11 may. 2015

Cambio en el proceso de actualizaciones de Microsoft y Windows 10

Microsoft acaba de anunciar que con la llegada de Windows 10 las actualizaciones de seguridad, que se publican de forma periódica los segundos martes de cada mes, llegarán a los sistemas de los usuarios (PCs, tabletas y teléfonos) tan pronto estén disponibles.

Si bien este cambio solo se aplicará a los usuarios domésticos. Los usuarios corporativos podrán para aprovechar el nuevo "Windows Update for Business", un servicio gratuito para todos los dispositivos Windows Pro y Windows Enterprise, que permitirá a los administradores adoptar el sistema de actualización temprana de los usuarios domésticos.

Según el anuncio realizado en la conferencia Ignite de Microsoft, la compañía planea distribuir los parches a los usuarios de Windows 10 tan pronto como estos estén disponibles (en forma de 24/7). Esto claramente reducirá el tiempo que los ordenadores quedan vulnerables a nuevas amenazas. Se verán beneficiados por este nuevo sistema todos los dispositivos que ejecuten Windows 10, ya sean PCs, tabletas o teléfonos inteligentes.

Vuelta a los orígenes

Hace 14 años Microsoft introdujo su estrategia STPP, dentro de la cual se incluyó la muy polémica distribución de parches mensual. De esta forma, en 2003 empezaron a publicarse todas las actualizaciones de forma mensual. Así Microsoft conseguía librarse de golpe de las múltiples críticas que recibía, cada dos por tres, por la publicación continua de nuevos parches. Algo que sin duda dificulta la labor a los profesionales y es poco práctico para los usuarios finales que no tienen porqué estar pendientes continuamente de las actualizaciones.

Microsoft optó por simplificar el problema y reducirlo a lo absurdo: si no quieren muchos parches pequeños de forma periódica, daremos uno grande una vez al mes. La información sobre las actualizaciones de Microsoft se veía reducida de esta forma a una vez al mes. El impacto mediático también se veía reducido.

Esta medida fue duramente criticada en su momento en Hispasec, de hecho en aquel momento se veía más como un movimiento de márketing que algo realmente pensado en la seguridad de los usuarios.

El tiempo y la cantidad de compañías que han adoptado la política de distribución de parches de Microsoft (Adobe, Oracle…) parecía que habían dado la razón a Microsoft. Algunas adoptando incluso el mismo día para la publicación de sus actualizaciones. Lo cual, en la actualidad, puede convertir algunos segundos martes de mes en un verdadero infierno de actualizaciones para un administrador.

Finalmente las empresas y los usuarios finales, parece que habían aceptado el modelo de distribución de actualizaciones de forma mensual. Ahora Microsoft vuelve a sus orígenes y volverá a publicar los parches según estén disponibles. Pero esta vuelta atrás, no hace sino pensar que durante más de 12 años nos ha tenido engañados haciéndonos pensar que la distribución de parches mensual era el modelo más beneficioso para todos. ¿Por qué lo que antes era malo ahora es bueno?

Aunque como se indica esta nueva política solo afecta a los usuarios finales, y no a las empresas y corporaciones. Ahí puede estar gran buena parte de la diferencia, en una gran corporación con múltiples sistemas, instalaciones y plataformas, sí puede ser necesaria una cierta planificación para la instalación de los parches. Planificación que evidentemente no necesitan los usuarios finales, y que actualizarán su sistema en el momento que más les convenga, por ejemplo para realizar el casi obligado reinicio en cualquier actualización.

Pero según se plantea esta nueva política de distribución, ahora se abre otra clara problemática, los usuarios finales podrán recibir actualizaciones mucho antes que una corporación. Lo cual en esta ocasión abre una ventana de tiempo entre que una vulnerabilidad es parcheada en un sistema doméstico y que esa misma corrección esté disponible para un entorno corporativo.

Con un problema adicional. Como es sabido muchos exploits ven la luz en base a un análisis de ingeniería inversa sobre los parches una vez que son publicados, algo conocido como "Patch tuesday, exploit wednesday". ¿En qué medida una actualización publicada para un sistema doméstico, no podrá emplearse para conseguir un exploit que permita atacar empresas aun sin parchear y sin siquiera la posibilidad de obtener ese parche?

Es posible que aun quede mucho por aclarar sobre esta nueva política de distribución de parches. Pero esperamos que se aclararen todas las dudas, que sea lo mejor para los usuarios y que al contrario de lo que ocurrió hace años, no quede lugar para la polémica.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!