Para este miércoles tenemos una entrada de Antonio Sanz, que después de mucho perseguirlo se ha prestado a colaborar con nosotros :)
Antonio es Ingeniero Superior de Telecomunicaciones y Master en ICT por la Universidad de Zaragoza. Actualmente es el Responsable de Sistemas y Seguridad del I3A (Instituto de Investigación en Ingeniería de Aragón), y trabaja como perito en informática forense. Posee las certificaciones CISA, CISM, CHFI e ITILf, y sus áreas de interés actuales son la respuesta ante incidentes, la informática forense y el cibercrimen. Tuitea como @antoniosanzalc y es un imprescindible en cuestiones de ciberseguridad, cibercrimen y APTs entre otros aspectos, dándole una perspectiva geopolítica sumamente interesante.
El próximo 8 de Abril Microsoft finaliza el soporte extendido para Windows XP [1], Office 2003 e Interner Explorer 8, lo que supone que ya no ofrecerá de forma oficial actualizaciones de seguridad. Esto supone un grave problema, ya que XP tiene una cuota a nivel mundial del 30-35% en función de la fuente consultada.
En España, Luis Corrons (Director Técnico de PandaLabs/Panda Security) afirmó en el 7ENISE [2] que en un estudio realizado entre grandes empresas y AAPP Windows XP suponía un 81% de las estaciones de trabajo [3]. Para hacernos una idea de la magnitud del problema, cuando Microsoft finalizó el soporte a Windows 2000 en 2010 tan solo tenía un 0.4% de la cuota de mercado [4].
Los problemas de la migración de Windows XP a un sistema operativo superior (Windows 7 o Windows 8) son variados. En primer lugar está el problema de la potencia de los equipos [5], ya que no todos los equipos tendrán hardware lo suficientemente potente como para correr 7/8 (aunque en mi experiencia, un Pentium IV con 2Gb de RAM, si se le desactiva Aero y otros servicios puede ser todavía usable).
El segundo problema, y mucho más grave es el del software. Muchas empresas tienen software desarrollado a medida que solo funciona para XP (quién no ha visto en una auditoria un Internet Explorer 6 “porque la intranet no funciona en otro navegador“), lo que implicaría que una migración a 7/8 implicaría refactorizar el software (con los costes que ello conllevaría). Una posible solución sería emplear XP Mode [6], que puede ser válido sin el equipo es lo suficientemente potente como para correr tanto 7/8 como la máquina virtual de XP.
Ambos problemas implican una inversión importante, que muchas empresas van a tener complicado el realizar (sobre todo las PYMES, que en muchos casos ni siquiera son conscientes de esta situación).
Si alguien opta por quedarse en Windows XP, se va a enfrentar con varios problemas, el primero el de soporte. Microsoft ofrece un “Custom Support” que al parecer ofrecerá únicamente actualizaciones críticas a un coste de 200$ por equipo al año (lo que puede suponer un coste asumible solamente por grandes empresas). De forma adicional, se enfrentarán al final del soporte oficial, por lo que no podrán acudir a Microsoft para la resolución de problemas.
Pero el problema principal es de la seguridad. Una de las máximas de la seguridad informática es “ten tus sistemas actualizados”. Microsoft XP tuvo según el NIST 29 vulnerabilidades con CVE propio en los últimos 3 meses [7], lo que implica que es muy posible que siga teniendo fallos de seguridad pasado el 8 de Abril.
De hecho, es muy posible que los cibercriminales estén haciendo acopio de 0-days y los estén guardando para hacer uso de ellos cuando Microsoft no vaya a ofrecer una solución (si hacemos un análisis somero a las vulnerabilidades CVE de los últimos meses, en lo que llevamos de mes tenemos cinco, otras 5 en septiembre, 9 en agosto y 10 en julio, lo que podría indicar una cierta tendencia) [7].
Además, hay que tener en cuenta que Microsoft seguirá ofreciendo actualizaciones críticas, aunque sea solo a clientes selectos. Otra táctica bastante habitual es realizar ingeniería inversa al parche y derivar del mismo un exploit usable [8], algo que sería sin duda ventajoso a un cibercriminal, dado que la gran mayoría de los usuarios no tendrían acceso al parche para protegerse).
De hecho, me puedo permitir el adelantar una de las predicciones de 2014 y vaticinar que uno de los malware más exitosos sea aquel que prometa actualizaciones de seguridad para XP (sobre todo cuando ya exista un buen 0-day en explotación).
Otro de los problemas viene dado por el cumplimiento legal. La LOPD no dice nada al respecto, pero tanto la ISO 27002 en su artículo 12.6 (Gestión técnica de vulnerabilidades) [9] como la PCI-DSS en su Requerimiento 6 [10] dejan bien clara la necesidad de gestionar las vulnerabilidades existentes en los equipos, algo que con Windows XP ya no sería posible
Bajo este contexto cuesta poco imaginar un escenario apocalíptico en el que los 0-day corran sembrando el caos por Internet infectando todos los XP y creando botnets de millones de zombis (aunque muchos temerían más a los auditores con sus fajos de no cumplimientos por mantener XP). En este caso Microsoft se vería contra la espada y la pared, debiendo o bien sacar parches para esos fallos (admitiendo la necesidad de continuar con el soporte) o soportando una importante pérdida de imagen.
Sin embargo, no quiero que este artículo se convierta en un clásico FUD. No creo en un Apocalipsis XP, pero sí en que puede causar serios problemas a empresas y usuarios domésticos. La mejor forma de prevenir esos problemas viene dada por una adecuada gestión del riesgo, partiendo por una adecuada gestión de inventarios que nos permita detectar qué activos tienen todavía Windows XP.
Una segunda fase debería analizar dichos activos y estimar el coste de una migración a Windows 7/8 en función de los diversos factores antes citados. Para aquellos equipos que no puedan ser migrados a un sistema operativo más moderno existen varias opciones: la primera y más sencilla sería aislarlos totalmente de Internet (algo más factible debido a la menor posibilidad de infección por dispositivos USB desde la deshabilitación del AutoRun en Windows XP/Vista/7/8).
Una segunda opción sería “congelarlos” con algún software que restaurara el equipo a un estado confiable cada vez que se reiniciara (guardando los datos en una carpeta de red). Una tercera sería hacer uso de virtualización (ya sea a través de XP Mode o de soluciones de VDI). Y una cuarta podría ser la migración a Linux manteniendo los programas mediante Wine (aunque sería quizás la más compleja).
En conclusión, el fin del ciclo de vida de Windows XP supone un riesgo que debe de ser tomado en cuenta. Gestionado de forma adecuada debería de suponer una cierta molestia (recordemos los perros viejos el “Efecto 2000”), pero si se trata de forma correcta el riesgo podrá ser controlado de forma adecuada.
Referencias
[2] http://enise.inteco.es
[3] http://enise.inteco.es/file/XsGkfbAfy0JXRi2we7H3oA
[4] http://www.netmarketshare.com/report.aspx?qprid=11&qpaf=&qpcustom=Windows+2000&qpcustomb=0&qpsp=2008&qpnp=6&qptimeframe=Y
[5] http://windows.microsoft.com/es-es/windows7/products/system-requirements
[6] http://windows.microsoft.com/es-es/windows7/install-and-use-windows-xp-mode-in-windows-7
[7] http://web.nvd.nist.gov/view/vuln/search
[8] http://nullcon.net/nullcon2011presentation/harsimranwalia_nullcon.pdf
[9] http://www.iso27001security.com/html/27002.html#Section12
[10] https://www.pcisecuritystandards.org/pdfs/pci_ssc_quick_guide.pdf
Pues aun hay alternativas mejores, por ejemplo, meterles un ubuntu ligero y correr en virtual lo minimo necesario para que funcionen algunas aplicaciones viejas. y romper de una puñetera vez con la carrera de software – comprar nuevo hard cuando el que tenemos esta en muy buen estado y nos puede servir durante unos cuantos años mas.
Interesante visión, estoy totalmente de acuerdo y creo que tus predicciones van camino de cumplirse pronto. Evaluar los costes de actualización y enfrentarlos al riesgo es el primer paso, a partir de ahi las soluciones que comentas son todas válidas, el que no haga nada es porque no quiere.
Saludos