El síndrome de Estocolmo (por Ricardo Galli)

El FBI tuvo que intervenir y amenazar a Microsoft. ¿Porque? Quizás os suene el último: vulnerabilidad del UPnP en el Windows XP descubierto menos de una semana después de su lanzamiento… O quizás os suene más el Sircam, Melissa, Anna Kournikova, IloveYou, Happy99, CodeRed, Goner, BadTrans… Esos virus han ocasionado pérdidas monumentales⁽¹⁾, aún así las empresas e instituciones públicas siguen comprando productos Microsoft. ¿Que otra cosa puede ser sino el síndrome de los secuestrados?. Estoy alucinado, tanto que me salió un rant en toda regla…

FBI y XP

Al final el FBI tuvo que intervenir⁽²⁾ para expresar a Microsoft su preocupación por los bugs del software de la compañía. Sobre todo después de descubrirse el último bug peligrosísimo del Windows XP (CERT⁽³⁾, The Register⁽⁴⁾). El bug fue descubierto por la empresa eEYe⁽⁵⁾ menos de una semana después de haberse lanzado el XP.

Aunque el bug fue anunciado casi inmediatamente a Microsoft, y viendo que este no respondía con un parche de seguridad, la empresa se decidió a divulgarlo después de un tiempo más que prudencial. El bug es tan peligroso que salió hasta en los medios generalistas más importantes (Yahoo⁽⁶⁾, Los Angeles Times⁽⁷⁾, Washington Post⁽).

El bug está relacionado en el Universal Plug and Play⁽⁹⁾ (¿otro mas?) que viene instalado y habilitado por defecto en Windows. Ahora no sólo podrían borrar todos los ficheros de tu ordenador, sino que hasta podrían poner el aire acondicionado de tu casa a -10 grados en pleno invierno.

Todo esto ocurre, curiosamente, después que Jim Allchin, vicepresidente de Microsoft (Platforms Group) dijese que el XP⁽¹⁰⁾ es, de lejos, el sistema más seguro de toda la gama Windows (aún así nosotros le creemos…). Tampoco debemos olvidar el fiasco de seguridad⁽¹¹⁾ del sistema Passport, la base de su nueva plataforma HailStorm.

Aún hay más… el problema de seguridad del Internet Explorer⁽¹²⁾ que permite ejecutar casi cualquier fichero por no respetar las cabeceras MIME de los emails.

¿Primer bug…?

Pero ahora viene lo cómico, o penoso, depende del punto de vista, que demuestra la falta de memoria o responsabilidad de los responsables de Microsoft. De acuerdo a Scott Culp, la última vulnerabilidad del XP es el primero⁽¹³⁾ relacionado con ataque remotos que afecta a sistemas de escritorio.

Que morro!!! ¿ya se olvidó por ejemplo del Back Orifice?

¿o del SECHOLE.EXE⁽¹⁴⁾?

¿o de la vulnerabilidad del IE con el javascript y frames⁽¹⁵⁾?

¿o del buffer oveflow del Clip Art del Office⁽¹⁶⁾?

¿o del Teardrop y Land⁽¹⁷⁾?

¿o del muy antiguo, 1995, de la vulnerabilidad de las carpetas e impresoras compartidas⁽¹?

Y por si eso no es suficiente, les podemos recordar algunos de las vulnerabilidades más famosas de los últimos tiempos y que ocasionaron grandes daños y pérdidas a las empresas afectadas:

Sircam⁽¹⁹⁾
Code Red⁽²⁰⁾
Goner⁽²¹⁾
BadTrans⁽²²⁾
Vulnerabilidad de cache del Outlook y Outlook Express⁽²³⁾.
Kaiten, Voyager, Voyager Alpha Force, y CBlade.worm⁽²⁴⁾ del SQL Server.
Nimda⁽²⁵⁾
Buffer Overflow en Microsoft IIS 5.0⁽²⁶⁾
Anna Kournikova⁽²⁷⁾
Buffer overflow en SQL Server 7.0 y SQL Server 2000⁽²
Vulnerabilidad del Outlook View Control⁽²⁹⁾
ILoveYou⁽³⁰⁾
Happy99⁽³¹⁾
Troyano ExploreZip⁽³²⁾
Melissa⁽³³⁾
Vulnerabilidad de nombres largos en IIS⁽³⁴⁾
Remote Explorer o RICHS⁽³⁵⁾

La lista es impresionante, y eso que sólo mencionamos los más conocidos o dañinos. De todos las vulnerabilidades enumeradas, sólo hay unos tres o cuatro tipos distintos, lo que demuestra de alguna manera la seriedad con que se están tomando en cuestiones de seguridad en Microsoft.

¿Que medidas toma Microsoft para solucionar esos problemas? ¿hacer parches inmediatamente para remediar los bugs? No, intenta encubrir los problemas⁽³⁶⁾ echando la culpa de los ataques a la divulgación de las vulnerabilidades.

El váter en la cocina

¿Porque está ocurriendo todo esto con Microsoft? Difícil de explicar, hay varios factores, pero está claro que las decisiones de diseño no la están tomando los técnicos, sino más bien parece que las toman los comerciales de la empresa. Microsoft necesita vender, y como ya le queda poco que pueda vender con argumentos técnicos, y porque necesitan estar obligatoriamente, aunque de forma ficticia, por delante su gran competidor: el Open Source.

¿Como lo hace? Inventándose nuevos requerimientos de usuario. Así llegaron a la conclusión que los usuarios necesitan ejecutar código dentro de un procesador de texto o en el cliente de correo. ¿A quién se le ocurrió eso?

Pero los problemas vienen de antes, cuando decidieron incorporar primero la parte gráfica dentro del núcleo del sistema operativo (NT), teóricamente muy estable. Luego han empeorado la situación, cuando todo está de alguna forma integrada como parte esencial del sistema, desde visualizar una página web hasta leer un correo electrónico con macros Visual Basic.

Han cometido el peor error que podían haber hecho, como necesitaban vender productos nuevos y con el argumento de mejorar la experiencia del usuario, han metido el váter en la cocina. Vale que con eso nos ahorramos el camino desde el baño a la comida, pero todos sabemos que donde se come no se caga. Y además sabemos que la cocina de los sistemas operativos está muy caliente últimamente.

Los periodistas

Pero esto no es el mayor problema, al fin y al cabo Microsoft es una empresa y la única obligación que tiene es maximizar beneficios para sus accionistas. Los problemas mayores, además del monopolio demostrado, es que la gente todavía se cree el marketing de Microsoft, inclusive los periodistas informáticos.

Cada vez que sale una versión nueva de Windows festejan que el váter está cada vez más cerca de la cocina, tan cerca que hasta se puede cagar mientras se come. Así nos ahorramos tiempo y energía dicen. Además ya casi desaparece el váter, la cocina de encarga de todo.

Aún así, lo anterior es relativamente comprensible, los periodistas trabajan para revistas, cobran poco y no pueden hacer enfadar a los anunciantes, que en su gran mayoría son de Microsoft o de empresas que desarrollan software sobre esa plataforma. Show must go on.

Los IT managers

Lo peor es que los directivos de tecnologías de las empresas o de las administraciones, que sólo se deben a sus empresas, siguen como borregos las directivas de Microsoft (¡por supuesto que hay excepciones!, pero son eso, excepciones), y se gastan millones en licencias y contratos de mantenimiento, a pesar de las lista abrumadora de vulnerabilidades que tiene.

Hasta el FBI tiene que intervenir. ¿Tu comprarías una casa si la Policía Nacional le está diciendo al dueño que tiene que arreglarla porque en cualquier momento se cae?. Eso es lo que está haciendo esta gente, comprando e hipotecándose por casas de una sola empresa que en cualquier momento se caen…. a pesar de que la policía les está avisando del peligro.

¿Que les o nos pasa? ¿No hay alternativas? Sí que la hay, en Bulma ya se han publicado artículos y enlaces de empresas que han implementado Linux y/o Open Source como alternativa y les funciona perfectamente, como servidores o escritorio⁽³⁷⁾. Ese no es el problema, sino que sufren el Síndrome de Estocolmo y no se dan cuenta. Están aterrorizados de alejarse de su secuestrador, creen que el mundo exterior, sea Open Source, Unix o Apple, es muy duro y no merece la pena el esfuerzo…

Pero algún día se percatarán que los únicos lugares donde se duerme, se come y se caga en la misma habitación son los zulos…

Lista de enlaces de este artículo:

Esta entrada fué posteada el 20 Mayo, 2007 a las 10:28 pm y está archivado bajo Sin categoria. Puedes seguir las respuestas de esta entrada a través de sindicación RSS 2.0. Puedes dejar una respuesta, o trackback desde tu propio sitio.

/home/avaloncio :)