El equipo de Microsoft se apresura a detectar el error
Las actualizaciones de los martes de parches de Microsoft suelen incluir soluciones para los fallos graves, incluidos los que los atacantes de todo el mundo están utilizando ahora.
La empresa ya cuenta con los equipos necesarios para encontrar fallos en su código (el «equipo rojo») y crear defensas contra ellos (el «equipo azul»). Sin embargo, esa estructura ha vuelto a cambiar recientemente para permitir un trabajo más interdisciplinario y colaborativo que permita identificar aún más errores y debilidades antes de que las cosas se salgan de control. Microsoft Offensive Research & Security Engineering, o Morse, es el departamento que combina el equipo rojo, el equipo azul y el supuesto equipo verde. El equipo verde se encarga de encontrar los fallos o tomar los puntos débiles que el equipo rojo identifica y los aborda de forma más sistemática realizando ajustes en la forma de llevar a cabo las cosas en la organización.
Un marco de pruebas de Azure de código abierto llamado OneFuzz permite a los ingenieros de Microsoft bombardear de forma continua y automática su código con diversos casos de uso extraños para encontrar fallos que podrían pasar desapercibidos si el programa se utilizara únicamente como está previsto.
Además, el equipo combinado ha liderado la carga de instar al uso de lenguajes de programación más seguros (como Rust) en toda la organización. Además, han defendido la inclusión de herramientas de análisis de seguridad dentro del propio compilador de software utilizado en el proceso de producción de la empresa.
La seguridad proactiva ha supuesto un avance importante. Dado que los programadores escribieron gran parte del código de Windows antes de estas comprobaciones de seguridad, un ejemplo reciente del trabajo de los miembros de Morse fue la revisión del software histórico. Morse descubrió un punto débil que habría dado a los atacantes acceso a los dispositivos de los objetivos al examinar cómo Microsoft desarrolló Transport Layer Security 1.3, el estándar criptográfico fundamental utilizado en redes como Internet para la comunicación segura.
