27 junio 2008

Algunas aplicaciones de Microsoft - III


En septiembre de 2001, Microsoft publicó una herramienta que permitía fortificar su servidor web IIS de forma automatizada. Seguramente para evitar que vulnerabilidades de seguridad como el gusano que acababan de sufrir pocos meses antes no volviesen a afectarlos. CodeRed, que así se llamaba, se adelantó años a su tiempo, explotaba una vulnerabilidad y se replicaba sin parar. Entonces no existía el animo de lucro con el que día a día nos enfrentamos en la actualidad.

Siete años más tarde, se publica una versión 3.0 Beta del mismo producto, una vez más, tras una infección masiva que ha comprometido más de medio millón de páginas, en las que se explotaba una vulnerabilidad en aplicaciones web mediante ataques de inyección SQL.

Como es lógico, Microsoft no puede ser responsable de las buenas o malas prácticas de programación en entornos web de cada una de las compañías que desarrollen, pero es obvio, y así nos lo hace ver, que sienten cierta responsabilidad al no disponer de medidas compensatorias para que desde otros niveles estos riesgos se puedan minimizar o mitigar.

UrlScan es una buena iniciativa, solo dos preguntas: ¿por qué siempre tarde? ¿por qué no integrado directamente en IIS?