Microsoft Windows Vista Rrrrroadmap

Tengo una extraña sensación de "déjà vu" con el continuo retraso en la fecha de lanzamiento de la nueva versión de windows. Los más viejos veteranos recordareis que algo muy similar ocurrió hace unos 14 años con la primera versión profesional de Microsoft Windows (la NT 3.1) y, por ello, el NT (de New Technology) fue rebautizado como Not Today. A fecha de hoy el nuevo producto de los chicos de Redmon lleva ya acumulados dos años de retraso respecto a las fechas inicialmente previstas:

servido por unlugarenelmundo 2 comentarios compártelo

Hay algo que no es como me dicen

Llevamos años oyéndolo: Microsoft apuesta por la seguridad. Yo creo que la primera vez que lo escuché fue tras aquel famoso comunicado interno que Bill Gates, allá por el año 2002, envió a toda su plantilla y que se difundió a lo largo y ancho de este mundo. Desde entonces los medios afines a la empresa de Redmon nos repiten lo mismo una y otra vez a ver si a fuerza de escucharlo nos lo creemos. Pero nada ha llovido mucho desde aquel momento y se ve que no hay manera. Las recientes vulnerabilidades descubiertas en torno a las betas de sus "productos estrella" para este año (Internet Explorer 7. OneCare y Windows Vista) demuestrán, además, que o bien no tienen ninguna intención de cambiar o el éxito les ha convertido en una empresa tan 'pesada' que no son capaces de hacerlo.

Parémonos en primer lugar en la reciente vulnerabilidad en torno a los archivos WMF y que, aunque Microsoft no ha tratado de airearlo mucho ocultándolo en el boletín oficial que emitió, lo cierto es que esta vulnerabilidad afectaba también a la beta de Windows Vista. Independientemente de toda la polémica surgida en torno a ella, hay algo de lo que no se ha hablado y que a mi me parece muy significativo: Microsoft declaró que conocía la existencia de esa vulnerabilidad desde hacía años. Entonces ¿cómo es posible que fuese portada a la beta de su nuevo sistema? Desde luego es difícil creer que una empresa que actúa así esté especialmente motivada por la seguridad de sus productos.

Después de esto y en apenas un mes hemos tenido un par de nuevos 'problemillas': uno de ellos afecta a la beta de Microsoft OneCare, una suite de seguridad que pretenden lanzar durante este año. Los expertos que han analizado dicha beta (e imagino que lo habrán hecho a conciencia puesto que aquí Microsoft arremete contra un floreciente negocio que ha crecido a su sombra y les ha dado mucho dinero) han advertido que el cortafuegos de dicha suite permite en su configuración por defecto que cualquier aplicación firmada digitalmente o que use la máquina virtual java tenga acceso a Internet. En este caso se trata claramente de un error de diseño gravísimo: "cualquier cortafuegos, cualquier dispositivo de seguridad, debería de denegar el acceso por defecto" ha declarado Mark Curphey, vicepresidente de Foundstone. Se trata de algo tan evidente para cualquiera que trabaje o conozca el mundo de la seguridad que casi parece estúpido tener que decirlo.

Por último, tenemos un fallo que podría posibilitar la ejecución de código de forma remota y que afecta nada más y nada menos que a la beta de Internet Explorer 7, un producto que, se supone, debería de estar especialmente mimado por los de Redmon debido a la sangrante pérdida de mercado que está sufriendo a manos de Firefox. Microsoft contesta con lo de siempre: que se preocupan mucho por la seguridad, que ya sabían que ese error existía (¿cómo diablos sacas la beta entonces sin advertirlo?), que no está tan claro que se pueda ejecutar código remoto y que no es correcto que la gente vaya por ahí aireando sus trapos sucios sin enseñárselos a ellos antes para que puedan enterrarlos convenientmente.

Tenemos, pues, tres errores, tres, en torno a los futuros nuevos lanzamientos de los de Redmon. Uno debido a la reutilización de código mal diseñado, otro debido a un error conceptual de diseño y un tercero que repite los mismos fallos de siempre en un desarrollo nuevo... ¿es esta la forma de actuar de una empresa que se preocupa por la seguridad?

Y no me canso de repetirlo: a todos, incluso a los que tratamos de no usarlo, nos interesa que Microsoft desarrolle productos seguros porque por culpa de estas meteduras de pata tenemos que convivir con el spam, con gusanos que saturan el tráfico de redes completas, y con decenas de problemas en el trabajo que no nos dejan ocuparnos de lo que realmente nos interesa. Repito: no me gusta el software de Microsoft pero quiero que, de una vez por todas, se tomen en serio la seguridad de sus productos.

(Espero que Juanjo Millás no se moleste por haber tomado prestado para este post el título de su excelente trabajo sobre el caso de Nevenka Fernández).

servido por unlugarenelmundo 1 comentario compártelo

Sacándole las castañas del fuego a Microsoft

El 28 de diciembre (curioso día) el CERT publicó un boletín extraordinario informando de una importante vulnerabilidad que afectaba al formato de los populares windows metafile (wmf), que permitía ejecutar código de forma remota en un equipo con windows y para la que no existía parche alguno. En realidad el aviso del CERT, como suele ser habitual, no coincidía con el descubrimiento de la vulnerabilidad (que llevaba ya varios días dando que hablar en las listas especializadas) sino con la aparición de los primeros exploits 'in the wild'.

A día de hoy, y como era de esperar, se han multiplicado los exploits que se aprovechan de este agujero, incluyendo un gusano que se está propagando por Messenger y las casas antivirus, imagino que influenciadas por las fiestas, están reaccionando en general con demasiada lentitud para incluir la detección en sus firmas.

Hasta el momento Microsoft sigue sin dar una solución definitiva y oficial a este problema que afecta a la práctica totalidad de sus sistemas y se ha limitado a publicar un boletín con sugerencias y 'workarounds'.

Las primeras soluciones efectivas han venido de la mano de la comunidad de usuarios de Snort donde ya se ha publicado una firma para detectar el exploit a través de este popular IDS y de Ilfak Guilfanov, un reputado desarrollador que nada tiene que ver con los de Redmon y que ha publicado recientemente una herramienta para detectar los sistemas vulnerables (casi todos los windows, como ya he dicho) y un parche no oficial que soluciona la vulnerabilidad de forma efectiva y para el cual incluye el código fuente. Bernardo Quintero de Hispasec hace eco de esta solución en el blog de esta empresa y apuntan que el parche parece adecuado hasta el punto de que el Internet Storm Centre de SANS está recomendando su uso.

Mal empezamos el año Bill.

servido por unlugarenelmundo 2 comentarios compártelo

Un interprete de comandos de verdad para la próxima versión de windows. Si, si, no estoy de broma

Una de las más interesantes novedades que introducirá la nueva versión de windows...

No, no, espera, así no, empiezo de nuevo...

La única novedad que me resulta realmente interesante en la nueva versión de windows (Windows Vista aka Longhorn) es que los chicos de Microsoft bajan por fin a la arena de la línea de comandos e introducen un nuevo interprete: MSH aka Monad.

MSH promete ser un interprete de comandos al más puro estilo UNIX con una curiosa mezcla de unos sitios y otros: interactivo como BASH o KSH, programable como Ruby o Perl, estructurado como Javascript, fuertemente orientado a objetos y muy vinculado con .NET y con algo de sabor a SQL en la sintaxis de alguno de sus comandos... Dicho así parece algo caotico, pero una vez superado el excepticismo inicial la verdad es que no es tan feo. Palabra.

Descubrí hace sólo una semana a través de los populares de Del.icio.us (que se está convirtiendo para mi en una maravillosa forma de encontrar enlaces interesantes) un análisis bastante completito acerca de la beta 2 de este producto (ya disponible para Windows XP) titulado A guided tour of the Microsoft Command Shell y a partir de ahí me pico el gusanillo y decidí bajarme la beta y probar.

Hay que decir que aunque Ars Technica no me parece una fuente muy independiente en absoluto (en las noticias de portada de hoy hay cinco referencias a Microsoft, una a MAC y ninguna a LINUX) el análisis en cuestión parece adecuado y poco tendencioso, Trata, eso si, con poco éxito de revestirlo de novedoso pero cae inevitablemente en las comparaciones de cada una de las funcionalidades que aporta MSH con sus homólogos en el mundo del software libre que disfrutamos desde hace años y del que, evidentemente, se han copiado. Pero lo realmente novedoso para mi en este asunto es que por fin existirá en los windows un shell de línea de comandos potente, interactivo, programable y flexible desde el que se podrá realizar (esto aún no está implementado pero es una promesa... veremos) cualquier tarea administrativa sobre los sistemas de Microsoft.

La seguridad es lo que más me preocupa en todo esto y no por la potencia del shell en si sino por la filosofía de trabajo del usuario windows. En los entornos empresariales cada vez es menos frecuente (afortunadamente) que los ordenadores arranquen con privilegios de administración pero, aún así, tenemos decenos de millones de usuarios domésticos que arrancarán todos los días sus ordenadores con super-privilegios y en breve lo haran con un shell extremadamente potente. Un manos libres para los fabricantes de virus y gusanos, vamos... Aunque, quizás con un poco de suerte, Microsoft nos sorprenda en su próxima versión de windows con un asistente de instalación en el que fuerce al usurario a crear una cuenta sin privilegios para el trabajo diario... no, espera, no estamos en la sección de chistes... lo dejo aquí.

Para quien quiera leer un poco más acerca de MSH hay otro par de enlaces que encuentro interesantes: la entrada en la wikipedia y el monográfico del MSDN. Y para quien no tema contaminarse y quiera evaluar la beta actual puede obtenerla a través del programa Beta Place de Microsoft entrando con cualquier cuenta de Passport.NET y, posteriormente, usando como código de invitación al programa: mshPDC

Pocos son los que, en la actualidad, pueden trabajar lejos de los entornos windows, esto es una realidads y yo trabajaré mucho más cómodo con una herramienta como esta. Eso si, llega a funcionar correctamente, que todo hay que decirlo...

servido por unlugarenelmundo 1 comentario compártelo

Microsoft en el Congreso de los Diputados

A la vuelta de las vacaciones nuestros diputados se han encontrado un regalito inesperado: un ordenador!

Hemos tenido mucha información sobre esto, por ejemplo una nota de prensa de EFE publicada en Periodista Digital, una bonita animación en El Mundo que nos muestra el aspecto externo de los equipos (por cierto ¿no echais en falta un lector de smartcards que permita, por ejemplo, autenticación a través del futuro DNI digital?), los inevitables comentarios en Barrapunto, entradas en las bitácoras de algunos de los miembros de Hispalinux (Juantomas García, Benjamin Villoslada), etc.

No tenemos detalles (o al menos yo no los he encontrado) acerca de, por ejemplo, el hardware que usan. No sabemos por tanto si se trata de equipos DELL, HP o tal vez clónicos. Pero lo que si sabemos es el sistema operativo que usan: Windows XP...

No voy a opinar sobre esta decisión sin saber como se ha llegado a ella. Esto es, precisamente, lo que me gustaría saber ¿cómo se ha llegado a decidir que este es el sistema operativo idoneo? ¿alguien ha hecho un estudio previo?¿ha habido un concurso público?¿qué criterios de valoración se han seguido para esta adquisición? Cualquiera que esté familiarizado con los procedimientos administrativos sabe que, por regla general, el valor económico suele ser el criterio decisivo para la adjudicación de cualquier producto o servicio ¿Quizás sus señorías necesitan usar algún software que no funciona en LINUX? En ese caso ¿Cual?

No, no me parece este un asunto trivial y me considero una persona comprensiva en estos asuntos (en todos, por regla general...). Puedo entender (con repararos y siempre pensando que se trata de una visión a muy corto plazo) a alguien que me argumente seguir con windows simplemente por no afrontar el coste de una migración a LINUX, pero no puedo comprender en absoluto a quien se plantea hoy por hoy una nueva instalación y decide comprarle las licencias a la empresa de Redmon sin estudiar otras posibilidades. Y menos cuando esa compra se hace con dinero público. No puedo comprenderlo sin que me expliquen detalladamente como se ha llegado a esa decisión y el motivo por el cual alguien ha decidido tirar mi dinero a la basura de esta forma...

Pero bueno: obviemos el asunto económico que tampoco vamos a ir a ningún lado por unos cuantos miles de euros. Ningún perro lamiendo engorda, que diría mi madre. Pero ¿y la seguridad?¿y la privacidad?¿y la apuesta por iniciativas propias?¿Se han valorado estos puntos a la hora de elegir?¿Es pública esa valoración?

servido por unlugarenelmundo sin comentarios compártelo

Microsoft Software Assurance: ¿Un servicio de valor añadido o el timo de la estampita?

Allá por, creo recordar, la primera mitad del año 2001, Microsotf realizó un cambio en su política de licencias y lanzó el Software Assurance o seguro de software, una especie de servicio de subscripción que permite, a cambio de una cuota bianual un derecho de actualización inmediata a cualquier nueva versión del producto licenciado. Como en todo lo que se mueve alrededor de Microsoft hubo fuertes críticas y grandes alabanzas. Hoy, cuatro años después de su lanzamiento, podemos hacer numeros y ver quien tenía razón y quien no. Para ello nada mejor que un ejemplo práctico. Como en la escuela, primero el enunciado:

Supongamos el caso de una empresa pública que, por renovación tecnológica, decide cambiar todo su parque de ordenadores (1500). Estamos en mayo de 2001 y deciden retirar todo su hardware ya obsoleto y cambiar a la versión de Windows 2000 que su departamento de informática, después de una minuciosa evaluación, ya considera suficientemente estable. Necesitarán, además, la versión Profesional de Office. En el año 2003 su parque informático ha crecido en 300 puestos. El departamento de informática decide que la versión de Windows XP aún no es suficientemente madura ni les aporta mejoras como para considerar el elevado coste de la migración. Finalmente en 2005 la empresa ha crecido en 200 puestos más y, por fin, se decide acometer la migración a Windows XP Professional que con el Service Pack 2 ya les aporta la confianza suficiente. Para no complicar el ejemplo obviaremos las licencias necesarias en servidores, las de conexión etc. y nos centraremos en exclusiva en los puestos de trabajo aquí mencionados.

No es un caso rebuscado ¿verdad? seguro que, quien esté metido en esto, conoce muchas empresas que, variando los números, puedan ajustarse más o menos a esta realidad... Pero antes de empezar, introduciremos una nueva variante en nuestro problema:

Cuando nuestra empresa está buscando un proveedor de hardware para unificar sus equipos varios proveedores le ofrecen PC's a precios realmente muy competitivos pero que ya incluyen en versión preinstalada (y con su licencia pagada) el sistema operativo (una versión de Microsoft Windows, por supuesto...). El precio del equipo es bueno, el soporte que da la compañia también y, cuando se le insiste al proveedor de hardware que las licencias las vamos a comprar aparte porque somos una empresa pública, tenemos condiciones preferentes y, además, estamos valorando entrar en el modelo de software assurance la empresa proveedora nos dice que si nos descuenta el precio de las licencias no puede mantenernos el precio de los equipos porque se trata de configuraciones cerradas.

También os suena ¿verdad? Pues continúamos...

En la primera solución a este problema, nuestros aguerridos informáticos tras recibir la visita del comercial de Microsoft que les comenta los pingües beneficios económicos que van a obtener con el nuevo modelo de licencias deciden apuntarse a ello. Es una lástima que no puedas subscbirte al modelo salvo al comprar las licencias (que ellos ya han adquirido con los equipos) pero el comercial les insiste que aunque en realidad es como si pagaran dos veces el precio de la licencia el resultado será favorable... ellos dudan pero al final deciden aceptar. El comercial les regala a los responsables una camiseta, un bolígrafo y un bonito llavero (una vez finalizado el acuerdo para que nadie se piense que es un cohecho ¿eh?) y asunto resuelto... Nada que añadir a lo ya dicho en el enunciado

En la segunda solución que vamos a dar a este problema nuestros informáticos no se dejan convencer por el comercial. Son conscientes de que lo que realmente necesitan es un entorno de trabajo estable y no necesitan estar a la última. A poco que hacen números, tampoco les convence lo que les dice el comercial de que el coste de propiedad de las licencias será menor con este nuevo método y deciden usar el tradicional.

A continuación tenemos las tablas de costes de las licencias durante estos cuatro años para ambas soluciones:

Para hacerlo más simple he utilizado las mismas tablas de precios de software para todas las compras, las correspondientes a 2001-2002 para la modalidad GOLP:

Como se puede observar, la solución en la que se decide dejar de lado el modelo de Software Assurance proporciona un ahorro al cabo de los cuatro años de ¡más de un millón de euros!, es decir, un ahorro de alrededor del 32% del importe total de la operación ¿sorprendidos?

Llegados a este punto más de uno pensará "Eh, ¡este linuxero mal intencionado y tendencioso nos pone un ejemplo que no está muy claro!¡los números serían distintos si hubieran actualizado antes a Windows XP!" Evidentemente, esto no es así: los números serían EXACTAMENTE los mismos. Sólo he querido introducir un toque de realidad que será reconocible por muchos de los que trabajamos en estos entornos para ilustrar que, al margen de que este modelo resulta perjudicial para las empresas, muchas de ellas ni siquiera se benefician de las ventajas que supuestamente aportan...

En cualquier caso y para el que crea que si utilizamos la ventaja de actualización preferente este modelo si es conveniente, dejo como ejercicio para casa que hagais vosotros mismos los números para un entorno con Microsoft SQL Server 2000. ¿Cómo?¿Qué desde el año 2000 aún no ha salido ninguna nueva versión de SQL Server?¿Y estais pagando desde entonces el Software Assurance de vuestras licencias? Pero que mala suerte...

Eso si, que sepais que alguién se está comprando unos bonitos manuscritos de Leonardo Da Vinci con vuestro dinero...

servido por unlugarenelmundo sin comentarios compártelo