Llegamos a ustedes gracias a:



Noticias

Prevx se retracta de sus reclamos sobre la "pantalla negra" y pide disculpas a Microsoft

[02/12/2009] La compañía británica de seguridad que empezó una tormenta de fuego después de reclamar que las actualizaciones de seguridad de Windows causaban una difundida pantalla negra-que generaba un lock-out para los usuarios de computadoras de escritorio-, se ha retractado de sus afirmaciones y ha pedido disculpas a Microsoft en público.

Está claro que el post original en nuestro blog ha salido fuera de contexto y puede haber causado un inconveniente para Microsoft, indicó en una entrada en el blog de la compañía el jefe ejecutivo de la empresa de seguridad Prevx de Reino Unido. Esa no ha sido nuestra intención y ya nos hemos disculpado con Microsoft.
El post del blog de Morris fue el segundo en dos días que incluía disculpas para Microsoft. El primero, escrito por el director de investigaciones de Prevx, Jacques Erasmus, dijo que los parches no eran culpa de Microsoft, al contrario, asumió responsabilidad por las pantallas negras en las infecciones de malware.
La polémica comenzó el viernes pasado cuando Prevx dijo que las actualizaciones de seguridad de Windows, entregadas en noviembre, cambiaron las entradas en el Access Control List (ACL) del registro, impidiendo que algún software instalado se ejecute correctamente. El resultado, según Prevx, fue una pantalla en negro, a veces llamada la pantalla en negro de la muerte, una referencia a la pantalla azul de la muerte, que puso Windows después de un fuerte fallo del sistema.
El lunes, Microsoft dijo que estaba investigando los reportes, pero el martes estaba negando que sus actualizaciones causaran pantallas negras. Además, señaló Microsoft, su equipo de soporte técnico no estaba recibiendo ningún número apreciable de llamadas sobre el tema.
Microsoft incrementó la presión sobre Prevx ayer de otras formas también. El jefe asesor de seguridad de Microsoft para compañías europeas, Oriente Medio y operaciones en África, Roger Halbheer, sostuvo que la noticia de la pantalla negra estaba causando un atraso en los clientes a la hora de implementar las actualizaciones de seguridad de Windows. Deberías ahora hacer tus evaluaciones de riesgo y decidir en qué fuente quieres confiar, indicó Halbheer en un blog de Microsoft el martes. Para mí, la mejor fuente de información con que deberías construir tu evaluación no es ni Twitter ni nadie, sino nuestro sitio web.
El Argumento de Morris de que el blog original de Prevx había sido sacado de contexto no encaja con las observaciones que hizo al reportero de IDG News, Jeremy Kirk, el primero en reportar sobre los reclamos de la pantalla en negro.
El lunes Morris dijo a Kirk que los últimos parches de Microsoft aparecieron para hacer cambios a esas llaves de registro que causaron las pantallas negras. Es una de esas cosas que suceden de tiempo en tiempo cuando tienes un sistema operativo dinámico, indicó luego Morris.
La disputa no dañará la reputación de Prevx como proveedor de seguridad, señaló John Pescatore, analista de seguridad principal de Gartner. Un solo incidente no hace daño, pero sí lo haría un patrón general, indicó. Sin embargo, si una empresa obtiene la reputación de hacer este tipo de cosas una y otra vez, la gente se preguntará: ¿Está usando una ambulancia, o está causando accidentes por usar una ambulancia?
De cualquier manera, la lección para Prevx fue algo completamente diferente, continuó Pescatore. El blogueo de empresa implica mucho riesgo, señaló. Muchos pequeños proveedores piensan que bloguear es una manera de conseguir audiencia de manera más barata que con relaciones públicas, pero nosotros advertimos a los clientes sobre eso. La empresa de relaciones públicas revisa bien lo que hace, pero los blogs no.
Las compañías tienen que tratar a las entradas de los blogs de la misma manera en que lo hacen con sus relaciones públicas, o de lo contrario, tener algún otro proceso para monitorearlos, señaló Pescatore.
Así como hay una política de entendimiento general, relativa a la responsabilidad de revelar vulnerabilidades -alertando al proveedor afectado antes de publicar información reveladora sobre el bug- tiene que haber algo similar para las entradas de los blogs, por la seguridad de las compañías, argumentó Pescatore.
Prevx parece no haber seguido el consejo; Morris admitió ante Kirk el lunes que Prevx no había contactado a Microsoft antes de postear su blog inicial el pasado viernes. Solo después de los reportes difundidos en la red sobre los reclamos de Prevx -incluyendo alegaciones de que un par de actualizaciones de Microsoft fueron las culpables de las pantallas negras- entonces recién Prevx contactó a la compañía.
El consejo final de Pescatore fue similar a aquel ofrecido a la gente para que controlen un correo electrónico que lleva fuego: ¿contaste hasta diez antes de presionar el botón?, indicó Pescatore.
Prevx se negó a comentar sobre el tema de la pantalla negra, y habló con ComputerWorld sobre la entrada del blog del miércoles de Morris, sobre la cual un vocero de la compañía dijo que ayudaría a aclarar la nueva posición de Prevx.
Gregg Keizer, Computerworld (US)