Vulnerabilidades, parcheos y quién puede resolver los problemas
El consejo que siempre le damos a los usuarios es actualizar sus sistemas, para parchear los fallos de seguridad. Típicamente, un sistema actualizado es mucho más robusto frente ataques (inmune no, claro) que uno sin actualizar.
Cuando vamos al entorno coroporativo, eso no siempre es fácil ni posible. Y entonces hacen falta otras estrategias (compartimentalizar, aislar, …). En Patching is security industry’s ‘thoughts and prayers’: ex-NSA man Aitel hablan del tema y afirman que parchear es inútil.
Aitel pointed out that if there were vulnerable devices on a network, then they should be removed and substituted with others, rather than being continuously patched.
De hecho, recomendaba a sus clientes incluir claúsulas permitiendo rescindir los contratos en caso de que se demostrara que los programas tenían muchos fallos.
Aitel said many of his customers had been big financial firms and he had advised that any contracts they signed with software vendors also contain a clause that would enable them to walk out of contracts if any software proved to be overly buggy.
Y, según él, el problema tendría que ver con la (mala) calidad de los programas.
He had harsh words for Microsoft and other big software vendors whom he said had done little to actually mitigate the problems posed by poor-quality software. He also criticised PHP for its numerous security problems.
Finalmente habla de que los gobiernos deberían tomar cartas en este asunto, porque el resto no tendrían capacidad para resolver este tipo de problemas.
Aitel called for vulnerability management, advocating the government as the best entity to handle this. His argument was that no other entity had sufficient power to push back against the lobby of the big software vendors and the security industry.
Bruce Schneier es otro de los que hablan de que las empresas no tienen capacidad para atacar estos problemas, por ejemplo en It’s the Economy, Stupid.