La semana pasada liberamos una actualización de seguridad fuera de programación, con el fin de mantener protegido a nuestros usuarios corriegiendo una vulnerabilidad encontrada en Internet Explorer.
Como siempre la cobertura de prensa fue importante en estos temas, pero esta vez leí muchos artículos que replicaban artículos escritos en USA o en Inglaterra, con inexactitudes importantes y más aún casi vaticinando el fin del mundo informático por este problema. Si bien, efectivamente el problema era Crítico, el infundir el pánico nunca es una buena práctica. Particularmente en el caso de seguridad, lo primero es tratar de tranquilizar la situación para informar que es lo que se debe hacer.
Es por lo anterior, que me llamó profundamente la atención un artículo de Gustavo Aldegani, quien es Editor especializado en seguridad para IT Sitio, quien llama a la seriedad al momento de informar este tipo de noticias.
Transcribo el artículo íntegro con previa autorización de Gustavo.
03.11.2008
La Seguridad es un negocio de conocimiento, el periodismo de IT también debería serlo
Por Gustavo Aldegani
Un par de semanas atrás Microsoft publicó un parche de urgencia para solucionar una vulnerabilidad que afectaba a toda la línea actual de Windows. Algunos medios lo presentaron como una catástrofe de dimensiones apocalípticas y otros se concentraron en señalar que la versión de Windows 7 no había salido al mercado pero ya tenía vulnerabilidades. Lo primero no podía ocurrir y lo segundo es algo obvio y sacado de contexto. Esto casi se pareció a algunos programas periodísticos de la TV de aire.
Por Gustavo Aldegani Editor de la Comunidad Seguridad
Como siempre comencemos por los hechos. Decíamos en nuestro informe publicado en el newsletter de Seguridad del 28 de octubre que el parche MS08-067 solucionaba un problema en el servicio Server basado en un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC. Esta vulnerabilidad se puede explotar de manera remota sin interacción del usuario enviando una petición especialmente programada a un puerto, en el que se podrá ejecutar código con privilegios de administrador. Esta descripción hizo que algunos periodistas de IT recordaran virus como el Blaster o el Sasser y anunciaran el apocalipsis informático. En ningún momento se pusieron a analizar que el escenario es un poco diferente y existen factores que, si bien no neutralizan el problema, imposibilitan un impacto como el de las epidemias citadas. Uno de estos factores es el hecho de que en Vista y Windows 2008 la vulnerabilidad no es crítica sino sólo importante debido a que en estas versiones el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Otro es que si se tiene instalado el Service Pack 2 de Windows XP, se tiene activado el firewall, lo que genera otra capa de protección para este problema. Además, se debe tener en cuenta que casi nadie corre un sistema operativo Windows sin contar con herramientas específicas de seguridad, y los anti-malware de los principales Vendors pueden detectar y bloquear este tipo de ataques. No me considero periodista, intento ser un buen divulgador tecnológico, pero tengo amigos y compañeros de trabajo que lo son en serio, y a algunos los conozco desde 1992, cuando publiqué mi primera nota en una revista de IT. Una de las primeras cosas que aprendí de ellos es que siempre hay que verificar las fuentes y entender la totalidad de los hechos que se quieren analizar. No pienso que quien escribe de IT en general y de Seguridad en particular tenga que ser un consultor especializado, pero sí cumplir con las bases del periodismo. También comprendo que la posición “péguele a Microsoft” todavía consigue adeptos o al menos despierta el interés suficiente como para leer una nota, pero creo que el periodismo de IT debe ser lo que hace muchos años definimos (no estoy diciendo inventamos) con Viviana Alonso, mi jefa en la desaparecida revista Compumagazine: información para una mejor toma de decisiones.
Y quién es Gustavo Aldegani? Evaluen Uds. mismos:
Gustavo Aldegani:
Consultor Independiente en Seguridad Informática con 25 años de experiencia en Implementación de Sistemas Seguros en empresas y organizaciones militares y de gobierno de Argentina , América Latina y Estados Unidos.
Coordinador Técnico del CSIRT (Computer Security Response Team) de CABASE para organizaciones privadas de Argentina.
Consultor contratado por la ONTI (Oficina Nacional de Tecnologías de la Información de la Argentina) para el Proyecto de Infraestructura Nacional de Firma Digital desarrollado entre 2004 y 2007.
Director de la Carrera de Especialista en Seguridad Informática del CCAT (Centro de Capacitación de Alta Tecnología).
Profesor de la Facultad de Tecnología Informática de la Universidad de Belgrano.
Profesor del Posgrado de Seguridad Informática de la Universidad de Belgrano.
Director de la Comisión de Seguridad Informática del Consejo Profesional en Ciencias Informáticas.
Cuenta con 8 libros publicados sobre Seguridad Informática, algunos de los cuales fueron utilizados como libros de texto de la materia en Universidades Nacionales y Privadas de Argentina.
Espero encuentren el artículo tan valioso como yo.
La semana pasada liberamos una actualización de seguridad fuera de programación, con el fin de mantener protegido a nuestros usuarios corriegiendo una vulnerabilidad encontrada en Internet Explorer.
