martes, 17 de septiembre de 2013

SE VA ACABANDO EL SOPORTE PARA WINDOWS XP (6 de 6)

CONCLUSIONES


********************
Índice
Parte 1
Parte 2
Parte 3
Parte 4
Parte 5
Parte 6
********************

Los profesionales de la seguridad de lado de los buenos, y que se dediquen a ello, tienen sólo unos meses para descubrir y desvelar tantas vulnerabilidades como les sea posible para que Microsoft las solucione.

Finalizado el período de soporte extendido, sólo les quedará el recurso de hacer tanto ruido como sea posible para ver si con ello se logra forzar que, ante la demanda social, se publiquen parches de seguridad de forma esporádica y para determinados problemas. Magra posibilidad.

Por contra, habrá ciberdelincuentes, ciberjércitos y agencias y organizaciones varias que tratarán de hacer justo lo contrario: ser lo más discretos posibles para que sus "armas" se mantengan en secreto y sigan funcionando para ellos el mayor tiempo posible.

Todo ello mientras sigan existiendo numerosos equipos con Windows XP en todo tipo de redes: domésticas, privadas, gubernamentales,...

Y, aunque se salga un poco del tema de este post, todo ello me hace pensar en otra versión de Windows que a no mucho tardar (en 2.015) dejará de tener soporte: Windows Server 2003. Un sistema operativo para servidores, lo cual da que pensar.

Por un lado, los servidores suelen ser máquinas mucho más críticos y resistentes que los ordenadores personales. Tienen una vida útil más larga. Quien espere a que se rompa el ordenador para cambiar el sistema operativo tendrá 2003 Server para rato.

Por otro, los servidores pueden soportar aplicaciones críticas para las organizaciones. Y si alguna de ellas no fuera soportada por las versiones más modernas de Windows Server... no faltará quien piense en quedarse como está. Al fin y al cabo, modificar la infraestructura de servidores siempre es algo muy, muy, pero que muy, arriesgado.

Pero hay otra cosa a tener en cuenta: quien elija mantenerse con veriones antiguas de Windows, o de cualquier otro software, con vulnerabilidades si solucionar, será responsables de su decisión. Jurídicamente responsable. Ante un problema serio podría ser llevado a juicio en un proceso en el que se pronunciarían palabras y expresiones como "negligencia" o "falta de celo".

Si se disponía de alguna certificación de seguridad, a la próxima auditoría posiblemente se deje de tenerla. Y también habría que temer del resultado de las auditorías si se tienen ficheros con datos de carácter personal.

Vaya, vaya, vaya...
   
Publicado por en No hay comentarios:

jueves, 12 de septiembre de 2013

SE VA ACABANDO EL SOPORTE PARA WINDOWS XP (5 de 6)


QUÉ HARÁN

********************
Índice
Parte 1
Parte 2
Parte 3
Parte 4
Parte 5
Parte 6
********************

Pongámonos en el papel de un ciberdelincuente. Por ejemplo, de alguien que se gana la vida infectando ordenadores con virus para después controlarlos o acceder a sus contenidos. ¿Qué actitud mantendríamos al respecto?

Por ejemplo, si hoy consiguiéramos descubrir una nueva vulnerabilidad en Windows XP... ¿qué haríamos?

Si la utilizamos hoy, posiblemente alguien se dé cuenta. Quizá alguna casa de antivirus detecte nuestras actividades y termine sabiendo de la vulnerabilidad y publicándola. Poco después, Microsoft la corregiría y con ello habría terminado con, o al menos limitado mucho, nuestras posibilidades de utilizarla.

Pero si nos esperamos y nos la guardamos unos meses, hasta que Microsoft deje de dar soporte para Windows XP, ya no habrá actualizaciones que la solucionen. Nos durará para siempre.

Además, tendríamos que pensar en la competencia. Si estamos en un negocio tenemos que pensar en hacernos con una buena cuenta de mercado y evitar que los demás nos la quiten. Nos convendría que nuestros ataques pasaran desapercibidos el mayor tiempo posible. No hacer demasiado ruido y conseguir que nuestro malware no sea detectado. Sobre todo al principio, cuando una infección masiva podría forzar a Microsoft a publicar una actualización de seguridad fuera de "ciclo de vida".

No querríamos tampoco que la competencia supiera de la vulnerabilidad que hemos descubierto. Pero tendríamos que tener en cuenta que, si fuimos capaces de dar con ella, posiblemente alguien más también la encuentre. Si queremos tener control exclusivo sobre el tema, quizá tomaríamos medidas al respecto. Por ejemplo, creando nuestros propios parches, que aseguraran que la vulnerabilidad sólo pueda ser explotada por nosotros, e instalándolos en los equipos que consiguiéramos infectar.

Acabada la cuenta atrás, empezaría la carrera por infectar los equipos vulnerables antes que la competencia.

(continuará...)
Publicado por en No hay comentarios:

miércoles, 11 de septiembre de 2013

SE VA ACABANDO EL SOPORTE PARA WINDOWS XP (4 de 6)

AVIADOS VAMOS

********************
Índice
Parte 1
Parte 2
Parte 3
Parte 4
Parte 5
Parte 6
********************

Quien tenga Windows XP, ya sea una persona particular o una organización, se le plantean pues varias opciones:
* Migrar a otros sistemas operativos distintos de Windows.
* Migrar a versiones más recientes de Windows.
* Quedarse con Windows XP y pagar el "Custom Support".
* Quedarse con Windows XP y no pagar el "Custom Support", quedándose sin actualizaciones.

Visto lo visto, posiblemente habrá, como aún hay, mucha gente que siga utilizando XP durante algún tiempo. Y lo del "Custom Support" posiblemente no sea la opción más adoptada. Tiene un coste demasiado alto y, por otro lado, como ya se vio, tampoco supone una garantía de protección

Lo que nos plantea un escenario con un elevado número de equipos que no recibirán actualizaciones de seguridad. Equipos conectados a Internet. Equipos en los hogares. Equipos en las redes corporativas de las organizaciones.

El problema es que la ausencia de actualizaciones de seguridad no va a venir acompañada de la ausencia de nuevas vulnerabilidades. Cada nueva vulnerabilidad que se descubra seguirá presente en estos sistemas para siempre (al menos, mientras sigan teniendo Windows XP). No habrá un segundo martes del mes en que un boletín de seguridad la corrija.

Más bien todo lo contrario. Con la publicación de un parche de seguridad, Microsoft anuncia la existencia de un problema de seguridad y proporciona su solución... para el software que sí tienen soporte. Pero Windows XP, que no lo tiene, está basado en la misma arquitectura que sus hermanos más jóvenes como Vista, 7 y 8. Eso quiere decir que habrá vulnerabilidades en las versiones más recientes de Windows que también podrían afectar a XP.

Cuando Microsoft publique un parche de seguridad, digamos para Windows 8, los "malos" (y puede que también algunos "buenos") podrán analizarlo, hacerle una ingeniería inversa, y determinar cuál es la vulnerabilidad y ver si también afecta a Windows XP.

Y si es así, puede que sea, como los diamantes, "para siempre".

Vulnerabilidades que se conocen y que no son corregidas... Buena cosa para quienes tienen interés en tus datos, en tus comunicaciones, en invadir tu privacidad. Pon en la lista en primer lugar a los ciberdelincuentes. Y añade a los gobiernos y sus agencias. Y también a muchas organizaciones privadas que tienen interés en datos de particulares y otras organizaciones para mejorar su posición estratégica.

Y también estarán en este meollo los buenos profesionales de la seguridad, que necesitarán conocer las vulnerabilidades para realizar bien su trabajo y para tratar de solucionar los problemas lo mejor posible.

Cuando termine la cuenta atrás y llegue el 8 de abril de 2.014, toda esta gente comenzará una carrera. A ver quién llega primero.

Y dónde llega.

(continuará...)
Publicado por en No hay comentarios:

lunes, 9 de septiembre de 2013

SE VA ACABANDO EL SOPORTE PARA WINDOWS XP (3 de 6)

QUE SI MIGRAR, QUE SI NO

********************
Índice
 Parte 1
 Parte 2
 Parte 3
 Parte 4
 Parte 5
 Parte 6
********************

Ya nos hacemos una idea de lo que nos dice Microsoft sobre el fin del soporte de Windows XP. ¿Y cómo afecta esto al usuario?

La propuesta de Microsoft es que deje de usar Windows XP y migre a versiones más recientes de su sistema operativo.

Pero eso no es tan fácil. Porque hay mucha gente que tiene sus propios motivos para seguir usando si viejo XP. Para empezar, los cambios de interfaz suelen echar para atrás. Se me viene a la cabeza las palabras de un amigo que, en 2.001, se me quejaba de que "ahora que estamos acostumbrados a como funcionan las cosas en Windows 98, nos cambian la apariencia de todo en XP". Ahora volvemos a cambiar...

Y eso de modificar lo que uno ya tiene no suele gustar demasiado ni siquiera al personal técnico informático. La máxima de "si funciona, no lo toques", por más prudente que pueda ser, a veces no combina bien con las necesidades de cambio.

Además, cambiar supone un coste. Para empezar, en formación y en la pérdida de productividad que pudiera producirse mientras se consiguen dominar y aprovechar las novedades. Pero también en adquisiciones de licencias de software.

Las versiones más recientes de Windows requieren ordenadores más potentes que los exigidos por XP. Así, para éste último se indica en http://support.microsoft.com/kb/314865/es que necesita
* Procesador Pentium a 233 megahercios (MHz) o mayor velocidad (se recomienda 300 MHz)
* Al menos 64 megabytes (MB) de RAM (se recomienda 128 MB)
* Un mínimo de 1,5 gigabytes (GB) de espacio disponible en el disco duro

... mientras que Windows 7 y 8 elevan sus necesidades a (http://windows.microsoft.com/es-es/windows7/products/system-requirements y http://windows.microsoft.com/es-es/windows-8/system-requirements):
* Procesador: 1 gigahercio (GHz) o más
* RAM: 1 gigabyte (GB) (32 bits) o 2 GB (64 bits)
* Espacio en disco duro: 16 GB (32 bits) o 20 GB (64 bits)

De modo que si alguien tiene su viejo equipo con Windows XP, quizá tenga que adquirir uno nuevo para poder utilizar Windows 7 u 8. Al final, sumando costes, habrá muchas personas y organizaciones que decidan no realizar el cambio. Los tiempos de crisis no suelen alentar este tipo de aventuras.

Y dile a los, casi siempre pocos, informáticos que dejen todo lo que están haciendo y cambien todos los PC de usuario. Eso sí, mientras siguen manteniéndolo todo funcionando y asegurándose de que nadie pierde ningún dato. A ver qué te dicen.

Posiblemente en muchos casos se decidirá esperar a que el ordenador se rompa y esperar a que el próximo que se compre venga con su versión de Windows.

Pero es que ni siquiera quien quiera migrar y tenga dinero y recursos para ello podrá hacerlo sin plantearse antes algunos posibles inconvenientes. Puede que algunas de las aplicaciones críticas para una organización requieran el uso de Windows XP en los clientes, quizá porque se basen en Internet Explorer 6, quizá porque las nuevas medidas de seguridad que se introducen en las versiones posteriores hacen que no funcionen, quizá...

Hasta ahora, la solución consiste en utilizar lo que se llama "Windows XP Mode", básicamente una máquina virtual de Virtual PC con Windows XP cuya interfaz se integra en la de su host. Pero que sea virtual no significa que no sea una máquina y, como se indica en http://windows.microsoft.com/es-es/windows7/install-and-use-windows-xp-mode-in-windows-7 , Windows XP Mode tiene el mismo ciclo de vida que Windows XP. O sea que se queda sin soporte...

(continuará...)
Publicado por en No hay comentarios:

SE VA ACABANDO EL SOPORTE PARA WINDOWS XP (1 de 6)


LA CUENTA ATRÁS


********************
Índice
 Parte 1
 Parte 2
 Parte 3
 Parte 4
 Parte 5
 Parte 6
********************

Cuando escribo esto es 6 de septiembre de 2.013, a las 16:00 horas.

Empiezo a contar los segundos. 18432000, 18431999, 18431998, 18431997, 18431996, 18431995...

Cuando la cuenta atrás llegue a cero habrá llegado el 8 de abril de 2.014. El fatídico día en que, 12 años y pico (393.292.800 segundos) después de su lanzamiento en octubre de 2.001, Windows XP finalice su actual fase de soporte extendido.

A los efectos de lo que nos preocupa en este blog, eso de que estemos en soporte extendido viene a significar que sólo se proporcionan actualizaciones de seguridad.

Y que, después de que acabe, no tendremos ni eso. Bien nos lo explican en http://www.microsoft.com/es-es/windows/endofsupport.aspx :

------------------
¿Qué supone el fin del soporte para los clientes?

Significa que tienen que decidir. Después del 8 de abril de 2014 ya no habrá más actualizaciones de seguridad, ni parches para errores no ligados a la seguridad, ni opciones de soporte -gratuitas ni de pago tampoco- ni actualizaciones de contenido técnico en la Web. Nota: los contenidos actuales en la Web estarán disponibles durante la fase de Soporte Online en modo Autoservicio.
------------------

O sea, que la información, las descargas, etc. que hay seguirán estando ahí por un tiempo. Pero, de cosas nuevas, nada se podrá esperar. Incluso, seguún se indica para casi todo en la información que proporciona Microsoft (http://support.microsoft.com/lifecycle/?ln=es), "Puede ser necesaria la inscripción en un programa de soporte para recibir estos beneficios para ciertos productos".

Pocas opciones dejan a quien quiera mantener operativos sus sistemas Windows XP.

Aunque alguna puede haber para alguna gente. En DiarioTI (http://diarioti.com/microsoft-cobrara-por-las-actualizaciones-de-windows-xp-despues-de-abril-de-2014/68041) se habla de la posibilidad de contratar con Microsoft lo que ellos llaman "Custom Supoort", un plan de soporte de pago con un coste estimado de unos 200 dólares anuales por PC.

Y ¿qué se puede esperar a cambio de esta importante suma de dinero? Nos lo explican en http://download.microsoft.com/download/3/a/5/3a5b342b-2f1b-4ebe-9261-98205902a74f/custom_support_agreement.pdf :

------------------
Legacy products or out-of-support service packs covered under Custom Support will
continue to receive security hotfixes for vulnerabilities labeled as “Critical” by the MSRC.
Customers with Custom Support that need security patches defined as “Important” by
MSRC can purchase these for an additional fee.
------------------

Que mal traducido al español queda:
------------------
Los productos obsoletos o service packs fuera de soporte cubiertos por Custom Support continuarán recibiendo hotfixes de seguridad para las vulnerabilidades etiquetadas como "Críticas" por el MSRC (el centro de respuesta de Microsoft). Los clientes con Custom Support que necesiten parches de seguridad etiquetados como "Importante" por el MSRC puede comprarlos pagando una cantidad de dinero adicional.
------------------

Nada se dice de las vulnerabilidades a las que se asigne un nivel de criticidad inferior a "Importante".

Como aquí nos estamos jugando algo, no está de más saber qué significa "Crítica" e "Importante".
(continuará...)
Publicado por en No hay comentarios:

sábado, 7 de septiembre de 2013

SE VA ACABANDO EL SOPORTE PARA WINDOWS XP (2 de 6)

LA CRITICIDAD DE LO IMPORTANTE

********************
Índice
 Parte 1
 Parte 2
 Parte 3
 Parte 4
 Parte 5
 Parte 6
********************


Nos quedamos en el post anterior preguntándonos sobre qué significa "Crítica" e "Importante". Otro documento de Microsoft nos lo aclara (http://technet.microsoft.com/es-es/security/bulletin/rating):
------------------
* Crítica: Vulnerabilidad que puede permitir la propagación de un gusano de Internet sin la acción del usuario.
* Importante: Vulnerabilidad que puede poner en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento.
* Moderada: El abuso podría reducirse en gran medida mediante factores como una configuración predeterminada, auditoría o dificultad de abuso.
* Baja: Vulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo.
------------------

Y aquí me planteo dos problemas.

El primero es que estas caracterizaciones las hace el MSRC. En este centro hay muy buenos profesionales pero, aún así, sus decisiones parten desde una perspectiva particular, propia. Y cada organización, a veces cada persona, es un mundo. Pensemos por ejemplo en una que permita una "denegación de servicio" de sus servidores web. Esa vulnerabilidad puede ser crítica, muy crítica, para una organización que base su modelo de negocio en la venta a través de Internet. Pero para una empresa que sólo utilice su presencia en la Red de Redes para hacerse publicidad el impacto sería, quizá, sólo moderado.

Y el segundo es que las vulnerabilidades no viven solas. Un mismo equipo puede tener(y de hecho casi seguro que tiene) un buen número de vulnerabilidades, muchas de ellas aún por detectar. ¿Qué puede ocurrir si se combinan dos o más en un ataque?

Veamos un ejemplo.

El boletín de seguridad MS13-053 (http://technet.microsoft.com/es-es/security/bulletin/ms13-053) describe una vulnerabilidad CRITICA de los controladores en modo kernel de Windows em los siguientes términos:
------------------
La vulnerabilidad más grave podría permitir la ejecución remota de código si un usuario consulta contenido compartido que inserta archivos de fuente TrueType. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado.
------------------

O sea, que alguien pueda ejecutar código en tu máquina y controlarla completamente de forma remota es crítico. En eso podemos estar de acuerdo.

Y vayan a continuación un par de ejemplos de vulnerabilidades que sólo son IMPORTANTES.

La primera está explicada en MS12-048 (http://technet.microsoft.com/es-es/security/bulletin/ms12-048):
------------------
La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo o un directorio con un nombre especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual.
------------------

Esta vulnerabilidad nos da una medida. El atacante puede ejecutar código, igual que antes, pero en este caso sólo conseguirá tener los permisos del usuario al que consiga comprometer. Eso es menos grave que si se consigue un control total del sistema, como en el caso anterior,... excepto si el usuario tiene permisos y privilegios que le otorgan un control total del sistema, claro.

Pero además, es que existen las vulnerabilidades de "escalada de privilegios". Como la descrita en MS13-063 (http://technet.microsoft.com/es-es/security/bulletin/ms13-063), que también está etiquetada como "IMPORTANTE".

O sea, que si un equipo tiene estas dos vulnerabilidades "importantes", quizá un atacante se las ingenie para aprovechar la primera para ejecutar código y la otra para conseguir elevar sus privilegios y ejecutar código con una cuenta más "poderosa". Una con permisos y privilegios que le otorguen un control total, o casi total, sobre la máquina.

Resumiendo: dos vulnerabilidades "importantes" combinadas pueden llegar a tener el mismo impacto que una "crítica". Y combinar vulnerabilidades es algo común en estos negocios...
(continuará...)
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)