Publicado el 24 de septiembre por un grupo de conocidos críticos de Microsoft, el informe «CiberInseguridad: el costo del monopolio» solo llamó ese día la atención de los especialistas. Los demás se despertaron el 26 al aprender que la empresa @stake había despedido a Daniel Geer su jefe de tecnología por haber contribuido al documento. La violencia de las reacciones apuntaba a una pieza importante y la explicación descansa en la simplicidad de la solución que propone.
San Francisco, California, 29.sep.03
El nombre de Geer ha sido eliminado del sitio de @stake y su dirección de mail bloqueada. La empresa que tiene contratos con Microsoft precisó que el despido tenía efecto retroactivo al 23 de septiembre, un día antes de la publicación del informe.
En otras círculos, Geer y sus amigos se han visto acusado de practicar una «retórica mercenaria» (pagada por los competidores de Microsoft) y su llamado a una reacción gubernamental ha sido calificada de «marxista».
«Si no fuera verdad, no reaccionarían tan fuertemente» comentó Ed Black director de la Computer & Communications Industry Association, el grupo que difunde el informe.
¿A qué le temen los amigos de Microsoft?
Al concentrar sus ataques sobre la seguridad los autores parecen haber dado en el blanco. Los monopolios ya no espantan a nadie, pero los estadounidenses son cada vez más sensitivos a todo lo que pudiera ponerlos en peligro.
La mayoría de las críticas incluidas en el informe son conocidas. La sociedad de Bill Gates goza de un monopolio sobre la informática diaria (y gana terreno en el campo de los servidores). Integra con profundidad creciente un sinnúmero de aplicaciones al sistema operativo (Windows). No divulga las informaciones que permitiría a otros desarrolladores participar con sus innovaciones para amplíar la diversidad (fuente de robustez).
Para integrar todos sus programas, los informáticos de Microsoft tienen que agregar líneas de código cada vez más complejas. Resulta que «la complejidad es el primer enemigo de la seguridad» por dos motivos: 1) «los sistemas complejos tienden a no ser bien entendidos por nadie» lo que vuelve más difícil su protección; 2) «el defensor tiene que prevenir todos los ataques posibles mientras el atacante apenas tiene que encontrar una forma de ataque no bloqueada.»
Hasta los «parches» sistematicamente ofrecidos por Microsoft no parecen constituir una solución. «Mas alla de cierto umbral de complejidad, los parches se vuelven inadecuados y talvez hasta contra producentes,» explica el informe. «Cuando la complejidad produce vulnerabilidad, agregar más códigos por el medio de parches tiende a exacerbar el problema.»
El informe insiste en particular sobre los riesgos de «fallos en cascada» frecuentes cuando todas las computadoras de un sistema tienen las mismas vulnearabilidades. Establece una relación explícita con el mayor apagón de la historia de EEUU y Canadá, que tuvo lugar en agosto pasado cuando un problema en un punto de la infraestructura eléctrica contagió «en cascada» a casi la cuarta parte de la red. Recuerdo fresco y doloroso.
Lo más peligroso, sin embargo para Microsoft est la simplicidad de la solución propuesta: que las instituciones diversifiquen su parque informativo. Nadie debería tener más del 50% de sus máquinas con un solo sistema operativo. «Los gobiernos no deben permitir que sectores de infraestructura o esenciales para sus economías sigan el camino de la monocultura,» dice el informe, «y esto incluye el propio uso de la informática por el gobierno.»
En claro, el informe invita las instituciones a que diversifiquen sus compras lo cual no puede ser dell gusto de Bill Gates. En julio pasado, por ejemplo, la secretaría de seguridad interior (Homeland Security) firmó un contrato de cinco años y 90 millones de dólares para que Microsoft abaztezca a sus 140,000 empleados con material suyo.
No hacen falta ni leyes ni juicios. El informe propone una solución sencilla a un problema claramente expresado. Por esto resulta peligrosísimo… para Microsoft.
CyberInsecurity – The cost of Monopoly
Artículo sobre el apagón de agosto y los «fallos en cascada»