[Solar-general] solo para hacer lio... microsoft y la seguridad
Manuel Fernando Aller
manolo en riesgonet.com
Mar Dic 16 11:59:51 CET 2003
El mar, 16-12-2003 a las 11:39, Enrique A.Chaparro escribió:
> > >
> > Bueno, en algun momento tenia que pasar...
> > les mando una nota de MS a Hispasec respecto a politicas de
> > seguridad...
> > (como ponen en CNN: "NO COMMENTS")
> >
> > Explicaciones de Microsoft sobre su nueva política de actualizaciones
>
> No se si llorar o cagarme de risa (o ambas cosas al mismo tiempo).
> En sintesis, lo que MS dice es:
> - Vamos a dejar expuestos a nuestros clientes a las nuevas
> vulnerabilidades descubiertas por un promedio de 15 dias
> - Vamos a invocar al Todopoderoso para que, entre tanto, nadie
> publique las vulnerabilidades
> - Si hay algun incendio, vamos a publicar `fuera de programa'
> solo cuando tengamos el parche. Considerando que a veces
> tardamos nueve meses para hacer el patch, estimado cliente,
> you are fucked!
>
> Saludos,
>
te olvidaste de mencionar que aprovechan para pegarle a redhat y a
debian, por la cantidad de bugs que tienen (eso se desprende de una
lectura rápida, ya que se abstienen de decir que todos esos bugs han
sido corregidos y se han publicado los parches en tiempo y forma...)
Mi lectura es clara:
es una estrategia de márqueting para decirle al usuario no técnico que
m$ es más seguro que redhat/debian, y para asustar al que está pensando
en migrar a linux, con el "impresionante trabajo que implica estar
actualizado" (se vé que no conocen apt-get!!). Cito: "Sabemos del
esfuerzo que representa para una compañía un proceso de actualización de
software ante la aparición de un problema de seguridad."
Se olvidan de decir que en el único sistema en que eso realmente es un
engorro es en el que ellos distribuyen. O acaso algún usuario debian /
redhat, al hacer un update, se le cagó la configuración de algo???
Y los ejemplos de vulnerabilidades que mencionan, son simplemente
patéticos. "si nadie sabe que es inseguro, es seguro". Se olvidan que si
alguien descubre la vulnerabilidad, en general, es porque:
1.- auditó el código y se dió cuenta (los iluminados, existen!)
2.- tuvo un compromiso de seguridad que evidenció el bug/error/agujero y
lo reportó o lo arregló y publicó el parche.
3.- a prueba y error, hay miles de salames buscando puertas traseras en
todos lados.
"si nadie sabe que no tengo cerradura en mi puerta, mi puerta es segura"
--
Manuel Fernando Aller