"La única conclusión que se puede razonablemente extraer es que ésta fue una puerta trasera deliberada, colocada en todas las versiones recientes de Microsoft Windows. POR QUÉ fue puesta y QUIÉN lo sabía, y PARA QUÉ esperaban utilizarla... nunca lo sabremos."
(Steve Gibson, GRC.com)
Es difícil saber por qué, pero hay veces en que alguien decide jugarse toda su reputación a una sola carta.
Y es que las recientes declaraciones de Steve Gibson (experto en seguridad informática, bien conocido por su labor al frente de GRC.com) no van a pasar desapercibidas, y son de las que pueden comprometer -para bien o para mal- el nombre de alguien de por vida...
Gibson, en base a más o menos complejas indagaciones técnicas, afirma que el reciente bug en la visualización de ficheros WMF constituye una auténtica puerta trasera, que fue colocada en las últimas versiones de Windows a propósito.
El debate está servido y, de momento, prácticamente nadie contradice los detalles técnicos, aunque sí varían -y mucho- las interpretaciones.
De lo que no cabe ninguna duda es de que a Gibson -como a todo creador de opinión que se precie- no le faltan detractores, que, llegado el caso, le harán pagar muy caro su atrevimiento...
ACTUALIZACIÓN [10:53]: Microsoft se explica y desmiente las atrevidas afirmaciones de Gibson.
Más madera... que lo están arreglando
Fernando Acero15 Enero 2006 - 8:43pm
He visto este artículo y me quedado impresionado.... o como dijo el insigne Jesulín en dos palabras "Im-prezionante". Pero lo curioso es que ahí están, como si nada pasase.
Mike Nash habla de la vulnerabilidad WMF, Corporate Vice President responsible Security at Microsoft
“Si hay algo bueno que hayamos hecho en los últimos dos años, eso es decantarnos por las actualizaciones mensuales. Las agendas conocidas permiten planificar, y trasladan menos tensión a la infraestructura de los clientes, siendo los resultados mejores”
Sipongo que la ventana de exposición a la vulnerabilidad no le importará mucho a sus clientes. No perdamos de vista que este software es el que está presente en más del 80% de nuestra administración y se utiliza para procesar nuestros datos y incluso, en aplicaciones críticas para la economía o la defensa nacional. Claro, que teniendo en cuenta que sus clientes son tomados por tontos en su primera afirmación, no me extraña en absoluto, veamos lo que dice:
Los usuarios odian que les entreguemos actualizaciones de nuestro software en general. Teóricamente, los problemas los resolvemos antes de entregar los productos. Ese es el propósito de la Trustworthy Computing y el SDL
Claro, que cualquier ocasión es buena para una cuña publicitaria del "Trustworthy Computing" y claro, todos los usuarios dicen que cuantas menos actualizaciones mejor, que no importa vivir con el enemigo en casa. Hace unos meses le robaron a un amigo unos cuantos cuartos de su cuenta bancaria gracias a un troyano, pero ¿a quién le importa? mientras no te toque la china. Creo que vale la pena leer los comentarios del final del artículo.
Pero me pregunto ¿todavía hay gente en este foro que piense que este producto es seguro y que la respuesta de la empresa es suficiente?
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Directivos que hablan
Sergio Hernando16 Enero 2006 - 10:25pm
Gracias por la referencia, Fernando.
Pues sí, encontré particularmente desafortunadas las declaraciones del señor Nash. Pero bueno, en esta tierra del Señor cada cual dice lo que le sale del alma.
El otro día le tocó a Stephen Toulouse salir a la palestra, tal y como enlazó José Manuel. No tiene desperdicio. El blog del MSRC es cada vez más, el blog del club de la comedia.
Saludos !
Sergio Hernando - http://www.sahw.com
Directivos que hablan ...¿y analistas que se precipitan?
Krampo16 Enero 2006 - 10:49pm
Sin ánimo de tomar parte por ninguno de los actores, creo que, con la información que hay publicada hasta la fecha de hoy, el post de Stephen Toulouse que has enlazado le echa un buen jarro de agua fría a las palabras ¿precipitadas? de mi admirado Steve Gibson.
Tras leer integramente la entrevista en que Steve Gibson soltó "la bomba" y la respuesta de Stephen Toulouse, creo que Steve Gibson se ha precipitado en sus conclusiones y ha cometido algún error en su estrategia de análisis de la vulnerabilidad. Motivos:
1.- La explicación de Stephen Toulouse deja claro que uno de los elementos que pesaron bastante sobre la conclusión de Steve Gibson estaba provocado por un "enfoque parcial" del problema. Parece que Steve Gibson habría hecho pruebas en las que SIEMPRE el registro potencialmente problemático era el último del fichero. En esas circunstancias, se producía lo que él llama el "magic number", es decir, sólo poniendo un valor "1" en la longitud del registro se podía explotar la vulnerabilidad. PERO al parecer, si hay otros registros más hacia el final del fichero, no es necesario que se produzca esa circunstancia tan especial y que tanto "mosquea".
2.- El mismo Steve Gibson reconoce que le costó mucho conseguir explotar la vulnerabilidad (posiblemente por lo comentado en el punto 1 anterior). Pero en ningún caso se decantó por analizar el código ya disponible en la red que explotaba con éxito la vulnerabilidad (a pesar de que conocía su existencia). Y ese es el error que cometió en mi opinión. Parecía un paso evidente a dar, puesto que él no conseguía explotar la vulnerabilidad por sí mismo. Además, de rebote, probablemente le hubiese hecho enfocar el problema desde una perspectiva más amplia que la que le llevó a concluir la existencia de un "magic number" como única forma de explotar la vulnerabilidad.
En todo caso, como decía al principio, eso es lo que pienso "con la información que hay publicada hasta la fecha de hoy". Estoy a la espera de que Steve Gibson publique sus conclusiones definitivas.
Demasiada "conspiranoia"
Sergio Hernando17 Enero 2006 - 10:36pm
Krampo,
Estoy contigo en lo que dices sobre el jarro de agua fría. MS no podía dejar de hacer lo que ha hecho, y es justificar lo que yo creo que todos pensamos (salvo Gibson, claro) y es que MS en ningún caso ha empleado el problema como un backdoor.
Una teoría demasiado "conspiranoica", y desde luego, que poco fundada por Gibson. Quizás Gibson nos sorprenda, pero yo particularmente creo que no lo hará.
El tiempo dirá :)
Atentamente,
Sergio Hernando - http://www.sahw.com