La seguridad del usuario es la prioridad número uno para la gran mayoría de las compañías (o al menos eso nos hacen creer), pero la interpretación de las “buenas prácticas” en esta materia puede ser muy diferente, a un punto tal que dos compañías terminan enfrentadas. Ese es el caso de Google y Microsoft, que ingresaron a una nueva fase ácida de su relación debido a un bug en Windows 8.1, y a la manera en que Mountain View lo reveló al público.
Antes de comenzar, necesitamos un poco de información extra: En julio del año pasado, el gigante de Mountain View presentó a Project Zero. El objetivo de esta iniciativa es identificar bugs en productos que no están relacionados con Google, pero que son de gran interés para hacer a la Web un poco más segura, como sistemas operativos y navegadores. Project Zero reporta estos bugs a los desarrolladores casi de inmediato, y establece automáticamente un “acuerdo de confidencialidad” con una validez de 90 días, para dar tiempo suficiente a la creación de parches. Una vez que esos 90 días concluyen, Project Zero libera al público todos los datos técnicos sobre el bug, incluyendo los elementos para su reproducción. Lo que nos trae aquí es el denominado “Asunto 123” de Project Zero, que habla sobre una vulnerabilidad de elevación de privilegios en el Servicio de Perfil de Usuario bajo Windows 8.1, en sus versiones de 32 y 64 bits. El reporte original fue escrito el pasado 13 de octubre, sin embargo, Redmond nunca preparó el hotfix correspondiente. Esto causó que Project Zero publique algo similar a un “0-day” en Windows 8.1.
De más está decirlo, en Microsoft derriten plomo con la mirada. Chris Betz, director senior del Centro de Respuesta en Microsoft Security se tomó un poco más que algunos minutos para compartir en uno de los blogs oficiales su opinión sobre la publicación de Project Zero. En primer lugar, explica que en Microsoft “están en desacuerdo” con la estrategia de compartir toda la información sobre bugs en un intento por acelerar los procesos de corrección, y que creen en la publicación coordinada de vulnerabilidades. Betz también indica que a pesar de haber solicitado formalmente a Google que demore la publicación del bug, la compañía decidió ignorar esto, aún sabiendo que faltaban apenas dos días para que el hotfix apareciera en Windows Update (hoy es el clásico “martes de parches”). Para rematar, Betz básicamente acusa a Google de colocar a Microsoft en una condición de “te atrapé”, en vez de proteger el interés de los usuarios.
En la otra acera, descubrimos que Google reportó el bug por primera vez el 30 de septiembre, o sea que Microsoft tuvo más de 90 días para resolver el problema. Si bien son necesarias algunas condiciones previas para hacer provecho de ella, eso no le resta importancia a la vulnerabilidad, que genera las siempre temidas elevaciones de privilegios. En lo personal, creo que es una falla de ambas partes. Betz hace todo lo posible por explicar por qué tardaron tanto en crear el parche, pero si una corporación multinacional con los recursos de Microsoft necesita más de la cuarta parte de un año para corregir un bug, tiene un problema. Y por el lado de Google, si apenas 48 horas eran suficientes para evitar todo este escándalo, Mountain View debería reevaluar un poco sus decisiones en el futuro.
7 Comments
Leave a Reply