• Tweet

Microsoft y los investigadores externos de seguridad acusaron a un ingeniero de Google de no seguir la etiqueta de ser una fuente responsable, misma que su propia empresa promueve, revelando un defecto relacionado con Windows XP el jueves, al publicar el código para explotarlo y dar a Microsoft sólo cinco días para arreglarlo.

Tavis Ormandy informó a Microsoft sobre la vulnerabilidad - ubicada en la ayuda en línea del Centro de Ayuda y Soporte de Windows que ofrece a los clientes soporte técnico - el sábado. Luego anunció los detalles del agujero y ofreció el código en una lista de correo electrónico, para la demostración del concepto de ataque en un puesto de seguridad Full Disclosure, el día jueves.

"Me gustaría señalar que si hubiera informado (sobre el tema) sin trabajar el exploit, habría sido ignorado", escribió, antes de decir que él estaba operando por su cuenta y no en nombre de Google. "Este documento contiene mis propias opiniones. Yo no hablo a favor o en representación de nadie sino sólo a mí mismo."

Pero Microsoft dijo que al liberar el exploit haciendolo público antes de que tuvieran la oprtunidad de parcharlo fue irresponsable y pone a millones de usuarios de computadoras en riesgo.

"La divulgación responsable protege el ecosistema de usuarios de computadoras personales de los daños", escribió Jerry Bryant de Microsoft en una entrada del blog de Microsoft Security Response Center (MSRC).

La vulnerabilidad permite filtrar una lista blanca para ser pasada por alto y podría permitir a un atacante tomar el control de un equipo que ejecuta Windows XP o Windows Server 2003 para atraer a un usuario a un sitio Web malintencionado diseñado para explotar el agujero, de acuerdo con el aviso de Microsoft . "Una variedad de ataques son probables", dijo Microsoft en un comunicado.

Mientras tanto, todos los navegadores principales se ven afectados, de acuerdo con Ormandy.

Microsoft proporcionó una solución en sus actividades de información y dijo que estaba trabajando en un parche completo. Ormandy había proporcionado una herramienta de revisión en su anuncio pero Microsoft dijo que no funcionaba correctamente.

"Una de las principales razones por las que nosotros y otros muchos en la industría abogamos por una fuente responsable, es que el proveedor de software que escribió el código está en la mejor disposición para entender plenamente la causa del problema", escribió Mike Reavey, director MSRC, en el blog. “Si bien este fue un buen hallazgo por el investigador de Google, resulta que el análisis es incompleto y la solución sugerida por Google es fácil de eludir. En algunos casos, se necesita más tiempo para una actualización completa que no puede ser evadida, y no causar problemas de calidad”.

Microsoft no fue el único molesto por la medida.

“No es razonable esperar a Microsoft para poder desarrollar un parche en un período tan corto de tiempo”, escribió Robert "RSnake" Hansen, investigador de seguridad y ejecutivo en jefe de SecTheory en una entrada de blog de la firma de seguridad Kaspersky ThreatPost .

“Ormany tampoco parecía estar trabajando por su cuenta cuando compartió los créditos en la divulgación con otros investigadores de Google”, dijo.

"Google tiene larga historia en el llamado a los avisos responsables sobre seguridad", escribió Hansen. "Aparentemente, está bien que Google haga una divulgación completa, pero no para otros investigadores. La hipocresía es increíble."

Esta no es la primera vez que se ha apresurado Ormandy en la divulgación de una vulnerabilidad relacionada con Microsoft, dijo Andrew Storms, director de seguridad de nCircle.

"Tavis ha estado tratando de separar sus acciones de las de su empleador, pero tiene que preguntarse si está añadiendo más leña al fuego público entre Microsoft y Google por señalar continuamente la atención de forma negativa al proceso de seguridad de Microsoft", dijo Storms.

Google y Microsoft tienen una historia de competencia, pero la rivalidad saltó a un nivel superior con informes de que Google está despreciando el uso interno de Windows, alegando motivos de seguridad. Esa noticia fue recibida con escepticismo por los expertos en seguridad, que lo ven como parte del esfuerzo público de Google por unas relaciones públicas más sinceras que cualquier política de operaciones de TI, a pesar de que Google fue el blanco de un ataque que explota un agujero de Internet Explorer.

Cuestionado sobre sus comentarios sobre las actividades de divulgación de Ormandy, un portavoz de Google dijo: "Tavis ha actuado de forma independiente mediante investigaciones realizadas en su propio tiempo. Los puntos de vista personales de Tavis sobre la divulgación no reflejan necesariamente las opiniones de sus colegas de Google o Google en su conjunto."

El portavoz dijo que la compañía no podía hacer comentarios sobre si las acciones de Ormandy parecían ir en contra de la política de divulgación de Google.

El asunto provocó un intenso debate entre los investigadores de seguridad, algunos de los cuales tomaron parte de las listas privadas de correo electrónico y foros, pero que se negaron a comentar públicamente el asunto.

No es de extrañar, el arquitecto en jefe de exploits a bases de datos de Metasploi, H.D. Moore, dijo que la manera más rápida de conseguir un problema es la liberación de un exploit para el público.

"Si esto es lo mejor para el usuario final, depende de la situación", dijo Moore en un correo electrónico. "Uno de mis errores MSFT esta a punto de cumplir cuatro años sin que se trate. Esta es la razón por la que ahora trabajo exclusivamente con CERT (Computer Emergency Response Team en la Universidad Carnegie Mellon), ya que tienen una regla de asesoramiento de 45 días."

Gordon "Fyodor" Lyon, un experto en seguridad de redes y ex presidente de Computer Professionals for Social Responsibility, habló sobre la investigación Ormandy, pero no se refirió a si su liberación del exploit era algo bueno o no.

"El resultado neto de la investigación y divulgación de Tavis es que mis máquinas están protegidos contra este ataque y todos los clientes de estados miembros tienen la información para protegerse a sí mismos mediante la desactivación del protocolo HCP que se puede utilizar para ejecutar enlaces URL y abrir el Centro de Ayuda y soporte técnico, escribió en un correo electrónico Lyon. "Si no hubiera hecho Tavis la investigación, o si la hubiese guardado en silencio mientras MS decidiera cómo enterrarla en algunos parches de martes convertidos en meses de distancia, seguiriamos todos siendo vulnerables como corderos".