar sus equipos.


5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

Con respecto a los números barajados por Microsoft, a la hora de
comparar vulnerabilidades entre sus sistemas y algunas distribuciones
de Linux, los lectores hacen hincapié en que es necesario distinguir
entre vulnerabilidades de aplicaciones y del propio sistema operativo.

Las distribuciones cuentan con un gran número de aplicaciones, de
instalación opcional, que no forman parte del sistema operativo.
Además, no basta con dar números absolutos, debería analizarse
cuantas de esas vulnerabilidades son explotables remotamente, y el
impacto real en la seguridad de los usuarios.

La propia política de Microsoft, de integración de aplicaciones y
funcionalidades extras en el propio sistema operativo, supone un
aumento en el número de vulnerabilidades que afectan a todos sus
sistemas. Un ejemplo claro lo tenemos en Internet Explorer.

Con respecto a la resolución, muchos lectores recuerdan que en
algunos casos la comunidad Open Source, tras el descubrimiento de
una vulnerabilidad, facilita parches en cuestión de horas. En
última instancia, el usuario tiene el control sobre el sistema,
y no depende exclusivamente de la resolución de una empresa.


La clave

A título personal, aunque comparto de forma genérica las opiniones
de los lectores, creo que la clave en la explicación de Microsoft
está en la afirmación "en ese 0.1% de casos donde el orden de
sucesos no ocurra de esta forma, como por ejemplo el conocimiento
de una vulnerabilidad de forma previa a la creación del update, NO
SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en
cuanto la actualización esté preparada."

El caso es que desde hace semanas tenemos varios de esos casos, en
concreto hay varias vulnerabilidades de Internet Explorer que se
han hecho públicas (algunas desde finales de noviembre), han sido
catalogadas como críticas (tanto por su impacto como por la
facilidad de explotación), y están siendo aprovechadas en ataques.

A día de hoy, finales de diciembre, aun no hay parches para corregir
esas vulnerabilidades. De entrada queda patente los tiempos de
respuesta de Microsoft ante vulnerabilidades críticas. Si bien aun
queda pendiente conocer cuando se publicarán finalmente estos
parches.

Si los parches de Internet Explorer se publican en su paquete de
actualizaciones mensuales, el segundo martes de enero, en vez de
hacerlo de forma puntual en cuanto tengan la solución (dada la
importancia), Microsoft habrá tirado por tierra gran parte de sus
propias argumentaciones.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1886/comentar

Más Información:

Explicaciones de Microsoft sobre su nueva política de actualizaciones
http://www.hispasec.com/unaaldia/1877

Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884


Bernardo Quintero
>
Informacion extraida de: http://www.hispasec.com/unaaldia/1886


Ille Corvus. Hic et Nunc.
Respuesta Responder a este mensaje
#2 Mr Big Dragon
26/12/2003 - 16:08 | Informe spam
1) Las vulnerabilidades existen y se explotan antes de ser publicadas


Correcto y afirmativo, incluso algunos hackers que se las dan de "Santos"
ven si hay algo explotable antes de avisar de tal o cual nuevo "Agujero"...

2) Microsoft no descubre las vulnerabilidades


Pues esto no lo se a ciencia cierta pero parece cierto, almenos en este año
que termina microsoft no clama responsabilidad por ninguno de los agujeros
detectados y si hay muchos otros que claman su descubrimiento...

3) Las empresas planifican sus propias políticas de actualizaciones


Muy correcto y aceptable, recuerda que despues del SP1 hubo que "Reparchar"
sobre algunos detalles que dejo mal el "Parche", esto en mision critica no
es aceptable, pero tambien es cierto que los escenarios de pruebas son
permanentes y a la salida de cualquier detalle, el ejercito de informatico
debe estar listo para probarlo sin demora y aceptar o denegar su
implementacion.

4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones



De super acuerdo con esto, y no me eches sal en la herida que aun la tengo
abierta...
Gente pobre en comunidades rurales con modems y conexiones a 33,600 BPS y se
les llamo todo tipo de insultos por no instalar un SP1 de 130 MB y otros 72
MB de actualizaciones via intenet???
y otros tantos insultos por preguntar como desactivar un agente de
actualizaciones que verdaderamente no sirve PARA NADA cuando tienes un modem
y conexion de 33600.
Mejor lo dejamos de lado

5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)


Esto lo pregunte yo mismo hace rato, por que como que ya es cansado leer a
los dos bandos tirandose bolita por bolita cada bug que se encuentra en cada
sistema operativo esto no es justo ni de un lado ni de otro, vamos a ver
cual ha sido el mas dañino y/o peligroso de un lado y otro
Por lo que se este año MS se lleva la palma con todo y honores, al tener un
bug en un sistema operativo que estaba latente desde Windows NT4 y que
parece mentira pero le pego hasta al recien nacido Windows 2003 a solo unos
dias de haber visto la luz con fanfarria y pompa que ensalzaba el
"Asombroso" nivel de integridad y seguridad, no os preocupeis chicos, que
hasta Fred Astaire se cayo alguna vez en el escenario...

Saludos
Mr Big Dragon



"Ille Corvus" wrote in message
news:
24/12/2003 - Respuestas a la política de actualizaciones de Microsoft

El pasado día 15 publicamos en "una-al-día" las explicaciones de
Microsoft sobre su nueva política de actualizaciones. Hoy damos la
palabra a nuestros lectores, que en gran número nos hicieron llegar
sus comentarios y razonamientos al respecto.

Debido al gran volumen de mensajes, y lo extenso de algunos, vamos
a intentar resumir en cinco puntos los argumentos que más se
repitieron por parte de los lectores.

1) Las vulnerabilidades existen y se explotan antes de ser publicadas

En las explicaciones de Microsoft podíamos leer "Las vulnerabilidades
representan un aumento exponencial del riesgo a partir de su
descubrimiento y anuncio, no antes. [...] no perdemos en materia de
seguridad desde el momento que asumimos que el riesgo es casi
inexistente antes de cualquier tipo de anuncio".

Respecto a esta afirmación, son muchos los lectores que recuerdan
que no todas las vulnerabilidades se publican cuando son
descubiertas, no todo los hackers son "whitehats". De hecho existen
grupos de investigación dedicados a descubrir vulnerabilidades y
a explotarlas en beneficio propio.

Que una vulnerabilidad no se publique, no quiere decir que no
existan ataques basadas en ellas que estén pasando desapercibidos.
El sistema debe ser seguro por diseño, no porque no se publiquen
o se oculten sus fallos. No a la seguridad por oscuridad.


2) Microsoft no descubre las vulnerabilidades

Según Microsoft "en ese 0.1% de casos donde el orden de sucesos no
ocurra de esta forma, como por ejemplo el conocimiento de una
vulnerabilidad de forma previa a la creación del update".

Para muchos lectores ese porcentaje tal vez sería válido a la inversa,
es decir, la inmensa mayoría de los descubrimientos de agujeros en
el software de Microsoft son autoría de terceras personas ajenas a
la compañía. Por lo tanto las vulnerabilidades suelen conocerse antes
de la creación y distribución de la actualización.

Microsoft no puede, ni debe, controlar el descubrimiento y
publicación de vulnerabilidades.


3) Las empresas planifican sus propias políticas de actualizaciones

"La medida está pensada fundamentalmente para minimizar situaciones
de actualización de software no planificadas, y permitir que una
corporación pueda planificar sus recursos adecuada y ordenadamente
ante una actualización de seguridad."

Muchos administradores de sistemas y responsables de seguridad
indican que cuentan con sus propias políticas corporativas de
actualizaciones, y que la planificación de éstas no deben estar
condicionadas (ni se van a ver mejoradas) porque las actualizaciones
se encuentren disponibles un día determinado.

En la mayoría de los casos, en ambientes críticos, los parches y
actualizaciones deben pasar unos tests y controles de calidad en
sistemas de pruebas, antes de distribuirlos en los sistemas en
producción. No en vano, la instalación directa e inmediata de los
parches puede ocasionar problemas de incompatibilidad,
mal funcionamiento, o regresión de vulnerabilidades.

Este tipo de comprobaciones, que hasta ahora se hacía de forma
escalonada y puntual según publicación de parches concretos, ahora
resulta más complicada al acumularse todo en una fecha, y puede
dar lugar a retrasos en el despliegue final. No es lo mismo, ni
se tarda el mismo tiempo, en comprobar que una actualización para
Internet Explorer es correcta, que en comprobar 6 o 7 parches para
diferentes componentes del sistema.

En definitiva, en muchos casos la acumulación de parches supone un
retraso en la distribución final de los mismos en ambientes
corporativos. Los administradores piden que la actualización se
encuentre disponible tan pronto sea posible, ya serán ellos los que
decidan como les afecta, la prioridad, y el día en que se procederá
a su instalación.


4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones

Algunos usuarios, que conectan a Internet a través de módems
analógicos conectados a la red telefónica básica, muestran su
preocupación por la acumulación y distribución de los parches
en un mismo día.

Si algunas actualizaciones individuales pueden ocupar megas, la
actualización del paquete mensual puede llegar a ser todo un
inconveniente para ellos.

Como anécdota, recordar que fueron muchos los usuarios domésticos que
tuvieron problemas con la actualización de la vulnerabilidad que
explotaba el gusano Blaster, ya que en el tiempo que tardaban en
descargarse la actualización desde Internet el gusano volvía a
infectarles y/o a reiniciar sus equipos.


5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)

Con respecto a los números barajados por Microsoft, a la hora de
comparar vulnerabilidades entre sus sistemas y algunas distribuciones
de Linux, los lectores hacen hincapié en que es necesario distinguir
entre vulnerabilidades de aplicaciones y del propio sistema operativo.

Las distribuciones cuentan con un gran número de aplicaciones, de
instalación opcional, que no forman parte del sistema operativo.
Además, no basta con dar números absolutos, debería analizarse
cuantas de esas vulnerabilidades son explotables remotamente, y el
impacto real en la seguridad de los usuarios.

La propia política de Microsoft, de integración de aplicaciones y
funcionalidades extras en el propio sistema operativo, supone un
aumento en el número de vulnerabilidades que afectan a todos sus
sistemas. Un ejemplo claro lo tenemos en Internet Explorer.

Con respecto a la resolución, muchos lectores recuerdan que en
algunos casos la comunidad Open Source, tras el descubrimiento de
una vulnerabilidad, facilita parches en cuestión de horas. En
última instancia, el usuario tiene el control sobre el sistema,
y no depende exclusivamente de la resolución de una empresa.


La clave

A título personal, aunque comparto de forma genérica las opiniones
de los lectores, creo que la clave en la explicación de Microsoft
está en la afirmación "en ese 0.1% de casos donde el orden de
sucesos no ocurra de esta forma, como por ejemplo el conocimiento
de una vulnerabilidad de forma previa a la creación del update, NO
SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en
cuanto la actualización esté preparada."

El caso es que desde hace semanas tenemos varios de esos casos, en
concreto hay varias vulnerabilidades de Internet Explorer que se
han hecho públicas (algunas desde finales de noviembre), han sido
catalogadas como críticas (tanto por su impacto como por la
facilidad de explotación), y están siendo aprovechadas en ataques.

A día de hoy, finales de diciembre, aun no hay parches para corregir
esas vulnerabilidades. De entrada queda patente los tiempos de
respuesta de Microsoft ante vulnerabilidades críticas. Si bien aun
queda pendiente conocer cuando se publicarán finalmente estos
parches.

Si los parches de Internet Explorer se publican en su paquete de
actualizaciones mensuales, el segundo martes de enero, en vez de
hacerlo de forma puntual en cuanto tengan la solución (dada la
importancia), Microsoft habrá tirado por tierra gran parte de sus
propias argumentaciones.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1886/comentar

Más Información:

Explicaciones de Microsoft sobre su nueva política de actualizaciones
http://www.hispasec.com/unaaldia/1877

Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884


Bernardo Quintero
>
Informacion extraida de: http://www.hispasec.com/unaaldia/1886


Ille Corvus. Hic et Nunc.
Respuesta Responder a este mensaje
#3 Javier Inglés [MS MVP]
26/12/2003 - 17:08 | Informe spam
Desde luego todo lo citado e indicado es correcto en su
justa medida; pero es también destacable que cualqueir
otro sistema te tienes que descargar de internet, por
ejemplo, también un número de MB elevado para parches
(Linux mismamente).

cierto es que las compañías deberían poder proporcionar a
esas personas otro método de actualziación (por ejemplo,
un CD, que hasta ahora por desgracia sólo está presente en
revistas de pago). Como por ahora el único modo de hacerlo
es a través de internet, pues no queda otra que
resignarse, paciencia y esperar que se cambie este asunto
(MS ya está estudiándolo). Efectivamente es una
puñetez...pero más vale parchear al menos de ese modo que
no ninguno o lamentarse únicamente.

La vulnerabilidad latente lleva corregida meses antes de
su aparición, por lo que cuando se explotó la
responsabilidad no debería recaer sobre la compañía...si
no sobre los administradores en primera instancia...lo
cual dice mucho sobre el punto de que la mayor parte de
las empresas tienen un plan de actualziación de
parches...ha quedado vigente que ésto no es así.

evidentemente también las vulnerabilidades son críticas,
eso no lo discute nadie, pero como se indicaba en el
artículo original, en todos sitios cuecen habas...y el
resto de casas de software también han tenido graves
problemas con sus aplicativos o sistemas.

Salu2!!
Javier Inglés
MS MVP


1) Las vulnerabilidades existen y se explotan antes de




ser publicadas
Correcto y afirmativo, incluso algunos hackers que se las


dan de "Santos"
ven si hay algo explotable antes de avisar de tal o cual


nuevo "Agujero"...

2) Microsoft no descubre las vulnerabilidades


Pues esto no lo se a ciencia cierta pero parece cierto,


almenos en este año
que termina microsoft no clama responsabilidad por


ninguno de los agujeros
detectados y si hay muchos otros que claman su


descubrimiento...

3) Las empresas planifican sus propias políticas de




actualizaciones
Muy correcto y aceptable, recuerda que despues del SP1


hubo que "Reparchar"
sobre algunos detalles que dejo mal el "Parche", esto en


mision critica no
es aceptable, pero tambien es cierto que los escenarios


de pruebas son
permanentes y a la salida de cualquier detalle, el


ejercito de informatico
debe estar listo para probarlo sin demora y aceptar o


denegar su
implementacion.

4) Dificultad para usuarios sin banda ancha en la




descarga de grandes
actualizaciones



De super acuerdo con esto, y no me eches sal en la herida


que aun la tengo
abierta...
Gente pobre en comunidades rurales con modems y


conexiones a 33,600 BPS y se
les llamo todo tipo de insultos por no instalar un SP1 de


130 MB y otros 72
MB de actualizaciones via intenet???
y otros tantos insultos por preguntar como desactivar un


agente de
actualizaciones que verdaderamente no sirve PARA NADA


cuando tienes un modem
y conexion de 33600.
Mejor lo dejamos de lado

5) Comparativa Microsoft vs. Linux cualitativa (no




cuantitativa)
Esto lo pregunte yo mismo hace rato, por que como que ya


es cansado leer a
los dos bandos tirandose bolita por bolita cada bug que


se encuentra en cada
sistema operativo esto no es justo ni de un lado ni de


otro, vamos a ver
cual ha sido el mas dañino y/o peligroso de un lado y


otro
Por lo que se este año MS se lleva la palma con todo y


honores, al tener un
bug en un sistema operativo que estaba latente desde


Windows NT4 y que
parece mentira pero le pego hasta al recien nacido


Windows 2003 a solo unos
dias de haber visto la luz con fanfarria y pompa que


ensalzaba el
"Asombroso" nivel de integridad y seguridad, no os


preocupeis chicos, que
hasta Fred Astaire se cayo alguna vez en el escenario...

Saludos
Mr Big Dragon



"Ille Corvus"


wrote in message
news:
24/12/2003 - Respuestas a la política de




actualizaciones de Microsoft

El pasado día 15 publicamos en "una-al-día" las




explicaciones de
Microsoft sobre su nueva política de actualizaciones.




Hoy damos la
palabra a nuestros lectores, que en gran número nos




hicieron llegar
sus comentarios y razonamientos al respecto.

Debido al gran volumen de mensajes, y lo extenso de




algunos, vamos
a intentar resumir en cinco puntos los argumentos que




más se
repitieron por parte de los lectores.

1) Las vulnerabilidades existen y se explotan antes de




ser publicadas

En las explicaciones de Microsoft podíamos leer "Las




vulnerabilidades
representan un aumento exponencial del riesgo a partir




de su
descubrimiento y anuncio, no antes. [...] no perdemos




en materia de
seguridad desde el momento que asumimos que el riesgo




es casi
inexistente antes de cualquier tipo de anuncio".

Respecto a esta afirmación, son muchos los lectores que




recuerdan
que no todas las vulnerabilidades se publican cuando son
descubiertas, no todo los hackers son "whitehats". De




hecho existen
grupos de investigación dedicados a descubrir




vulnerabilidades y
a explotarlas en beneficio propio.

Que una vulnerabilidad no se publique, no quiere decir




que no
existan ataques basadas en ellas que estén pasando




desapercibidos.
El sistema debe ser seguro por diseño, no porque no se




publiquen
o se oculten sus fallos. No a la seguridad por




oscuridad.


2) Microsoft no descubre las vulnerabilidades

Según Microsoft "en ese 0.1% de casos donde el orden de




sucesos no
ocurra de esta forma, como por ejemplo el conocimiento




de una
vulnerabilidad de forma previa a la creación del




update".

Para muchos lectores ese porcentaje tal vez sería




válido a la inversa,
es decir, la inmensa mayoría de los descubrimientos de




agujeros en
el software de Microsoft son autoría de terceras




personas ajenas a
la compañía. Por lo tanto las vulnerabilidades suelen




conocerse antes
de la creación y distribución de la actualización.

Microsoft no puede, ni debe, controlar el




descubrimiento y
publicación de vulnerabilidades.


3) Las empresas planifican sus propias políticas de




actualizaciones

"La medida está pensada fundamentalmente para minimizar




situaciones
de actualización de software no planificadas, y




permitir que una
corporación pueda planificar sus recursos adecuada y




ordenadamente
ante una actualización de seguridad."

Muchos administradores de sistemas y responsables de




seguridad
indican que cuentan con sus propias políticas




corporativas de
actualizaciones, y que la planificación de éstas no




deben estar
condicionadas (ni se van a ver mejoradas) porque las




actualizaciones
se encuentren disponibles un día determinado.

En la mayoría de los casos, en ambientes críticos, los




parches y
actualizaciones deben pasar unos tests y controles de




calidad en
sistemas de pruebas, antes de distribuirlos en los




sistemas en
producción. No en vano, la instalación directa e




inmediata de los
parches puede ocasionar problemas de incompatibilidad,
mal funcionamiento, o regresión de vulnerabilidades.

Este tipo de comprobaciones, que hasta ahora se hacía




de forma
escalonada y puntual según publicación de parches




concretos, ahora
resulta más complicada al acumularse todo en una fecha,




y puede
dar lugar a retrasos en el despliegue final. No es lo




mismo, ni
se tarda el mismo tiempo, en comprobar que una




actualización para
Internet Explorer es correcta, que en comprobar 6 o 7




parches para
diferentes componentes del sistema.

En definitiva, en muchos casos la acumulación de




parches supone un
retraso en la distribución final de los mismos en




ambientes
corporativos. Los administradores piden que la




actualización se
encuentre disponible tan pronto sea posible, ya serán




ellos los que
decidan como les afecta, la prioridad, y el día en que




se procederá
a su instalación.


4) Dificultad para usuarios sin banda ancha en la




descarga de grandes
actualizaciones

Algunos usuarios, que conectan a Internet a través de




módems
analógicos conectados a la red telefónica básica,




muestran su
preocupación por la acumulación y distribución de los




parches
en un mismo día.

Si algunas actualizaciones individuales pueden ocupar




megas, la
actualización del paquete mensual puede llegar a ser




todo un
inconveniente para ellos.

Como anécdota, recordar que fueron muchos los usuarios




domésticos que
tuvieron problemas con la actualización de la




vulnerabilidad que
explotaba el gusano Blaster, ya que en el tiempo que




tardaban en
descargarse la actualización desde Internet el gusano




volvía a
infectarles y/o a reiniciar sus equipos.


5) Comparativa Microsoft vs. Linux cualitativa (no




cuantitativa)

Con respecto a los números barajados por Microsoft, a




la hora de
comparar vulnerabilidades entre sus sistemas y algunas




distribuciones
de Linux, los lectores hacen hincapié en que es




necesario distinguir
entre vulnerabilidades de aplicaciones y del propio




sistema operativo.

Las distribuciones cuentan con un gran número de




aplicaciones, de
instalación opcional, que no forman parte del sistema




operativo.
Además, no basta con dar números absolutos, debería




analizarse
cuantas de esas vulnerabilidades son explotables




remotamente, y el
impacto real en la seguridad de los usuarios.

La propia política de Microsoft, de integración de




aplicaciones y
funcionalidades extras en el propio sistema operativo,




supone un
aumento en el número de vulnerabilidades que afectan a




todos sus
sistemas. Un ejemplo claro lo tenemos en Internet




Explorer.

Con respecto a la resolución, muchos lectores recuerdan




que en
algunos casos la comunidad Open Source, tras el




descubrimiento de
una vulnerabilidad, facilita parches en cuestión de




horas. En
última instancia, el usuario tiene el control sobre el




sistema,
y no depende exclusivamente de la resolución de una




empresa.


La clave

A título personal, aunque comparto de forma genérica




las opiniones
de los lectores, creo que la clave en la explicación de




Microsoft
está en la afirmación "en ese 0.1% de casos donde el




orden de
sucesos no ocurra de esta forma, como por ejemplo el




conocimiento
de una vulnerabilidad de forma previa a la creación del




update, NO
SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se




publicará en
cuanto la actualización esté preparada."

El caso es que desde hace semanas tenemos varios de




esos casos, en
concreto hay varias vulnerabilidades de Internet




Explorer que se
han hecho públicas (algunas desde finales de




noviembre), han sido
catalogadas como críticas (tanto por su impacto como




por la
facilidad de explotación), y están siendo aprovechadas




en ataques.

A día de hoy, finales de diciembre, aun no hay parches




para corregir
esas vulnerabilidades. De entrada queda patente los




tiempos de
respuesta de Microsoft ante vulnerabilidades críticas.




Si bien aun
queda pendiente conocer cuando se publicarán finalmente




estos
parches.

Si los parches de Internet Explorer se publican en su




paquete de
actualizaciones mensuales, el segundo martes de enero,




en vez de
hacerlo de forma puntual en cuanto tengan la solución




(dada la
importancia), Microsoft habrá tirado por tierra gran




parte de sus
propias argumentaciones.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1886/comentar

Más Información:

Explicaciones de Microsoft sobre su nueva política de




actualizaciones
http://www.hispasec.com/unaaldia/1877

Parches y actualizaciones, un problema común
http://www.hispasec.com/unaaldia/1884


Bernardo Quintero
>>
Informacion extraida de:




http://www.hispasec.com/unaaldia/1886


Ille Corvus. Hic et Nunc.




.

Respuesta Responder a este mensaje
#4 Ille Corvus
26/12/2003 - 21:04 | Informe spam
El Fri, 26 Dec 2003 10:08:04 -0500, "Mr Big Dragon"
escribio:

1) Las vulnerabilidades existen y se explotan antes de ser publicadas


Correcto y afirmativo, incluso algunos hackers que se las dan de "Santos"
ven si hay algo explotable antes de avisar de tal o cual nuevo "Agujero"...



Lo malo es que los hacker (de sombrero negro) cada vez avisan menos
o no avisan...parece un cambio de "politica", segun se puede ver en
ciertos foros.

2) Microsoft no descubre las vulnerabilidades


Pues esto no lo se a ciencia cierta pero parece cierto, almenos en este año
que termina microsoft no clama responsabilidad por ninguno de los agujeros
detectados y si hay muchos otros que claman su descubrimiento...



Al margen de la titularidad de los agujeros, lo importante es que
los arreglen lo antes posible, eso es lo realmente importante...no
dejar a los usuarios tirados durante 40-50 dias sin el parche en
cuestion...

3) Las empresas planifican sus propias políticas de actualizaciones


Muy correcto y aceptable, recuerda que despues del SP1 hubo que "Reparchar"
sobre algunos detalles que dejo mal el "Parche", esto en mision critica no
es aceptable, pero tambien es cierto que los escenarios de pruebas son
permanentes y a la salida de cualquier detalle, el ejercito de informatico
debe estar listo para probarlo sin demora y aceptar o denegar su
implementacion.



Que me vas a contar :-) cada empresa tiene su PROPIA politica de
como, cuando y donde se deben poner...aunque MS quiera cambiarlo.

4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones


De super acuerdo con esto, y no me eches sal en la herida que aun la tengo
abierta...
Gente pobre en comunidades rurales con modems y conexiones a 33,600 BPS y se
les llamo todo tipo de insultos por no instalar un SP1 de 130 MB y otros 72
MB de actualizaciones via intenet???
y otros tantos insultos por preguntar como desactivar un agente de
actualizaciones que verdaderamente no sirve PARA NADA cuando tienes un modem
y conexion de 33600.
Mejor lo dejamos de lado



:-DDD

Aunque MS va sacar un CD-ROM con todas las actualizaciones, la unica
solucion al respecto seria intentar que alguien que tuviera una
conexion de banda ancha, les hiciera el favor de copiarselo (si no hay
derechos de por medio), o algun ciber-cafe..aunque estas soluciones a
bote pronto son dificiles, porque casi nadie se pone de acuerdo en
nada... ;-)

Tal vez usar las redes P2P...solo es una sugerencia... :-)

5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)


Esto lo pregunte yo mismo hace rato, por que como que ya es cansado leer a
los dos bandos tirandose bolita por bolita cada bug que se encuentra en cada
sistema operativo esto no es justo ni de un lado ni de otro, vamos a ver
cual ha sido el mas dañino y/o peligroso de un lado y otro



Si se hace un estudio habra que poner cuales pertenecen de
aplicaciones y cuales del kernel ejemplo: Si IE (internet explorer)
tiene un fallo, como esta *integrado* en el sistema operativo el fallo
seria de Windows, si el Jabber tiene un fallo es de Jabber, no del
Kernel de Linux.

GNU/Linux no es mejor que Windows y Windows no es mejor que
GNU/Linux, son distintos y pueden coexistir en armonia y paz (vaya ha
salido la navidad jejeje), esto lo digo porque quien tenga que
administrar una empresa, con varios sistemas sabra de lo que estoy
hablando...

Por lo que se este año MS se lleva la palma con todo y honores, al tener un
bug en un sistema operativo que estaba latente desde Windows NT4 y que
parece mentira pero le pego hasta al recien nacido Windows 2003 a solo unos
dias de haber visto la luz con fanfarria y pompa que ensalzaba el
"Asombroso" nivel de integridad y seguridad, no os preocupeis chicos, que
hasta Fred Astaire se cayo alguna vez en el escenario...



Eso solo demuestra que no parten de cero cuando realizan un nuevo
desarrollo, reciclan como es normal, y tambien pasara con el esperado
Longdorn...y si no al tiempo

Es lo que ocurre por vender la leche, antes de tener la
vaca...(Steve Ballmer & company)...

Salu2.


Ille Corvus. Hic et Nunc.
Respuesta Responder a este mensaje
#5 Ille Corvus
26/12/2003 - 21:04 | Informe spam
El Fri, 26 Dec 2003 10:08:04 -0500, "Mr Big Dragon"
escribio:

1) Las vulnerabilidades existen y se explotan antes de ser publicadas


Correcto y afirmativo, incluso algunos hackers que se las dan de "Santos"
ven si hay algo explotable antes de avisar de tal o cual nuevo "Agujero"...



Lo malo es que los hacker (de sombrero negro) cada vez avisan menos
o no avisan...parece un cambio de "politica", segun se puede ver en
ciertos foros.

2) Microsoft no descubre las vulnerabilidades


Pues esto no lo se a ciencia cierta pero parece cierto, almenos en este año
que termina microsoft no clama responsabilidad por ninguno de los agujeros
detectados y si hay muchos otros que claman su descubrimiento...



Al margen de la titularidad de los agujeros, lo importante es que
los arreglen lo antes posible, eso es lo realmente importante...no
dejar a los usuarios tirados durante 40-50 dias sin el parche en
cuestion...

3) Las empresas planifican sus propias políticas de actualizaciones


Muy correcto y aceptable, recuerda que despues del SP1 hubo que "Reparchar"
sobre algunos detalles que dejo mal el "Parche", esto en mision critica no
es aceptable, pero tambien es cierto que los escenarios de pruebas son
permanentes y a la salida de cualquier detalle, el ejercito de informatico
debe estar listo para probarlo sin demora y aceptar o denegar su
implementacion.



Que me vas a contar :-) cada empresa tiene su PROPIA politica de
como, cuando y donde se deben poner...aunque MS quiera cambiarlo.

4) Dificultad para usuarios sin banda ancha en la descarga de grandes
actualizaciones


De super acuerdo con esto, y no me eches sal en la herida que aun la tengo
abierta...
Gente pobre en comunidades rurales con modems y conexiones a 33,600 BPS y se
les llamo todo tipo de insultos por no instalar un SP1 de 130 MB y otros 72
MB de actualizaciones via intenet???
y otros tantos insultos por preguntar como desactivar un agente de
actualizaciones que verdaderamente no sirve PARA NADA cuando tienes un modem
y conexion de 33600.
Mejor lo dejamos de lado



:-DDD

Aunque MS va sacar un CD-ROM con todas las actualizaciones, la unica
solucion al respecto seria intentar que alguien que tuviera una
conexion de banda ancha, les hiciera el favor de copiarselo (si no hay
derechos de por medio), o algun ciber-cafe..aunque estas soluciones a
bote pronto son dificiles, porque casi nadie se pone de acuerdo en
nada... ;-)

Tal vez usar las redes P2P...solo es una sugerencia... :-)

5) Comparativa Microsoft vs. Linux cualitativa (no cuantitativa)


Esto lo pregunte yo mismo hace rato, por que como que ya es cansado leer a
los dos bandos tirandose bolita por bolita cada bug que se encuentra en cada
sistema operativo esto no es justo ni de un lado ni de otro, vamos a ver
cual ha sido el mas dañino y/o peligroso de un lado y otro



Si se hace un estudio habra que poner cuales pertenecen de
aplicaciones y cuales del kernel ejemplo: Si IE (internet explorer)
tiene un fallo, como esta *integrado* en el sistema operativo el fallo
seria de Windows, si el Jabber tiene un fallo es de Jabber, no del
Kernel de Linux.

GNU/Linux no es mejor que Windows y Windows no es mejor que
GNU/Linux, son distintos y pueden coexistir en armonia y paz (vaya ha
salido la navidad jejeje), esto lo digo porque quien tenga que
administrar una empresa, con varios sistemas sabra de lo que estoy
hablando...

Por lo que se este año MS se lleva la palma con todo y honores, al tener un
bug en un sistema operativo que estaba latente desde Windows NT4 y que
parece mentira pero le pego hasta al recien nacido Windows 2003 a solo unos
dias de haber visto la luz con fanfarria y pompa que ensalzaba el
"Asombroso" nivel de integridad y seguridad, no os preocupeis chicos, que
hasta Fred Astaire se cayo alguna vez en el escenario...



Eso solo demuestra que no parten de cero cuando realizan un nuevo
desarrollo, reciclan como es normal, y tambien pasara con el esperado
Longdorn...y si no al tiempo

Es lo que ocurre por vender la leche, antes de tener la
vaca...(Steve Ballmer & company)...

Salu2.


Ille Corvus. Hic et Nunc.
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida