Hoy voy a contarles una historieta que me ha ocurrido con un dispositivo Thunderbolt, empleado en la mayoría de equipos de sobremesa o portatiles de la compañia Apple y cuyo diseño fue llevado a cabo por la compañía Intel. Este puerto fue presentado por Apple hace cosa de un año como alternativa al HDMI, USB y FireWire ya que emplea tecnología óptica que permite grandes tasas de transferencias de datos de entorno a 10Gbps empleando el puerto como multiuso: video de alta definición y transferencia de gran volumen de datos.
Como buen talibán, esto… aficionado de Apple que soy, adquirí el Mac Book Air nuevo (ahora ya viejo) con el nuevo puerto ThunderBolt, aunque no tuviera ningún dispositivo para este puerto todavía, el portátil y la propaganda lo valían. Para quien no conozca el portátil indicarle que no dispone de interfaz de red (RJ45) donde conectar un cable de red, pero Apple para subsanar este posible requisito vendía un adaptador USB para poder conectar el portátil a un cable de red, todo ello al módico precio de 29 euros. El problema de este dispositivo es que no permitía tasas de transferencia reales superiores a los 3mb/s, algo bastante lento si tenemos NAS en red y necesitamos copiar los videos de “nuestras vacaciones en alta definición” de 20GB por video (you known what I mean).
Por ello, Apple sacó recientemente un adaptador Thunderbolt a RJ45 donde se aseguraban unas transferencias de red de entorno a 60 MB/s, una gran mejora respecto al dispositivo USB. Como buen consumidor que soy, fui a la tienda de Apple Store a adquirir mi nuevo y flamante cacharrito al módico precio de ¿27 euros? ¿Cómo? Qué raro… hacía una semana habia visto que costaba 29 euros y no 27 euros. Pues mejor… supongo.
Fue entonces cuando llegó la sorpresa, llego a mi casa, conecto el dispositivo y… ¡no pasa nada! No me detecta nada, no hay nada; reviso las actualizaciones pendientes pero no hay actualizaciones pendientes. Es entonces cuando, después de santiguarme, busco en Google el motivo por el cual el dispositivo no funcionara, que claramente indica que necesito la versión software 1.2 del Thunderbolt desarrollaba exclusivamente para dar soporte al adaptador RJ45. El problema es que la actualización había desaparecido de la faz de la tierra. No se podia descargar de Apple Store y la página no estaba disponible.
Sigo buscando información y leo que la actualización estaba causando problemas a un gran número de usuarios, a los que les dañaba el arranque de Mac Os X. Esta es la razón de que Apple actuase de la mejor forma posible: eliminó la actualización, bajó 2 euros el precio del producto y dejó a los usuarios que habiamos comprado el dispositivo sin posibilidad de poder usarlo. Una semana después mi portátil me indica que hay una nueva actualización: “Actualización Thunderbolt 1.2”, que pasa de ocupar los 170K byte de su predecesora a 220Kbytes (aproximadamente, no recuerdo los valores de memoria). La gracia de todo esto es que Apple seguía llamandola igual que la que dañaba el arranque de algunos Mac OsX, es decir, ambas eran la 1.2 sin ninguna diferenciación entre ambas.
Resumiendo. Sacas un producto con un firmware que daña el arranque de algunos Mac OsX, de modo que en cierto modo tus clientes pasan a ser beta testers de tus productos, eliminas la actualización de tu producto sin notificarlo pero sigues vendiendo el producto en tu web aunque no pueda ser utilizado y para acabar de arreglarlo sacas el parche unas semanas después sin indicar nada en las release notes, como si aquí no hubiera pasado nada (si esto lo hace otro fabricante hubieramos visto la repercusión, pero en este caso era Apple: “Think different” con tu procesador Intel x86).
Como cualquier historia, esta también tiene moraleja. Vamos con ella.
Aunque en mi caso este problema no ha supuesto más que una pequeña molestia temporal que no era otra que no poder utilizar el adaptador comprado y seguir funcionando a la velocidad del caracol, cabe imaginar qué puede haber supuesto para una empresa cuya plataforma principal sea Apple, una actualización en masa del controlador de este dispositivo, dado que al parecer la solución planteada pasaba en general por la reinstalación del sistema operativo.
Aunque el personal de seguridad solemos hacer mucho énfasis en la necesidad de instalar los parches las actualizaciones que proporcionan los fabricantes, lo cierto es que esta práctica sólo hace frente, en general a una dimensión de la seguridad: la confidencialidad, mientras que puede, como en el ejemplo que comentaba, poner en riesgo otra como es la disponibilidad, probablemente mucho más importante cuando se trata de equipos de usuario final (donde la información está alojada en repositorios comunes y no en el propio equipo) de los cuales depende de manera directa la productividad.
Por tanto, la moraleja de la historia es que sin quitarle la importancia que se merecen a las actualizaciones de los fabricantes, su aplicación “descontrolada” puede dañar seriamente el funcionamiento de una organización. De ahí la necesidad de poner en marcha aplicaciones internas de distribución de actualizaciones (por ejemplo, tipo WSUS para Windows) y por supuesto, cuando nos vamos a entornos corporativos o servicios críticos, los parches deben ser aplicados siempre primero al entorno de preproducción y tras la verificación de funcionamiento, al de producción con su correspondiente gestión de cambios (como es natural deberá ser igual al de producción o de lo contrario estaremos haciendo el tonto).
No hay que olvidar nunca que, para bien o para mal, las combinaciones de hardware y software es tan grande que nuestro entorno puede tener características que el fabricante no haya tenido en cuenta o haya podido reproducir. Así que como siempre, mejor prevenir que curar.
Ahí esta la duda… ¿actualizamos a la mínima o esperamos a que lo prueben otros? Siempre que he realizado una actualización y a los pocos días sale una nueva versión pienso que en ese tiempo he estado desprotegido y he sido el “conejillo de indias”. Pero por otro lado si sale una actualización de seguridad significa que hay algo que mejorar y que es importante actualizar… ¿Con que nos quedamos?