Un greu error de seguretat al Microsoft Internet Explorer 5.5 i 6.0 permet
a un intrús recollir les «cookies» del teu disc.
L’empresa finlandesa de seguretat Online Solutions va descobrir el forat el passat
dia 1 de novembre.
Era el dia 8 i encara no hi havia cap solució. Van enviar un missatge
a Microsoft explicant que ja havia passat un temps raonable i que farien públic
l’error a Bugtraq –un lloc especialitzat en seguretat. Així els usuaris
podrien protegir-se desactivant les cookies… i si algú amb males intencions
també ha trobat l’error?
El Microsoft Security Response va contestar que necessitarien setmanes
per solucionar-ho. Els finlandesos no entenien com una companyia amb 50.000 enginyers
de software es podia estorbar tant en trobar una solució i així
els hi van fer saber. La resposta va ser que l’error era fàcil de solucionar,
però que havien de fer l’instal·lador i provar-lo. Si s’avançaven
esbombant l’error, els finlandesos no tindrien cap crèdit oficial sobre
el descobriment.
A Online Solutions van decidir publicar l’error a Bugtraq. Pensen que veure
el seu nom a una nota oficial de Microsoft no compensa el perill que corren milions
d’usuaris desinformats d’Internet Explorer.
També diuen que estan avesats a veure publicades solucions a programari
obert en menys de 24 hores. Però en aquest cas el codi només està
a Microsoft i ningú més pot fer-hi res.
Microsoft encara no ha publicat cap parxe, però s’han vist obligats
a dir alguna cosa per mor de que el forat ja està explicat a Bugtraq. Mentre
no enllesteixen l’actualització, a l’article recomanen una configuració
més restrictiva amb les cookies de l’Explorer. També renyen als
tècnics d’Online Solutions:
«La persona que ha descobert aquest error ha escollit fer-ho de forma
irresponsable i deliberadament l’ha fet públic pocs dies després
de dir-ho a Microsoft. És simplement impossible crear, provar i distribuir
un parxe amb tant poc temps i fer-lo amb un estàndard de qualitat raonable».
Al mateix paràgraf, la paraula «irresponsabilitat» està
vinclada cap a l’article del «Manager of the Microsoft Security Response
Center», en Scott Culp, on demanava silenci –o el fi de «l’anarquia
informativa» sobre els nombrosos i preocupants forats dels seus productes.
Eric S. Raymond –també avesat a veure respostes ràpides al món
del programari obert– va comentar l’article d’en Scott Culp: «Si no poden
aguantar la calor, que surtin de la cuina. Si els seus sistemes operatius no poden
aguantar un entorn on els atacs es difonen ràpidament, no estan preparats
pel negoci dels sistemes operatius».
O com va dir en Llorenç Valverde al seu article del Diari de Balears:
«Dit altrament, que se’l poden imaginar cantant al senyor Gates i companyia
una versió adaptada d’aquell conegut pasdoble que deia una cosa com ara
“Manolete, Manolete, si no sabes torear, xis pum, pa’ que te metes!”»
(copio l’article complet a la plana 2(1) perquè ja no està en línia
al web del diari).
En Valverde demà va a Andorra i no estarà al seu programa «Des
de la Xarxa», de Ràdio Jove. Però comentarem la «manoletada»
amb el pasdoble de fons. Va por ustedes.
Enllaços:
Noticia a la CNN(2)
Article de Microsoft(3)
Explicacions d’Online Solutions(4)
Cronologia dels fets, segons Online Solutions(5)
Article a Bugtraq(6)
Programa «Des de la Xarxa»(7)
Article al Diari de Balears(8):
Llorenç Valverde
Edició: 1148, 24 d’octubre del 2001
No ho digueu a ningú
Des del punt de vista de la seguretat i vulnerabilitat dels seus programes,
i per dir-ho d’una forma suau, aquest no ha estat un bon any per a Microsoft.
Cada dos per tres ens hem vist sotmesos a ensurts informàtics, provocats
per un virus o per un cuc, i que han generat situacions de pànic, gairebé
col·lectiu i global. La majoria d’aquests ensurts, com reconeix el cap
del centre d’emergències de seguretat de Microsoft, de nom Scott Culp,
s’han produït just després que algú fes pública a la
xarxa la descoberta d’alguna de les múltiples i continuades fallades del
programari de Microsoft. És el cas dels cucs Codi Vermell, Ramen, Nimda
i d’altres, que exploten febleses del programa de gestió de correu electrònic
Outlook Express. Vagi per endavant que aquest és un reconeixement que honraria
Culp i Microsoft, si no fóra per dos detallets de no-res. El primer és
que ja ho sabíem i, per consegüent, només escau donar-li l’enhorabona
i quedar-nos tranquils en saber que, a la fi, ells també se n’han adonat.
El segon detallet de no-res està en el context en el qual hom fa aquest
reconeixement: un article signat per Culp de títol «És hora
d’acabar amb l’anarquia de la informació» i en el qual, entre d’altres
menuderies, coresponsabilitza dels desastres associats als virus i cucs aquells
que donen publicitat a les fallades del programari de Microsoft, com si fossin
el braç politicomilitar del col·lectiu d’autors dels programes malignes.
Per altra banda, el senyor Culp no s’està de res i, en una impressionant
demostració d’humilitat, reconeix explícitament en el seu article
que la perfecció és inabastable, fins i tot per Microsoft, i per
consegüent, conclou, només l’estricta ignorància sobre els
detalls d’aquestes fallades per part dels mortals que van a peu pot garantir la
seguretat i evitar els atacs. Així, doncs, per a Culp la solució
definitiva i única dels problemes que generen les negligències dels
programes del gegant americà consisteix a aconseguir que els experts en
seguretat, quan detectin les fallades, no ho diguin a ningú tret, és
clar, dels responsables de seguretat de Microsoft, els quals ja s’encarregaran
de fer els pegats corresponents. Il·lustra el seu argument amb un exemple
aclaridor, ja que diu que no cal saber les causes d’un mal de cap per prendre
una aspirina, exemple que, sigui dit de passada i ben mirat, no sembla estar gaire
d’acord amb el que hauria de ser una pràctica mèdica recomanable.
I és que Culp intenta contrarestar el que ja sap que serà un dels
arguments més contundents en contra de la seva petició i que no
és d’altra que la que ja han fet destacats membres de la comunitat del
codi obert, els quals posen com a exemple el que passa amb el Linux, que gràcies
precisament al fet que el seu codi és obert ha pogut ser revisat i millorat
per tots els seus usuaris. Les dades són contundents: ara hi ha més
servidors d’Internet basats en Linux que en Microsoft i, per contra, no són
l’objectiu de tants atacs, precisament perquè tothom que vulgui pot conèixer
els darrers detalls del seu codi.
Tanmateix, Culp deixa ben clar que no es tracta de limitar, gens ni una mica,
la llibertat d’expressió, però diu que és ben hora de reconèixer
que aquesta llibertat, mal entesa i mal emprada pels experts de seguretat informàtica,
és la responsable última de les armes que els cibercriminals fan
servir per a les seves malifetes. Torna a ser allò que ja hem sentit dir
tantes vegades que cal no confondre la llibertat amb el llibertinatge. En definitiva,
tot un seguit de circumloquis per evitar que s’estengui la convicció sobre
el que sembla la impossibilitat endèmica de Microsoft de fer un programari
raonablement segur i consistent. O sigui, no digueu a ningú que a can Microxof
són uns matussers i, d’aquesta manera, deixaran de ser-ho.
Curiosament, amb la seva petició Culp, i de retruc Microsoft, s’arrengleren
explícitament i una vegada més amb tots aquells que demanen que
la seguretat i confidencialitat dels productes digitals estiguin sota l’empara
artificial de la llei i no de mecanismes intrínsecs i eficients de protecció.
Eric S. Raymond, un d’aquests membres destacats del moviment en favor del codi
obert, els ho diu fort i clar: «Senyors de Microsoft, si el seu sistema
operatiu no pot resistir els embats d’un medi en el qual les eines d’atac es propaguen
instantàniament, és que vostès no pertanyen al negoci dels
sistemes operatius». Dit altrament, que se’l poden imaginar cantant al senyor
Gates i companyia una versió adaptada d’aquell conegut pasdoble que deia
una cosa com ara «Manolete, Manolete, si no sabes torear, xis pum, pa’ que
te metes! I que no vagi per dit.
Lista de enlaces de este artículo:
Este post ha sido traido de forma automatica desde https://web.archive.org/web/20140625063149/http:/bulma.net/body.phtml?nIdNoticia=990 por un robot nigromante, si crees que puede mejorarse, por favor, contactanos.