Steve Lipner dió director de ingeniería de seguridad en el grupo Trustworthy Computing en Microsoft dio una platica con los muchachos de Computerworld y esto fue lo que le preguntaron.Microsoft a invertido mucho en seguridad, pero el numero de fallas encontradas en sus productos va en aumento. ¿Por que?
En nuestro mundo actual las vulnerabilidades de seguridad de verdad valen dinero para las personas que las encuentra, así que eso intensifica la búsqueda por estas en el mundo exterior.
En nuestro SDL (eSecurity Development Lifecycl)no solo se centra en reducir el numero de amenazas para los sistemas sino también es la gravedad de estos mismo haciendo cosas como direccionamiento de memoria variable y memoria no ejecutable. Estamos haciendo más difícil la explotación de vulnerabilidades especialmente en los nuevos productos.
Pero no hemos tomado la decisión aun para reducir la gravedad en la vulnerabilidad en nuestro nuevos productos, incluso si es muy difícil de explorarlo.[+Info] Resto de la entrevista.
Y por que no han tomado la decisión
La verdad somos muy cautelosos sobre la valoración de gravedad. la verdad soy un poco culpable sobre la creación de la tabla de gravedad [?] que hemos usado por los últimos 10 años en microsoft. No hemos hecho ninguna actualización ala tabla que pudiera reflejar la dificultad de la explotación porque queremos estar seguros que nadie en alguna parte o de alguna forma pudiera hacer un exploit sencillo y probarnos lo contrario.
Algunos a sugerido que han llegado a un pico inherente para depurar el software que el SDL procesa
3 años antes solía pensar que se podría llegar a la perfección. Ahora pienso que puedes llegar a esa perfección. Pero aun tenemos muchas cosas por hacer removiendo vulnerabilidades. El reto para los científicos es hacer aplicaciones robustas con una baja taza de falsos positivos. Tal ves existan algunos limites teóricos pero no estamos cerca de ellos.
Cual ha sido el mayor beneficio de SDL para Microsoft
Creo que el mayor beneficio ha sido en nuestros productos la reducción del vulnerabilidades explotables. La verdad es la combinación de código más seguro y hacer las vulnerabilidades remanentes más difíciles de explotar
Entonces, el mensaje es no juzgar a el SDL por el numero de fallas que son descubiertas?
No hay que evaluar a el SDL sólo por el número bruto de los boletines que se emiten mes a mes. Desde nuestra perspectiva, estamos muy seguros de que hemos hecho muchos progresos en los últimos siete y más años desde que comenzamos la seguridad de Windows.
Source: Computerworld
