14 enero 2010

Adobe no confía en sus usuarios


El año 2010 no empieza nada bien para Adobe. Si ya el pasado dejaba su software como el más inseguro de todos, últimamente nos encontramos con noticias que apuntan a que gran parte del "holocausto" que está dándose, en forma de ciberterrorismo, a nivel mundial con varias importantes organizaciones podría haberse debido a un PDF "con regalo 0day" repartido a dichas organizaciones, que una vez abierto, abriría la puerta a los malos para robar...por ejemplo..códigos fuente o información sensible de la compañía.

Adobe no aguanta más. No aguanta ver como sus usuarios, cuando les aparece el mensaje de "Actualizaciones disponibles", las descargan y no las aplican, cancelan el proceso, etc. Y como tampoco aguanta ver como es titular, día si y día también, a causa de sus problemas de seguridad, vulnerabilidades explotadas "in-the-wild" y demás, ya ha confirmado que están trabajando en un nuevo modelo de actualizaciones silenciosas, que permitirían parchear su software sin que sea necesaria la interacción por parte de un usuario.

Este modelo lo utilizó por ejemplo Google con su navegador Chrome, y de momento parece ser que nadie se ha quejado. Y yo os pregunto, ¿creéis que es buena idea dejar que alguien "os toque las dll's" en silencio, o no os hace mucha gracia? ¿Y si en vez de ser Google, a la que todos amamos, respetamos, confiamos plenamente, es Adobe? ¿Tenéis ganas de ver su actualizador silencioso? ¿Creéis que podría dar juego para otras personas, y que pronto podríamos ver un post en un blogspot de fondo negro configurado por default explicando en ruso, francés...como aprovecharse de este sistema para hacer otras cosas? Esperemos que no.

[+] Adobe working on new automatic (silent) updater

17 comments :

svoboda dijo...

Yo estoy totalmente en contra de que las cosas se hagan en modo "silencioso", ya sea Google, Adobe o el que sea. Quizás para usuarios caseros sin muchas ganas o conocimientos sea beneficioso, pero para cualquier otro tipo de entornos me parece horrible.
Pongamos el caso típico de gestionar una red con muchos ordenadores y tener uno aislado de pruebas, instalamos la actualización en el de pruebas, se rompe algo, no pasa nada. Sin embargo, si se instala en todo el sistema sin que nadie diga nada se ha liado.
Si quieren hacer esto, como mínimo deberían poner una opción para poder activar o desactivar a elección el modo "silencioso".

José A. Guasch dijo...

@svoboda, es un tema peliagudo, ya que se enfrentan dos términos importantes en esto de la seguridad, como es la concienciación y la comodidad para el usuario.

El problema es que la comodidad da quebraderos de cabeza en varias ocasiones ("ale, como Administrador que si no es un coñazo instalar el Winamp"), y la concienciación parece cogida por muy pocos (que le vamos a hacer).

Pensé que era buena idea, por eso, plantear este debate. Sobre la opción que planteas, creo que no la pondrían, ya que, por defecto...¿qué dejarías, activada o desactivada? Esté como esté, se le puede encontrar el "puntillo" :)

svoboda dijo...

@José A. Guasch, encontrar "puntillos" se encuentran en todos lados, da igual como estén las cosas.
Yo personalmente, dejaría el modo "silencioso" activado por defecto, de esta forma usuarios sin muchas preocupaciones recibirían sus actualizaciones sin necesidad de intervenir,que es lo que pretende Adobe. Mientras que los administradores de sistemas, usuarios avanzados o gente que se preocupe un poco más podrían desactivarla para preocuparse ellos de las actualizaciones, cosa que en grandes entornos, por ejemplo, se agradece.

Anónimo dijo...

Pues qué quieren que les diga... tanto en mi ordenador del trabajo como de casa me aparece que hay actualizaciones de Adobe, le digo que las descargue, cuando termina le digo que instale... Pum! Error instalando actualizaciones! ¿Así cómo quieren que la gente tenga su software actualizado? Y no es un tema de permisos ni nada parecido, simplemente falla la aplicación de instalación.

Anónimo dijo...

Yo creo que la idea no es mala. Aunque lo que tendrían que hacer es dar la opción de elegir.

Cuando la instalación se instale, por defecto debería llevar la opción de descargas silenciosas por defecto, ya que un usuario normal ni lo mirará. Así, los que somos un poco más desconfiados, podremos desactivarla.

También sería necesario poder acceder a esta opción desde el mismo programa.

En fin, la idea no es mala, pero como se lleva a cabo, sí!

Newlog

inedit00 dijo...

"Adobe no confia en sus usuarios"
Lo he tenido que leer dos vezes pensando... el título está al rebes.
El software com más fallos de seguridad y zero-day's del mercado... y Adobe dice que "no aguanta mas". Esto es el Mundo del Revés.

No entiendo como Adobe sigue desarrollando un código tan inseguro. Pero la verdad que el Adobe es uno de estos programas que siempre está preguntando para actualizarse. *siempre*! Y es normal que algunos usuarios se cansen y dejen de hacerlo ( aunque por otra parte, una imprudencia, claro ). Pero esto de que se instale de manera silenciosa, ya me parece la gota que colma el vaso. Osea, se carga al inicio del sistema, consumiendo recursos y tiempo de inicio. Es un software catalogado como el más inseguro... y ahora también quiere quitarnos ancho de banda sin que nos enteremos! Basta ya!

Aparte que esto no soluciona el problema. Adobe debería poner todo su empeño en mejorar el codigo, y asegurar sus programas ( igual funcionando en un sand-box? ) y no haciendo ñapas. Es importante que arregle los fallos que genera. Pero mejor que no genere fallos, digo yo...

Personalmente es un programa que queda descartado hasta nueva orden.

Saludos!

José A. Guasch dijo...

@inedit00, digamos que el titulo iba con segundas, terceras, cuartas...¡con todas las intenciones!

Gracias por vuestros comentarios y opiniones

Anónimo dijo...

Pues yo tampoco estoy de acuerdo. A mi me gusta saber que programas se tienen que actualizar.
Ya decidiré yo cuando hago la actualización. Porque como han comentado antes, en un sistema de varios ordenadores, si empieza a instalarse cosas sin ningun control, ponte a buscar luego en caso de error, cual es el problema y de donde viene

thorin dijo...

A mi me molestan mucho las actualizaciones silenciosas, ya que quiero saber que se me instala, aunque no entienda los detalles técnicos, quiero tener acceso a ellos (aunque como es de esperar de estas compañías no publiquen muchos detalles.)

Si Adobe ve como la gente pasa de instalar actualizaciones peligrosas, que como mucho intente concienciar mas sobre los peligros de no actualizar.
Si la gente no instala los parches allá ellos, es como si alguien se deja el coche abierto, y a pesar de que le avisa alguien lo deja tal cual. El vera lo que hace con sus cosas.Que no se quejen si a la vuelta le han estrellado el coche.

Anónimo dijo...

Yo tampoco me fio de los usuarios. Creo que es una buena opción. Tal vez Microsoft tendria que aprender y MATAR ya a IE6.

Pablo García dijo...

Como he leido más arriba en otros comentarios, creo que lo más sensato sería poner por defecto la actualización "silenciosa" y dar como opción poder desactivar dicho sistema para tener un control total de cuándo y cómo se actualiza todo. Aunque también hay que decir, que la mayoría de los usuarios "domésticos, ni siquiera se percatarán del nuevo sistema, e incluso les resultará ventajoso.

José A. Guasch dijo...

Pues al final parece ser que el super ataque del que hablo (y del que habréis leído largo y tendido en la prensa), además de por Adobe...también podría conjuntarse con una vulnerabilidad 0day de Internet Explorer.

¡Hay para todos, señora!

Anónimo dijo...

Alguien me puede confirmar si en Snow Leopard (o puede que en general todas las anteriores versiones de OSX) viene instalado el Acrobat por defecto?

Creo recordar que se pueden abrir y visualizar PDFs sin problema pero nunca recuerdo haber instalado nada de Adobe.

Thx.

Lorenzo Martínez dijo...

@UltimoAnónimo -> En Mac OS X por defecto los PDF se abren con el programa "Vista Previa" (al menos en Leopard 10.5, desconozco la versión Snow Leopard si lo trae de serie pero lo dudo...). Si quieres Acrobat Reader hay que bajarlo....

xneo dijo...

Miedo me da ultimamente de todo lo que cuece Adobe y esto no podia ser menos, en fin a mi desde luego no me gusta ni un pelo todo lo que sea automático y menos cuando se trata de seguridad.

vierito5 dijo...

Yo siempre intento evitar usar Adobe Reader, no porque otros programas que use sean más seguros sino porque por lo menos no es el "por defecto" en la mayoría de sistemas. Ya se sabe, lo más atacado: adobe reader, sun java, flash, firefox, internet explorer, ... vamos lo que casi siempre va a estar instalado en un sistema.

Entiendo que para un usuario medio sean una buena solución las actualizaciones silenciosas, a mí personalmente no me gustan, las cosas las quiero cuando las quiero. Pero no veo inconveniente en que en la instalación del programa se pregunte y que por defecto se autoactualice, mientras no me pongan problemas en como configurarlo a mi gusto durante la instalación pues genial.

Daniel R.T. dijo...

Yo también estoy en contra de las actualizaciones silenciosas, entre otras cosas porque se empeñan en que estás siempre conectado a internet. Luego te salen los cartelitos quejándose de que no tienes conexión. También pq consumen muchos recursos. Y el flash es un cansino terrible: a veces lo instalas, se ve bien la animación pero los programas te piden actualizar de nuevo. O te aparece al iniciar el PC un instalador del flash que, aunque tengas conexión, se empecina en decir que no hay conexión (mentira, he dado permiso expresamente al or programa con el cortafuegos). Y eso que ya teno actualizado el Flash, se supone. Prefería flash cuando era de Macromedia. Y el Acrobat Reader consume cada vez más recursos, así que prefiero el SumatraPDF o el foxit reader.