martes, abril 15, 2008

¡Qué difícil es gestionar la seguridad!

Aun recuerdo las guerras por la política de Spectra de sacar los parches regularmente. Fueron momentos agitados. En aquel entonces Spectra se encontraba recibiendo un volumen de trabajo enorme en los departamentos de soporte por lo que quizás ha podido ser la mayor amenaza para sacar a Windows de la empresa: Los gusanos de rápida propagación y con efectos palpables. Sí, RedCode, Sasser, Blaster, y demás mutaciones pusieron a Spectra contra las cuerdas en muchos clientes. Pensad en una empresa con 1.000 equipos dónde se colara el Blaster o el Sasser o… uff, no me hubiera gustado ser del equipo IT en esos días.

Había que acabar con aquello, y por eso se comenzó la famosa TWC (Trustworthy Computing Initiative) y con ella la política de actualizaciones. Había que conseguir que los clientes parchearan los sistemas y para ello, la única forma era “alineándose” con su negocio. Había que desarrollar un sistema que los administradores IT de los clientes pudieran gestionar, que fuera escalable y a ser posible que ni se notara.

A partir de ahí comenzó la historia que muchos os sabéis. Spectra sacó el Windows Update, el SUS, luego el WSUS, el SMS integrado, e incluso recuerdo presentaciones nuestras en las que decíamos: “Oye, da igual, si no os gusta nada de esto, podéis usar cualquiera de estos programas, pero por favor actualizar el software”.

Después de demostrarse el éxito de la política de parches programada, y digo demostrarse porque los clientes así lo han mostrado en las encuestas de satisfacción que Spectra realiza continuamente para evaluar la calidad de sus servicios, muchas han sido las empresas que se han ido sumando a esta iniciativa. Incluso empresas que al principio lo criticaron. Hoy Cisco tiene ciclos programados, Oracle tiene ciclos programados, etc…

Sin embargo, esta no es la única tarea a realizar para gestionar la seguridad. La mejor política de parches es que no haya parches que aplicar. Para eso Spectra ha aplicado múltiples controles con el SDL (Secure Development Lifecycle), ha aplicado análisis por medio de herramientas de análisis de código estático, testing, etc… Estos métodos no implicarán que los sistemas no tengan algún fallo en el futuro, pero si consiguen que se minimice el número de estos.

En el caso de Oracle, nos encontramos que la política de actualizaciones de software sigue un modelo de ciclo programado. En este caso son parches trimestrales, pero aun le falta a la compañía aplicar otros controles. Es de notar como por ejemplo, SQL Server 2005, la principal competencia de Oracle en muchos entornos, a día de hoy, y ya con SQL Server 2008 sobre la mesa, sigue con 0 fallos de seguridad, mientras que Oracle Database 10g, con sólo un poco más de antigüedad, cuenta con 20 fallos de seguridad publicados más alguno más que sale en el ciclo de parches de este trismestre, dónde además se estrena Oracle Database 11g.

Estos resultados de Oracle ponen de manifiesto la buena labor que el equipo de Spectra que está detrás del diseño, desarrollo y mantenimiento de la seguridad de SQL Server está realizando, pues, como se demuestra con Oracle, no es nada fácil.

Por otra parte, me gustaría volver a hacer hincapié en la necesidad de que todo el software esté actualizado y cualquier política de actualización de parches que ayude a que sean aplicados es buena. En el caso de los ordenadores personales, Spectra no actualiza software de terceros, y es por eso necesario usar las propias herramientas de la empresa fabricante o utilizar software de análisis de versiones en el equipo. La gente de Secunia tiene PSI (Personal Software Inspector) o NSI (Network Software Inspector) para ayudar a mantener el software de terceros actualizado. Yo uso PSI y estoy contento, es cómodo, rápido y me ayuda a tener actualizado software que hoy en día está en el ojo de mira, como Acrobat Reader, Winamp, Quick Time, etc… Y para ejemplo tenéis el reto Pwned!

Saludos Malignos!

8 comentarios:

  1. Digamos que hoy fulanito descubre una vulnerabilidad chunga, chunga.
    Hasta que la compañía publique el parche, cuando pueda y cuando/si le de la gana, las opciones de los usuarios son apagar o rezar.
    Sigo sin ver la ventaja...

    ResponderEliminar
  2. Tú tal vez no, pero yo sí y sólo tengo diez ordenadores entre la oficina y las dos tiendas. Así de paso me programo unas visitas de mantenimiento para tomarme un café con los chicos de las tiendas, lejos del jefe, a gasolina pagada.

    ResponderEliminar
  3. En "el mundo" he visto esta curiosidad con respecto a Spectra.
    Ya me dirás que te parece:futuro spectra
    Por cierto, lo de las actualizaciones está bien...la única pega que le saco es que si el SO tiene 6 meses de uso a pleno ritmo, Windows se vuelve pesado de mover.

    ResponderEliminar
  4. No estoy nada de acuerdo con ese artículo de "El Mundo".
    Lo de que el Vista es muy inestable y con futuro incierto... sólo hace falta mirar las estadísticas (www.w3counter.com) y observar que sigue creciendo.

    La gente también debería probarlo para hablar de él, no he tenido ni un solo problema desde que me lo instalé, y la mejora de SP1 es francamente notable, sobre todo para movimiento de archivos entre disco duro y entre varios ordenadores a través de LAN (lo que yo uso), no soy IT (de momento), sólo puedo hablar desde mi experiencia personal.

    Creo que Microsoft se gasta muuucha pasta en preveer acontecimientos y tecnología, no creo que los señores estos le estén diciendo nada que asuste a MS. Respeto a "Microsoft no está desarrollando nuevos productos, sino que reedita los que ya tiene"... Vista ha sido desarrollado completamente con el Trustworthy Computing Initiative, no es una reedición.

    A mi entender, que no es mucho, creo que trabajar en local con el SO o el Office (ejemplo del artículo) es más seguro que trabajar a través de la red (repito, esto lo digo desde mi poca experiencia y conocimiento).

    Con respecto al post, xD, está claro que MS está esforzándose para llegar a todos con la calidad de sus productos.
    Las encuestas también hablan por sí solas:http://blogs.technet.com/guillermotaylor/archive/2008/04/04/windows-vista-seguridad-de-la-plataforma-microsoft-y-la-encuesta-de-satisfacci-n.aspx

    Saludos!

    ResponderEliminar
  5. Aun me acuerdo la caña que me dieron en Barrapunto (http://barrapunto.com/articles/03/12/16/0858240.shtml) cuando Hispasec publicó una explicación mía a la entonces recién estrenada política de parches (http://www.hispasec.com/unaaldia/1877).

    La política de actualizaciones mensuales y predecibles para facilitar la gestión de las actualizaciones era una medida mas en TWC, no la única, pero tan importante como la que mas.

    Y es que nos pasabamos la vida pidiendo a CIOs que dejaran de hacer lo que estaban haciendo, para ponerse a instalar parches como fuera, y esa falta de planificacion les cabreaba casi mas que la vulnerabilidad en si.

    Que tiempos de paz, cuando solo me llamaban gilipollas en barrapunto :-) !!!!...

    Quien me iba a decir a mi que luego vendría OpenXML ;-) ;-)

    ResponderEliminar
  6. Hola Iñigo, yo tengo mi vista en un portatil de hace 2 años, y lo tengo Instalado desde hace más de 1 año. A quien quiera se lo dejo ver y que juege con él y le he hecho autenticas barrabasadas. Hasta dar un conferencia en Blackhat con él corriendo máquinas virtuales!!

    ResponderEliminar
  7. ...jejejeee maquinas virtuales que luego petarón...(aaahiiii ese VirtualPC!!)

    :P

    El futuro indicara lo que pasa... pero ojala exista menos monopolio.

    Por cierto, que Vista siga vendiendose y creciendo es normal, joer te lo comes en cualquier pc OEM.

    ResponderEliminar
  8. @anonimo, si hay un parche cada día es imposible aplicarlos. Si tienes un linux con 500 paquetes... cada cuando tienes que aplicar un nuevo parche que esté públicado y arrancar un proceso de testing? Y no me estoy refiriendo a que aparezca un nuevo paquete de la distro, sino a que esté publicado un fix en el src de un paquete... Lo siento, es casi imposible de gestionar ese sistema. Hasta en Coverity tuvieron que congelar las versiones para poder analizarlos....

    @DTV, sí, la culpa es de los "malditos drivers gráficos". Ya ves, le pinchamos el cañón de video... y petó.

    ResponderEliminar