Este post esta adelantado a su tiempo – porque tenia que salir antes otro post – , pero la situación lo amerita.
Antes que nada, estoy consiente de que este bug es algo difícil de encontrar, pero por el tamaño de la victima, es imperdonable.
Hace unos cuantos días salió un otro parche critico al IE, este bug (súper critico) al parecer a estado unos 9 años en el mercado, solo que hace poco recién a sido sacado a la luz, lo cual no dice desde cuando a podido ser explotado, ya que hasta donde se, no todos los bugs son “públicos”, siempre hay algunos que se guardan (para así poder ser usados )…, igual y este no es el caso , igual y si…; aquí lo importante es que ya salió a la luz y de que ya hicieron el parche, para muchos allí queda todo, pero me puse a intentar leer sobre el tema (algunas veces trato de dar seguimiento a los bugs ) y me encontré información en la web que me pareció por demás interesante :
- Microsoft acepto que este bug no fue encontrado por sus “testers” o equipos de pruebas, por que “ no no están capacitados para hacer este tipo de pruebas” : me parece algo bueno que hayan aceptado eso, lo que me parece importante aquí es que Microsoft es una de las mas grandes compañías de software a nivel mundial, así que no tienen la excusa de “no hay dinero” para no haber capacitado a sus equipos de pruebas, será que quizá ellos no tienen / no contratan personal “realmente capacitado, para el puesto?” , para una empresa de su tamaño, es imperdonable que sus equipos de pruebas, el cual tienen que luchar contra los hackers del mundo y demás dacitos, no hagan todas las pruebas conocidas, por el impacto del producto ( en este caso Internet Explorer ), y por la cantidad de ataques que recibe, el equipo de pruebas, debería ser de lo mejor, y debería estar capacitado en todos los tipos de ataques posibles, para así poder probarlos. Ojo aquí estoy separando, una cosa es que el equipo no haya encontrado el bug ( por error humano), y otra que no estén capacitados para encontrarlo. quizá debería hacer leer a los de Ms mi post anterior ??? jeje
- Usar solamente “Herramientas automatizadas, no protege al 100%” : bueno para este tipo de casos, hay unas herramientas llamadas Fuzz, o fuzzing, pueden leer mas sobre eso aquí o aquí tbm ( en este ultimo, salen un listado ), si bien a la hora de hacer pruebas, normalmente se tiene un “check list” de cosas a probar y como probarlas, la realidad es que esa lista no es “todo lo que hay que hacer”, hay que “salirse del libre” y comenzar a hacer pruebas aleatorias, o como dicen algunos “ por instinto”, si de esas que no son ordenadas, de esas que el listado de pruebas no indica ( me viene a la mente la aclaración de Jersson, a mi ultimo post, que luego terminare de re-aclarar ) , esto es algo que comentare luego, si, muchos “ puristas” de los procesos y metodologías, siempre piden ( o exigen) que uno siga el libreto establecido, pero en cuestiones de pruebas, seguir “solamente” el libreto, puede ser uno de los peores errores. Se que algunos dirán “allí dice que no hay casos documentados para este tipo”- en referencia a lo que dice ms con respecto a este bug – , a lo cual les diría … no hay casos documentados “públicamente”, quizá si los de MS entran tantito mas al IRC, podrían enterarse de mas casos 🙂 – bueno si, muchos grupos son privados-.
No puedo negar de que en los últimos tiempos Microsoft se enfoco mas a la seguridad, pero estos 2 últimos bugs críticos ( si, aun no me olvido del otro que salió hace poco ), hacen pensar que quizá no están lo suficientemente capacitados, como se pensaba.
seria bueno que lean los artículos, que a su vez son las fuentes para este mini post:
- http://blogs.msdn.com/sdl/archive/2008/12/18/ms08-078-and-the-sdl.aspx
- http://bink.nu/news/microsoft-explains-how-it-missed-critical-ie-bug.aspx
- http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Security&articleId=9124174&taxonomyId=17&pageNumber=1
- http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844
y como ya puse antes, un listado de Fuzzers : http://www.infosecinstitute.com/blog/2005/12/fuzzers-ultimate-list.html
pdta: este solo es un ejemplo de las cosas que pueden pasar (de los puntos que mencione en mi anterior post), en la siguiente entrada me explicare un poco mas.
Salu2 y nos leemos al rato…
Ddaz –Dacito Grinch –
🙂 Publicacion cruzada desde Geeks.ms 🙂 http://geeks.ms/blogs/ddaz