miércoles, 13 de mayo de 2009

Sistema Operativo fortalecido...sólo para algunos.

Hace un par de semanas, en un evento casi "oficial", el CEO de Microsoft hizo entrega a la Fuerza Aérea de los EUA de un Windows XP muy especial, ya que se trata de una distribución altamente segura con una configuración que al parecer cualquier área estratégica de un país envidiaría por tener un fortalecimiento poderoso. Algunas implicaciones a continuación:

 

+ Sólo para la Fuerza Aérea de los EUA. Hasta el momento, esta distribución sólo se le hizo llegar a esta área militar de los EUA. ¿Y para otras áreas estratégicas de los EUA y de otros países del mundo? ¿No tienen la importancia que se requiere para tener al alcance una distribución segura similar? Ya ni preguntar para el resto de los usuarios mortales, los cuales deben conformarse con la distribución de siempre.

 

+ El poder de un gobierno para exigir software seguro. Los gobiernos tienen poder por la autoridad que representan en un país y por otro lado tienen poder de compra por el número de licencias que en total se adquieren. Si ejerce y hace valer ese poder, puede exigir (y como en este caso tal vez obtener) un sistema que esté a la altura de sus requerimientos de seguridad, o al menos tener al alcance algo más robusto de lo que normalmente obtendrían.

 

+ Pentest deriva en inusual petición. La NSA (National Security Agency) hizo un pentest a las redes de la Fuerza Aérea de los EUA. Derivado de este análisis es que se hizo la petición de una distribución más robusta desde el punto de vista de seguridad. Aquí resalta la importancia de hacer un pentest de vez en cuando para hacer que las cosas se muevan y además resalta la importancia de que sean personas capacitadas los que hagan este pentest y no alguien que sólo corra Nessus.

 

+ Todos usamos el mismo software. Atacantes, gobierno, usuarios y áreas estratégicas usan el mismo software (sistemas operativos y aplicaciones). Las mismas debilidades que afectan a un usuario casero le afectarán a una planta nuclear, a una base militar o a los sistemas de una presa. Los mismos exploits sirven para todos los casos, basta buscar versiones específicas para ver de qué debilidades adolece. Hay algo que no me acaba de gustar de todo esto…

 

+ Los usuarios tienen cuentas de usuarios. ¿Por qué un usuario dentro de una organización sería un administrador de un sistema? Los usuarios deben tener cuentas de usuarios. Si lo dejamos hacer lo que deseen como administradores, en efecto harán lo que deseen muchas veces sin tener en consideración cuestiones de seguridad.

 

+ No todo está perdido. El NIST tiene publicadas guías de fortalecimiento bastante “decentes” de sistemas operativos como Windows. Hay que ser proactivos y no esperar a que la montaña venga a nosotros; si realmente nos interesa tener una configuración suficientemente segura, podremos acudir a estas guías del NIST o de otras entidades para tener lo que deseamos (o al menos algo bastante cercano).

 

Finalmente, por ahí leí que el fabricante comentó que no se trató de una distribución especial, sino que lo que hicieron sólo fue colaborar con un cliente suyo para recomendar algunas mejoras de seguridad que de por sí están públicamente disponibles. En fin, ya no hay una sola versión de esta noticia. Me quedo con la versión del reportaje.