Según Sophos, Microsoft falsea datos de seguridad

“Están mostrando únicamente la mitad de la ecuación”, ha declarado Chet Wisniewski, un investigador de seguridad de Sophos, según informaciones publicadas por PC World Profesional. “Ponen gran cantidades de números para hacer ver que son “científicos”, pero plantean más preguntas que respuestas. Así que, ¿dónde está el truco?”

Wisniewski reaccionó así a la publicación de un post por parte de Jeb Haber, el responsable de la tecnología SmartScreen de Microsoft. En su post, Haber citaba una gran cantidad de estadísticas para mostrar cómo IE9, que ahora incluye una nueva característica, llamada SmartScreen Application Reputation, ha bloqueado un significativo número de intentos de descargas maliciosas antes de que alcanzaran equipos con Vista o Windows 7.

Entre los principales puntos señalados por Haber destaca que los datos de Microsoft mostraban que una de cada 14 descargas por los usuarios de Windows es maliciosa y por tanto, bloqueada por IE9.

Microsoft también ha explicado que la Reputación de Aplicaciones de Internet Explorer 9 o “App Rep” frustra los ataques de ingeniería social, aquellos que se basan en engañar a los usuarios para que se descarguen e instalen un archivo peligroso que contenga código que comprometa un equipo y lo infecte con malware.

“Microsoft está comparando manzanas con… nada”, ha declarado Wisniewski. Ya que IE9 no es capaz de bloquear ataques de este tipo de software como Adobe Reader y Flash, el iTunes de Apple o el Java de Oracle, los datos de Microsoft no muestran una imagen real de lo que ocurre.

“¿Dónde están los números de los exploits?”, se pregunta Wisniewski, refiriéndose a los ataques, habitualmente producidos no a través de descargas, sino ataques dirigidos que dejan en evidencia vulnerabilidades en el propio software de Microsoft o en programas de terceros. El resultado es, por tanto, una imagen parcial, que Microsoft ha presentado como estrategia de relaciones públicas, cree Wisniewski.

“No están comparando sus datos con los ataques actuales, así que parece que nos están engañando”. Wisniewski también señala los fallos en el bloqueo de descargas de Internet Explorer 9, utilizando sus propias estadísticas para respaldar esta tesis.

Haber escribió que el 90 por ciento de todas las descargas no desencadenan una alerta de IE9, pero que una de cada diez descargas sí lo hacen, “la tasa de falsos positivos”, lo que significa que el aviso era erróneo, y que se sitúa entre el 30 y el 75 por ciento. “Si eso es cierto, ¿continuarás prestando atención a los avisos?”, plantea Wisniewski. “La gente puede acabar harta de esto, igual que les ocurría con los avisos en Vista”.

App Rep de IE9, utiliza los elementos que identifican los contenidos de los archivos y su certificado digital para determinar si es una aplicación conocida con una reputación ya establecida. Si el algoritmo de App Rep clasifica al archivo como desconocido, quizá porque el valor hash no ha sido visto hasta entonces, IE9 muestra un aviso cuando los usuarios intentan poner en marcha o guardar el archivo.

Desde el punto de vista de Wisniewski, ese planteamiento es un problema. “La cuestión con la firma de código es que vemos regularmente que se abusa de él”. Un ejemplo de esto es el gusano Stuxnet. Además, el software legítimo puede caer en este problema cuando aún no ha sido “aprobado” por Microsoft, lo que podría confundir a los usuarios. “Me encanta la idea del bloqueo basado en la reputación”, reconoce Wisniewski, quitándose el sombrero ante Microsoft e Internet Explorer 9 por “intentar ir más allá con App Rep”. “Estamos haciendo todo lo que podemos desde el lado de la reacción. Pero desde su punto de vista, Microsoft ha perdido una oportunidad proclamando unas cifras que solamente reflejan la mitad de la historia. “Nos han mostrado la mitad de la foto”.

Noticias relacionadas

Internet Explorer 9 ya está disponible

Microsoft alerta de ataques contra una vulnerabilidad de día cero en IE

Stuxnet se podría haber evitado