Claro que sí: Feliz año nuevo. Lo primero es lo primero, y felicitaros el cambio de año lo es a día de hoy.

Alguno ya estará pensando el porqué del título. ¿No?. Pues da igual, porque lo voy a explicar, sino… ¿para que me he sentado a escribir esto?.

Hace muchos años, en una galaxia muy lejana….. ah no!, que eso es de otra historia. Bueno, es igual. Hace mucho tiempo me leí la novela 2001 Una odisea del espacio e inmediatamente vi la película correspondiente. La verdad es que tuve que leer la novela varias veces y la película también. No sólo porque me gustaran, sino porque siempre se me “escapaban” cosas. Luego vi (y leí. Esta vez en orden inverso) la secuela: 2010 Odisea 2.

Diré, aunque es irrelevante para el tema, que también leí 2061 Odisea 3 y 3001 Odisea Final.

Eran los años 80, y se me hacía hasta creible que en 2010 llegásemos a poseer esas naves espaciales, aunque no llegáramos todavía a tener una colonia en la Luna ni fuéramos capaces de llegar a Júpiter. Sin embargo, como buen amante de la ciencia ficción, me quedaba la esperanza de que así fuera. Al fin y al cabo, quedaba mucho tiempo.

Ahora empezamos el año 2009, casi ya en el año de la odisea 2, y ¿qué tenemos?. ¿Una flotilla de transbordadores que hacen servicio de transporte de mercancías y de laboratorios científicos en órbita terrestre, y que está previsto retirarlos en, precisamente, 2010?.  ¿Una estación espacial que no se parece mucho a la que vimos en esas películas?.

Sinceramente: a mí me parece que no hemos cumplido las expectativas.

Y sin embargo, el título reza “casi Odisea 2″. Pues sí amigos, porque a pesar de estar por detrás de lo previsto (tecnológicamente hablando), vamos a ser protagonistas de una odisea mundial: La de tener que lidiar con la economía, con la crisis financiera, con el paro, con los sueldos, con el hambre, con las guerras, etc, etc….

¿Y el casi?: pues eso, porque falta un año para el 2010.

Y si el año que viene (2010) llegamos a Júpiter, me ofrezco a una rectificación pública sobre el fracaso, en mi opinión, del hombre y su tecnología aplicada al espacio. Vamos, que me pagáis un billete en la Discovery y me voy a Europa a escribir desde allí el post correspondiente pidiendo disculpas.

Hace algunos días apareció en algunos medios especializados el aviso de una nueva vulnerabilidad en el sistema operativo Windows. Esta vulnerabilidad se considera crítica por Microsoft, y afecta desde la versión 2000 hasta el denostado Vista, pasando por los XP (en Vista la consideraban importante y no crítica. Hace nada he leido que no le afecta, como tampoco a la versión 2008 de Server. ¿Nos fiamos?).

Este nuevo fallo de seguridad ha hecho, entre otras cosas, actualizar el parche o boletín de seguridad que la empresa de Redmond saca periódicamente para subsanar los bugs que van apareciendo entre publicaciones. Vamos, que la consideran lo suficientemente crítica para saltarse la política de parches. Boletín de seguridad Out of Band le llaman. Ojo al dato porque el original se publicó el 14 de Octubre y se actualizó el pasado 23 de Octubre. Rapidito.

En el Microsoft Security Response Center (MSRC) apareció el día 22:

We plan to release one Windows security bulletin with a maximum severity of Critical; scheduled for a target time of 10:00 a.m. PT on Thursday Oct. 23, 2008. A restart will be required.

Maximum security of Critical. ¿Queda claro?.

Hay quien dice que estamos ante otro agujero de seguridad como el que derivó en los famosos virus/troyanos Blaster/Sasser. ¿Os acordais de ellos?. Esto es lo que dice la Wikipedia sobre ellos:

En el sistema Windows puede darse el caso de que el ordenador pueda infectarse sin ningún tipo de intervención del usuario (versiones Windows 2000, XP y Server 2003) por virus como Blaster, Sasser y sus variantes, por el simple hecho de estar, la máquina conectada a una red o a Internet.

Bien, lo primero es decir que la actualización es la MS08-067 y que, evidentemente, hay que aplicarla inmediatamente, sobre todo porque ya hay algún exploit que aprovecha dicha vulnerabilidad. Para el que tenga curiosidad: ésto y ésto otro permiten comprobar el asunto.

El servicio implicado es el de Servidor, que corre en los sistemas Windows aunque estos no realicen ese papel (¿por qué está iniciado por defecto en una máquina doméstica?). Textualmente, Microsoft informa que:

The vulnerability could allow remote code execution if an affected system received a specially crafted RPC request. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit.

En palabras llanas, este bug permite la ejecución remota de código, con todo lo que ello trae consigo, ya sabeis….Además, sin autentificación. ¡Toma ya!. ¿Os suena lo del RPC?. Sí. Exacto. Por ahí vinieron los “amigos” Blaster y Sasser.

Si se cumplen las previsiones más pesimistas, tan sólo por estar conectado a Internet, y sin ninguna acción por parte del usuario, éste se verá infectado rápidamente. Y no lo digo yo. Lo dice gente que trabaja en esto. El Director Técnico de Panda Labs ha dicho:

“Estos códigos maliciosos que aprovechan vulnerabilidades del sistema podrían distribuirse a través de Internet, incluso desde páginas legales, de tal modo que el usuario no percibiría que ha sido infectado”

Además de tener vuestro antivirus actualizado y de tener un firewall en marcha (si no teneis ninguno, aseguraos que el de Windows está en marcha al menos. Menos da una piedra), también podeis pasaros por el Windows Live Oncare y hacer la prueba de seguridad gratuita que allí se encuentra. Eso sí: si no estás utilizando Internet Explorer es casi seguro que te van a decir que “nanai“. Cosas de Microsoft. ¿A alguien le extraña?. Seguro que no.

Yo, desde mi puesto de trabajo en Linux (en mi casa desde mi Mac OSX, que uno es geek en la medida de sus posibilidades), veo con tranquilidad estas cosas y me da pena. Pena por los simples usuarios que, en su casa, ahora se preguntarán qué deben hacer, cómo lo van a arreglar, y en muchísimos casos…. a quién van a pringar para que les arregle el problema.

¿Hay alguien que use, por ejemplo, la banca electrónica con su Windows y duerma tranquilo?. Desde luego yo duermo tranquilo hace tiempo. Justo el tiempo que ha trascurrido desde que dejé Windows de forma casi total. Ya sabeis: el trabajo manda y hay Windozes hasta en la sopa.

Un abrazo y buena suerte.