Noticias y Alertas
Header

XP: El ataque de los muertos vivientes

noviembre 28th, 2013 | Posted by kwelladm in Noticias

El próximo 8 de Abril Microsoft finaliza el soporte extendido para Windows XP [1], Office 2003 e Interner Explorer 8, lo que supone que ya no ofrecerá de forma oficial actualizaciones de seguridad. Esto supone un grave problema, ya que XP tiene una cuota a nivel mundial del 30-35% en función de la fuente consultada.

Los problemas de la migración de Windows XP a un sistema operativo superior (Windows 7 o Windows 8) son variados. En primer lugar está el problema de la potencia de los equipos [5], ya que no todos los equipos tendrán hardware lo suficientemente potente como para correr 7/8 (aunque en mi experiencia, un Pentium IV con 2Gb de RAM, si se le desactiva Aero y otros servicios puede ser todavía usable).

El segundo problema, y mucho más grave es el del software. Muchas empresas tienen software desarrollado a medida que solo funciona para XP (quién no ha visto en una auditoria un Internet Explorer 6 “porque la intranet no funciona en otro navegador“), lo que implicaría que una migración a 7/8 implicaría refactorizar el software (con los costes que ello conllevaría). Una posible solución sería emplear XP Mode [6], que puede ser válido sin el equipo es lo suficientemente potente como para correr tanto 7/8 como la máquina virtual de XP.

Ambos problemas implican una inversión importante, que muchas empresas van a tener complicado el realizar (sobre todo las PYMES, que en muchos casos ni siquiera son conscientes de esta situación).

Si alguien opta por quedarse en Windows XP, se va a enfrentar con varios problemas, el primero el de soporte. Microsoft ofrece un “Custom Support” que al parecer ofrecerá únicamente actualizaciones críticas a un coste de 200$ por equipo al año (lo que puede suponer un coste asumible solamente por grandes empresas). De forma adicional, se enfrentarán al final del soporte oficial, por lo que no podrán acudir a Microsoft para la resolución de problemas.

Pero el problema principal es de la seguridad. Una de las máximas de la seguridad informática es “ten tus sistemas actualizados”. Microsoft XP tuvo según el NIST 29 vulnerabilidades con CVE propio en los últimos 3 meses [7], lo que implica que es muy posible que siga teniendo fallos de seguridad pasado el 8 de Abril.

De hecho, es muy posible que los cibercriminales estén haciendo acopio de 0-days y los estén guardando para hacer uso de ellos cuando Microsoft no vaya a ofrecer una solución (si hacemos un análisis somero a las vulnerabilidades CVE de los últimos meses, en lo que llevamos de mes tenemos cinco, otras 5 en septiembre, 9 en agosto y 10 en julio, lo que podría indicar una cierta tendencia) [7].

Además, hay que tener en cuenta que Microsoft seguirá ofreciendo actualizaciones críticas, aunque sea solo a clientes selectos. Otra táctica bastante habitual es realizar ingeniería inversa al parche y derivar del mismo un exploit usable [8], algo que sería sin duda ventajoso a un cibercriminal, dado que la gran mayoría de los usuarios no tendrían acceso al parche para protegerse).
De hecho, me puedo permitir el adelantar una de las predicciones de 2014 y vaticinar que uno de los malware más exitosos sea aquel que prometa actualizaciones de seguridad para XP (sobre todo cuando ya exista un buen 0-day en explotación).

Bajo este contexto cuesta poco imaginar un escenario apocalíptico en el que los 0-day corran sembrando el caos por Internet infectando todos los XP y creando botnets de millones de zombis (aunque muchos temerían más a los auditores con sus fajos de no cumplimientos por mantener XP). En este caso Microsoft se vería contra la espada y la pared, debiendo o bien sacar parches para esos fallos (admitiendo la necesidad de continuar con el soporte) o soportando una importante pérdida de imagen.

Sin embargo, no quiero que este artículo se convierta en un clásico FUD. No creo en un Apocalipsis XP, pero sí en que puede causar serios problemas a empresas y usuarios domésticos. La mejor forma de prevenir esos problemas viene dada por una adecuada gestión del riesgo, partiendo por una adecuada gestión de inventarios que nos permita detectar qué activos tienen todavía Windows XP.

Una segunda fase debería analizar dichos activos y estimar el coste de una migración a Windows 7/8 en función de los diversos factores antes citados. Para aquellos equipos que no puedan ser migrados a un sistema operativo más moderno existen varias opciones: la primera y más sencilla sería aislarlos totalmente de Internet (algo más factible debido a la menor posibilidad de infección por dispositivos USB desde la deshabilitación del AutoRun en Windows XP/Vista/7/8).

Una segunda opción sería “congelarlos” con algún software que restaurara el equipo a un estado confiable cada vez que se reiniciara (guardando los datos en una carpeta de red). Una tercera sería hacer uso de virtualización (ya sea a través de XP Mode o de soluciones de VDI). Y una cuarta podría ser la migración a Linux manteniendo los programas mediante Wine (aunque sería quizás la más compleja).

En conclusión, el fin del ciclo de vida de Windows XP supone un riesgo que debe de ser tomado en cuenta. Gestionado de forma adecuada debería de suponer una cierta molestia (recordemos los perros viejos el “Efecto 2000”), pero si se trata de forma correcta el riesgo podrá ser controlado de forma adecuada.

Referencias

[1] http://windows.microsoft.com/es-es/windows/end-support-help
[5] http://windows.microsoft.com/es-es/windows7/products/system-requirements
[6] http://windows.microsoft.com/es-es/windows7/install-and-use-windows-xp-mode-in-windows-7
[7] http://web.nvd.nist.gov/view/vuln/search
[8] http://nullcon.net/nullcon2011presentation/harsimranwalia_nullcon.pdf
[10] https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario