La ciberinseguridad y Microsoft

PUBLICADO EL 24 DE septiembre por un grupo de conocidos cr¨ªticos de Microsoft, el informe CiberInseguridad: el costo del monopolio s¨®lo llam¨® ese d¨ªa la atenci¨®n de los especialistas. Los dem¨¢s se despertaron el 26 al conocer que la empresa @stake hab¨ªa despedido a Daniel Geer su jefe de tecnolog¨ªa por haber contribuido al documento. La violencia de las reacciones apuntaba a una pieza importante y la explicaci¨®n descansa en la simplicidad de la soluci¨®n que propone.

El nombre de Geer ha sido eliminado del sitio de @stake y su direcci¨®n de correo bloqueada. La empresa que tiene contratos con Microsoft precis¨® que el despido ten¨ªa efecto retroactivo al 23 de septiembre, un d¨ªa antes de la publicaci¨®n del informe.

"Los gobiernos no deben permitir que las infraestructuras o sectores esenciales para sus econom¨ªas sigan el camino de la monocultura"

Para integrar todos sus programas, Microsoft tiene que agregar l¨ªneas de c¨®digo cada vez m¨¢s complejas. Y la complejidad es el primer enemigo de la seguridad

En otras c¨ªrculos, Geer y sus amigos se han visto acusado de practicar una "ret¨®rica mercenaria" (pagada por los competidores de Microsoft) y su apelaci¨®n a una reacci¨®n gubernamental ha sido calificada de "marxista". "Si no fuera verdad, no reaccionar¨ªan tan fuertemente", coment¨® Ed Black director de la Computer & Communications Industry Association, el grupo que difunde el informe.

Al concentrar sus ataques sobre la seguridad, los autores parecen haber dado en el blanco. Los monopolios ya no espantan a nadie, pero los estadounidenses son cada vez m¨¢s sensibles a todo lo que puede ponerlos en peligro.

La mayor¨ªa de las cr¨ªticas del informe son conocidas. La sociedad de Bill Gates goza de un monopolio sobre la inform¨¢tica diaria (y gana terreno en el campo de los servidores). Integra con profundidad creciente un sinn¨²mero de aplicaciones al sistema operativo (Windows). No divulga las informaciones que permitir¨ªa a otros desarrolladores participar con sus innovaciones para ampliar la diversidad (fuente de robustez).

Para integrar todos sus programas, los inform¨¢ticos de Microsoft tienen que agregar l¨ªneas de c¨®digo cada vez m¨¢s complejas. Resulta que "la complejidad es el primer enemigo de la seguridad", por dos motivos: 1) "los sistemas complejos tienden a no ser bien entendidos por nadie", lo que vuelve m¨¢s dif¨ªcil su protecci¨®n; 2) "el defensor tiene que prevenir todos los ataques posibles mientras el atacante apenas tiene que encontrar una forma de ataque no bloqueada".

Hasta los parches sistem¨¢ticamente ofrecidos por Microsoft no parecen constituir una soluci¨®n. "M¨¢s all¨¢ de cierto umbral de complejidad, los parches se vuelven inadecuados y tal vez hasta contraproducentes", explica el informe. "Cuando la complejidad produce vulnerabilidad, agregar m¨¢s c¨®digos por el medio de parches tiende a exacerbar el problema".

El informe insiste en particular sobre los riesgos de "fallos en cascada", frecuentes cuando todas las computadoras de un sistema tienen las mismas vulnearabilidades. Establece una relaci¨®n expl¨ªcita con el mayor apag¨®n de la historia de EEUU y Canad¨¢, que tuvo lugar en agosto pasado cuando un problema en un punto de la infraestructura el¨¦ctrica contagi¨® en cascada a casi la cuarta parte de la red.

Lo m¨¢s peligroso, sin embargo para Microsoft es la simplicidad de la soluci¨®n propuesta: que las instituciones diversifiquen su parque informativo. Nadie deber¨ªa tener m¨¢s del 50% de sus m¨¢quinas con un solo sistema operativo. "Los gobiernos no deben permitir que sectores de infraestructura o esenciales para sus econom¨ªas sigan el camino de la monocultura", dice el informe, "y esto incluye el propio uso de la inform¨¢tica por el gobierno".

En claro, el informe invita las instituciones a que diversifiquen sus compras lo cual no puede ser del gusto de Bill Gates. En julio pasado, por ejemplo, la secretar¨ªa de seguridad interior firm¨® un contrato de cinco a?os y 90 millones de d¨®lares para que Microsoft abastezca a sus 140.000 empleados con material suyo. No hacen falta ni leyes ni juicios. El informe propone una soluci¨®n sencilla a un problema claramente expresado. Por esto resulta peligros¨ªsimo... para Microsoft.