共用方式為

Informando con sensatez

  • 發行項

shield_greenLa semana pasada liberamos una actualización de seguridad fuera de programación, con el fin de mantener protegido a nuestros usuarios corriegiendo una vulnerabilidad encontrada en Internet Explorer.

Como siempre la cobertura de prensa fue importante en estos temas, pero esta vez leí muchos artículos que replicaban artículos escritos en USA o en Inglaterra, con inexactitudes importantes y más aún casi vaticinando el fin del mundo informático por este problema. Si bien, efectivamente el problema era Crítico, el infundir el pánico nunca es una buena práctica. Particularmente en el caso de seguridad, lo primero es tratar de tranquilizar la situación para informar que es lo que se debe hacer.

Es por lo anterior, que me llamó profundamente la atención un artículo de Gustavo Aldegani, quien es Editor especializado en seguridad para IT Sitio, quien llama a la seriedad al momento de informar este tipo de noticias.

Transcribo el artículo íntegro con previa autorización de Gustavo.

03.11.2008

clip_image001

clip_image002

clip_image003

La Seguridad es un negocio de conocimiento, el periodismo de IT también debería serlo clip_image004

clip_image005

Por Gustavo Aldegani

Un par de semanas atrás Microsoft publicó un parche de urgencia para solucionar una vulnerabilidad que afectaba a toda la línea actual de Windows. Algunos medios lo presentaron como una catástrofe de dimensiones apocalípticas y otros se concentraron en señalar que la versión de Windows 7 no había salido al mercado pero ya tenía vulnerabilidades. Lo primero no podía ocurrir y lo segundo es algo obvio y sacado de contexto. Esto casi se pareció a algunos programas periodísticos de la TV de aire.

Por Gustavo Aldegani Editor de la Comunidad Seguridad

Como siempre comencemos por los hechos. Decíamos en nuestro informe publicado en el newsletter de Seguridad del 28 de octubre que el parche MS08-067 solucionaba un problema en el servicio Server basado en un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC. Esta vulnerabilidad se puede explotar de manera remota sin interacción del usuario enviando una petición especialmente programada a un puerto, en el que se podrá ejecutar código con privilegios de administrador. Esta descripción hizo que algunos periodistas de IT recordaran virus como el Blaster o el Sasser y anunciaran el apocalipsis informático. En ningún momento se pusieron a analizar que el escenario es un poco diferente y existen factores que, si bien no neutralizan el problema, imposibilitan un impacto como el de las epidemias citadas. Uno de estos factores es el hecho de que en Vista y Windows 2008 la vulnerabilidad no es crítica sino sólo importante debido a que en estas versiones el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Otro es que si se tiene instalado el Service Pack 2 de Windows XP, se tiene activado el firewall, lo que genera otra capa de protección para este problema. Además, se debe tener en cuenta que casi nadie corre un sistema operativo Windows sin contar con herramientas específicas de seguridad, y los anti-malware de los principales Vendors pueden detectar y bloquear este tipo de ataques. No me considero periodista, intento ser un buen divulgador tecnológico, pero tengo amigos y compañeros de trabajo que lo son en serio, y a algunos los conozco desde 1992, cuando publiqué mi primera nota en una revista de IT. Una de las primeras cosas que aprendí de ellos es que siempre hay que verificar las fuentes y entender la totalidad de los hechos que se quieren analizar. No pienso que quien escribe de IT en general y de Seguridad en particular tenga que ser un consultor especializado, pero sí cumplir con las bases del periodismo. También comprendo que la posición “péguele a Microsoft” todavía consigue adeptos o al menos despierta el interés suficiente como para leer una nota, pero creo que el periodismo de IT debe ser lo que hace muchos años definimos (no estoy diciendo inventamos) con Viviana Alonso, mi jefa en la desaparecida revista Compumagazine: información para una mejor toma de decisiones.

Y quién es Gustavo Aldegani? Evaluen Uds. mismos:

Gustavo Aldegani:

  • Consultor Independiente en Seguridad Informática con 25 años de experiencia en Implementación de Sistemas Seguros en empresas y organizaciones militares y de gobierno de Argentina , América Latina y Estados Unidos.
  • Coordinador Técnico del CSIRT (Computer Security Response Team) de CABASE para organizaciones privadas de Argentina.
  • Consultor contratado por la ONTI (Oficina Nacional de Tecnologías de la Información de la Argentina) para el Proyecto de Infraestructura Nacional de Firma Digital desarrollado entre 2004 y 2007.
  • Director de la Carrera de Especialista en Seguridad Informática del CCAT (Centro de Capacitación de Alta Tecnología).
  • Profesor de la Facultad de Tecnología Informática de la Universidad de Belgrano.
  • Profesor del Posgrado de Seguridad Informática de la Universidad de Belgrano.
  • Director de la Comisión de Seguridad Informática del Consejo Profesional en Ciencias Informáticas.
  • Cuenta con 8 libros publicados sobre Seguridad Informática, algunos de los cuales fueron utilizados como libros de texto de la materia en Universidades Nacionales y Privadas de Argentina.

Espero encuentren el artículo tan valioso como yo.

Saludos, Christian.-

Technorati: Microsoft,Seguridad,Boletines,Alertas,ITSitio,Noticias,Prensa,MS08-078,Internet Explorer 7.0,Internet Explorer,Proteccion

del.icio.us: Microsoft,Seguridad,Boletines,Alertas,ITSitio,Noticias,Prensa,MS08-078,Internet Explorer 7.0,Internet Explorer,Proteccion

Comments

  • Anonymous
    January 01, 2003
    Acabo de ver en televisión (en un segmento de tecnología de Via X) el titular "Open Source v/s Copy Right". ¿Qué diablos? Todo lo que dicen en ese segmento no tiene sentido alguno, porque simplemente ¡está basado en conceptos erróneos!...

  • Anonymous
    January 08, 2009
    Completamente de acuerdo con Gustavo, una persona que escribe noticias TI, debe ir siempre a la fuente original y validar que el problema sea de la magnitud que se dice, pero muchas veces por tiempo o porque vende mas lo APOCALIPTICO, se hace de esa forma. Pero esa no la forma de informar IT!

  • Anonymous
    February 01, 2009
    Christian, Agree. Si bien esta vulnerabilidad dió problemas y en algunas partes no menores, se debe analizar bien a que se deben esos problemas. En mi opinión personal y en mi observación de los problemas que tomé conocimiento se debió en gran medida a que dichas empresas si bien fueron informadas con tiempo de la vulnerabilidad, no disponían de los elementos de resguardo adecuados tales como:

  • Carencia de un proceso adecuado de monitoreo de vulnerabilidad.
  • Carencia de un proceso adecuado de parchado.
  • Equipos sin la funcionalidad de firewall activo No se puede esperar que los sistemas no tengan vulnerabilidades. Si que que tengan menos vulnerabilidades y menos graves, pero aún así, si no se toman las debidas precauciones entonces ahi comienzan los verdaderos problemas.