Apenas unos días después del lanzamiento de Office 2003, Microsoft se ha visto obligada a publicar el primer parche para su recién estrenado paquete ofimático. Se trata del penúltimo capítulo de una serie interminable de vulnerabilidades de seguridad, actualizaciones y parches de las propias actualizaciones, que cuestiona la plataforma Windows en favor de otros sistemas operativos.

La continua aparición de problemas de seguridad en entornos Microsoft y sus errores en las actualizaciones son un tema recurrente, al que hay que sumar la proliferación de virus, gusanos y malware en general que azotan a la plataforma Windows.

En función de la gravedad de los incidentes, y las consiguientes críticas, Microsoft ha ido realizando diversos anuncios sobre nuevas líneas y estrategias para minimizar y mitigar estos problemas, si bien los resultados se hacen esperar y la desconfianza crece entre los usuarios.

La iniciativa STPP

Bajo una continua saga de incidentes y gusanos de Internet, y visto que la seguridad comenzaba a ser un factor determinante a la hora de que gobiernos, corporaciones y empresas se decanten por una determinada plataforma, Microsoft inicia a finales de 2001 una nueva campaña anunciada como definitiva; no en vano partía de una misiva dirigida por el propio Bill Gates a todos sus empleados para concienciar de su importancia.

En octubre de 2001, bajo el nombre de Strategic Technology Protection Program (STPP) Microsoft presenta una iniciativa que pretende mejorar la seguridad de sus sistemas operativos y su respuesta ante nuevos problemas de seguridad. A través de dos fases consecutivas, denominadas Get secure y Stay secure, Microsoft proporcionaría herramientas gratuitas, así como soporte técnico, a empresas de cualquier tamaño. Primero, para que puedan comprobar que sus entornos informáticos se encuentran perfectamente “sanos” o, en caso de no ser así, puedan subsanar los daños que se hubiesen producido; en segunda instancia, para dotarles de todo lo necesario a fin de que la seguridad obtenida se prolonguase en el tiempo.

Entre otras soluciones destaca Windows Update Corporate Edition Program, un sistema mediante el cual el administrador tendrá un control total sobre cómo mantener sus sistemas actualizados, decidiendo de qué forma quiere instalar la actualización en cada servidor o sistema de sobremesa.

Con estas dos fases Microsoft intenta disminuir el tiempo que transcurre desde que es descubierta la vulnerabilidad hasta que el sistema del cliente es actualizado, y de esta forma reducir el riesgo de que los sistemas resulten dañados.

Parches con fallos

El 18 de octubre de 2001 Microsoft retiraba un parche para Windows 2000 (MS01-052 Invalid RDP Data can Cause Terminal Service Failure) cuya instalación causaba errores en los sistemas. El 22 de octubre se publicaba una rectificación del parche. Steve Lipner, director de seguridad de Microsoft, reconoció públicamente los problemas que achacó a “confusiones” de índole administrativa, al mismo tiempo que anunciaba la puesta en marcha de nuevos procedimientos para impedir que se volviera a repetir el caso y conseguir la confianza de los usuarios en el programa STPP.

Como parte de la campaña de imagen, Microsoft hizo público un llamamiento a la comunidad profesional dedicada a la seguridad para que no se divulgaran los errores detectados en sus productos. El objetivo de la compañía de Redmond era “no proporcionar información gratuita a los hackers para explotar las debilidades del sistema”. En un comunicado firmado por Scott Culp, responsable del Microsoft Security Response Center, se atribuía a la “anarquía informativa” existente el éxito alcanzado por los últimos gusanos: Code Red, Lion, Sadmin y Nimda.

Dicho y hecho. El 1 de noviembre de ese mismo año Microsoft publicaba un boletín donde se describía y facilitaba un parche destinado a corregir una vulnerabilidad en el servicio UPnP (Universal Plug and Play) que afectaba a Windows 98, ME y XP. Los usuarios de Windows ME que instalaron el parche pasaron de la remota posibilidad de sufrir un ataque DoS (denegación de servicios) a poder tener continuos problemas a nivel de sistema. Tras los primeros informes en este sentido, Microsoft retiró el parche para Windows ME.

Windows Update

Algunos de los principales damnificados fueron los usuarios que utilizaron el servicio de actualizaciones automáticas de Microsoft, Windows Update, que suelen ser los “conejillos de Indias” con los que se prueban los parches sin más información. Bajo el título October 25th, 2001 Critical Update se incluyó el parche defectuoso del servicio UPnP. Este hecho viene a cuestionar la posibilidad de que los sistemas Windows incluyan por defecto la función de actualización automática, ya que dada la calidad de los parches de actualización puede ser peor el remedio que la enfermedad, siendo especialmente sensibles los servidores o puestos críticos.

Este mismo incidente también tiró por tierra el debate de la “anarquía informativa” promovido por Microsoft, ya que dejó patente que sus problemas con la seguridad, al menos en lo que a parches defectuosos se refiere, poco tienen que ver con la presión que pueda ejercer la divulgación pública de las vulnerabilidades detectadas en sus productos.

El problema original en el servicio UPnP fue reportado en exclusiva a Microsoft el 15 de agosto por un investigador externo. Tuvo que esperar 12 días a que Microsoft le comunicara que estaban estudiando el caso. A principios de septiembre le confirmaron la existencia de la vulnerabilidad. Transcurridas 10 semanas del aviso, el 1 de noviembre, Microsoft hizo pública la vulnerabilidad y facilitó la “solución”, con los problemas ya descritos.

El programa STPP sigue su curso, si bien los incidentes en materia de seguridad en entornos Microsoft, lejos de remitir, no dejan de aumentar. Este año hemos asistido a uno de los veranos más negros de la historia de Internet, con la aparición de gusanos como Sobig o Blaster, que afectan de lleno a los sistemas Windows.

Especial relevancia tiene el caso de Blaster que, además de ser uno de los gusanos de más rápida propagación a través de Internet y redes locales, pone el dedo en la llaga de la iniciativa STPP de Microsoft, ya que infecta sistemas de forma automática aprovechando que no han aplicado el parche para una vulnerabilidad en la interfaz RPC de Windows.

Dos años después de la puesta en marcha de una iniciativa que tenía como fin disminuir el tiempo que transcurre desde que es descubierta la vulnerabilidad hasta que el sistema del cliente es actualizado, Blaster demuestra que la mayoría de los sistemas Windows no se actualizan puntualmente y se encuentran con vulnerabilidades muy críticas.

Boletines mensuales

En un nuevo intento de reflotar la maltrecha imagen de Microsoft en materia de seguridad, el pasado mes de octubre Steve Ballmer anunció nuevas iniciativas que prometían hacer de Windows un sistema menos vulnerable a los ataques. De nuevo el marketing se adelanta a la tecnología.

Además del anuncio público, de cara a mitigar el aluvión de críticas que está padeciendo Microsoft por el verano negro que ha protagonizado en materia de seguridad, tan sólo han trascendido vagas pinceladas sobre las medidas reales que implantarán. Desde la activación por defecto del firewall que incluye Windows, hasta la nueva política de aviso