Barrapunto

xDDDDDDDDDDD oye.. las noticias sobre microsoft pq no las poneis al lado de la tira ecol? yo me rio lo mismo

Pués entonces que no publiquen nunca sus errores de seguridad, no vaya a ser que algún hacker vaya a leer los boletines y haga un virus. No entiendo cómo es posible que con responsables así Microsoft sea la mayor empresa del mundo...

Hola,

este es el comentario que les he enviado a los señores de Hispasec en relación a este tema.

Me parece muy grave que este señor compare todas las vulnerabilidades de los paquetes existentes con las distribuciones de Linux (Debian y Redhat) con sólo las referentes a la parte del sistema operativo en Microsoft Windows.

No voy a negar que han contado esas vulnerabilidades para esas dos distribuciones de Linux (se olvidan que en ámbito empresarial también se utilizan mucho otras como Suse y Mandrake), pero si se utiliza esa medida, deberíamos meter en el saco todas las existentes con programas que utilicen la plataforma Microsoft (que no son una ni dos).

Señores de Microsoft si quieren utilizar datos de otros sistemas operativos -les veo un tendenciosa manera de utilizarlos para desmerecerlos- utilicen la misma vara de medida y no traten de manipular la realidad.

Por otra parte, me alegro de que vean a Linux como su principal competidor, porque en sus comparaciones se olvidan de datos de vulnerabilidades de otros sistemas operativos que sí se utilizan en ámbito empresarial tales como los de las empresas Sun, Hewlett-Packard o QNX.

Un saludo.

La gente que anda por aquí escribiendo es, en muchos casos, suficientemente mayor como para pensar las cosas con más detenimiento y ejercer su propia responsabilidda antes de publicar calumnias contra empresas cuya trayectoria demuestra una competencia y solidez fuera de toda cuestión.

El hecho que un responsable de seguridad a nivel nacional haya hecho afirmaciones poco afortunadas no descalifica a toda la compañía; probablemente los argumentos utilizados no sean los oficiales, ya que una compañía de semejantes dimensiones no puede sustentarse sobre premisas tan claramente erróneas.

Creo que la cuestión debe centrarse en su auténtico origen, Microsoft ignora olímpicamente todo lo que ocurre fuera de USA y considera que el resto del mundo es algo así como el patio trasero de los States. ¡Claro! Así creen que la edad mental promedio del usuario de informática español es similar a la del usuario estadounidense y permiten que los responsables de seguridad de Microsoft en España (esa pequeña nación al sur de México) traten a sus clientes como si fueran niños de 6 años.

Microsoft es una gran empresa, ¡les viene grande a sus directivos!

Lógica del presidente de USA: Si no quieres que tu sistema operativo tenga fallos de seguridad, deja de producirlos. Sería bueno que siguieran ese ejemplo y nos dejaran a todos en paz.

Es muy curiosa la filosofía del autor de la carta, aunque no nueva. O sea que una cosa no existe hasta que se es consciente de su existencia:

Por ejemplo: Los canguros no existían antes de que el hombre llegara a Australia.

Un protocolo que tras 15 o 20 años de existencia, apareció en el año 2002 de la noche a la mañana vulnerable y es a partir de ese momento del descubrimiento cuando supone un riesgo, no antes.

¿Del descubrimiento por parte de quien?. Imaginad la situación de alguien que descubre y explota el agujero y no se lo dice a NADIE.... 20 años saqueando máquinas :). Microsoft no pretende tanto, con que puedan hacerlo durante un mes (mínimo) vale.

Pero aun así, en ese 0.1% de casos donde el orden de sucesos no ocurra de esta forma, como por ejemplo el conocimiento de una vulnerabilidad de forma previa a la creación del update, NO SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en cuanto la actualización esté preparada.

¿Se desdice? o es que normalmente los parches los hacen *antes* de conocer la vulnerabilidad.... me lo expliquen.

Ah!!! es que los técnicos de Ms son los mejores encontrando fallos... si no los han encontrado ellos es *cuasi-imposible* (0.1% de los casos) que los encuentre nadie :D :D :D.

Es una lástima que una compañía como microsoft, aplique estas medidas estéticas para hacer parecer más seguro su software. Y lo lamento por sus usuarios, puesto que pueden ser vulnerables durante los intervalos entre salida de los parches

Creo que deberían pensar más en sus usuarios y dedicarse a solucionar los problemas que van saliendo, dejando de un lado las presiones comerciales... como en el software libre.

A mi la política de actualizaciones de Microsoft no me parece la más adecuada, pero creo que se debería poner todo lo que dice este hombre, que no es tan gilipollas como parece.
Este señor nos dice que las vulnerabilidades no se consideran tales hasta que alguien las explota, y menta kerberos y snmp como ejemplos de esto. Para mí siguen siendo vulnerabilidades, pero tiene razón al decir que el riesgo más elevado es una vez la cosa se sabe. Véase lo que paso con las máquinas de debian. Otro ejemplo que dice de esto es el blaster. El error existía desde hacía tiempo, pero sólo hasta que alguien se dio cuenta de que existía había peligro.
Para terminar, recordar lo que dice el tío este sobre las actualizaciones, y cito textualmente:
"Pero aun así, en ese 0.1% de casos donde el orden de sucesos no ocurra de esta forma, como por ejemplo el conocimiento de una vulnerabilidad de forma previa a la creación del update, NO SE SEGUIRÁ ESTA NORMA DE PUBLICACIÓN MENSUAL y se publicará en cuanto la actualización esté preparada.". Yo de aquí entiendo que la cosa va a ser más o menos igual, pero que se va a fijar además de los parches con prisas una política de peridicidad, que creo que es más comoda para el administrador, en el sentido de que ya no haría falta tener que mirar todos los días el windowsupdate de turno para ver que cagadas han salido hoy.
Saludos ;)

Esto es increible, entonces microsoft dará soporte y parches cuando se descubra un bug, la pregunta es quién es el postestado para decir que es un bug. Por que Si yo descubro un bug, lo exploto hasta la saciedad, me tiro 3 años robando información, y no digo nada, pero microsoft si tiene conocimiento interno, ¿Microsoft sacará el parche?. Me hace gracia que ponga de ejemplo el MIT, BLASTER, y para colmo diga que no han supuesto una amenaza hasta que no ha sido explotado, ya veo lo que significa eso, no se parcheara hasta que un coder de dudosa calidad, haga un soft defectuoso, y por tanto se descubra el error, llamemosle a eso "virus informativo", pero, ¿eso no ha sido explotado antes por otros muchos?, estamos ante una evidente amenaza a nuestros datos, por que si hay un bug que lo explota digamos entidades gubernamentales, y "aconsejan" a microsoft que no se parchee hasta que se haga publico, podemos tener un boquete como el metro, explotado por mas de uno, y microsoft apela al que no es una amenaza si no se explota. Un BUG SEÑOR HECTOR SANCHEZ, es un BUG desde que existe, y su nivel de explotación es desconocido, por que no todos los hacker que rulan por ahí, van soltando virus generalistas, los hay y muchos que explotan los bug sin crear ni wizard, ni e-zines, ni nada por el estilo. Por tanto cada bug que exista es subceptible de ser explotado. No entraré en guerras de sistemas, como increiblemente hace windows, (curiosa manera de darle protagonismo a un S.O.), pero lo que sí presiento, es que windows ha creado un campo de batalla virtual, en el que pretende luchar con un amigo invisible, generalmente eso acaba en tragedia, y como ejemplo el señor este que espero lo desacrediten pronto, por que comparar los bug de uno u otro sistema, es el primer error que ha cometido, por que hablamos de que microsoft decide cuando saca sus parches, contra un bug sacado a la luz, que puede ser solucionado al instante por muchos, sin tener que esperar a que alguién decida si es un bug, y si quiere poner remedio, no ha puesto de ejemplo los 169 bug que windows reconoce que no solventará de win NT. Muy curioso.

Da igual que critiquen a linux, los que tenemos un minimo de conocimientos y digo minimo pk la informatica es uno de los campos más amplios que existen no nos dejamos engañar tan facilmente, asi que microsoft lo unico que demuestra aqui que no son mas que buenos vendedores con buenos programadores, (luego si no saben aprovechar el talento que tienen)ya es otra cosa. Respecto a lo de publicar los bugs, yo siempre habia escuchado historietas de hackers que estaban todo el dia delante del ordenador y que no se relacionaban socialmente con casi nadie solo con aquellos que podian compartir información, asi que para mi eso era un hacker y en cierto modo aun lo es. Lo unico que parece que hoy en dia descubres un bug lo publicas y eres la ostia padre de hacker que si Zodiac es la ostia que sino se quien sale en hispasec , lo que mas se sigue valorando es el ego. Y creo que possiblemente el que mas sepa es el que esta todo el dia escuchando sin parar oculto y sabiendo cosas que casi nadie en su vida lograra entender jamas y mucho menos un directivo de microsoft aunque publicase el bug en todas las webs de seguridad informatica un saludo :=)

Pues la verdad es que a mi, como responsable de sistemas de una compañía de unos 530 PCs, me parece una buena noticia el que el anuncio pueda retrasarse unos dias para que todo se anuncie el mismo dia, y no como en Septiembre que cada 4 dias hubo un problema nuevo y la gente tenia que dejar de hacer lo que estaba haciendo para ponerse a instlar parches. Asi por lo menos, se que el "susto" lo tendre una vez al mes. Yo lo veo bien. No hablan de no anunciar, sino de anunciar con mas orden. Lest