jueves, junio 28, 2007

Medio Año

Jeff Jones es uno de de los malignos de seguridad como yo, es decir, de los hooligans que les gusta hostigar la web con posts incendiarios y comentarios al más puro estilo de Spectra. Ya la montó hace 3 meses con el informe sobre los fallos de los sistemas operativos en sus 90 primeros días de vida.

Ahora, 6 meses después del lanzamiento de Vista, ha sacado un informe con los datos de las vulnerabilidades de los sistemas operativos en el primer medio año de vida. Como en el informe de los 90 días le acusaron de haber comparado Vista con las distros completas de Linux, esta vez ha hecho una comparación “Apple-to-Apple”, para lo cual ha usado las versiones reducidas de las distros y ha quitado editores, herramientas gráficas, ofimáticas, etc.., para que le salieran unas cuentas a gusto de todos.

En dicho informe se muestran los siguientes resultados:

1.- Comparando todas las vulnerabilidades corregidas y no corregidas hechas públicas.


2.- Ahora comparamos solo las de nivel High Severity.


3.- Ahora comparamos las vulnerabilidades en los sistemas usando el método Apple-to-Apple, es decir, quitando de la distro todo aquello que no sea comparable con la instalación de Vista. Básicamente la idea es quitar todo componente opcional y toda la utilería ofimática.


4.- Por último, el mismo sistema, pero ahora solo con las vulnerabilidades High Severtiy.


Como seguro que a muchos no les gustaran estos datos y los tildarán de hooligans, podéis bajaros el pdf con el informe en su blog.

¿Véis como yo no soy tan maloso?

26 comentarios:

Bastardo10 dijo...

Saludos maligno! ¿No le habrás mandado una copia del post de hoy a tus amigos de la ciudad de los Krispis? (Peligroso Nido de Aguila de talibanes Linuexeros)
Seguro que son capaces de reinterpretar los datos a su antojo, para demostrar que es un error de las graficas realizadas con office y que con open office y kde eso no habría pasado y que los resultados reales, muestran una seguridad de Linux del 130%. Sobre cualquier cosa conocida o por conocer.

admin dijo...

No estoy del todo de acuerdo con lo q comentas, si soy linuxero ;)
Es normal q aparezcan mas errores en linux , no es lo mismo poder auditar el codigo fuente, q no poder. De igual manera no es lo mismo un sistema operativo q se han currado un monton de aficionados, q otro q su unico trabajo es ese mismo sistema.
De cualquier manera me quedo con linux, su filosofia es mucho mejor, si ahora resulta q su seguridad no lo es ... nos meteres en freebsd q no sale en la comparativa ;)

Manuel dijo...

¡Hola Chema!

Quiero pensar que no estás intentando demostrar con este informe que Linux es más vulnerable que Windows, porque ni siquiera Jeff Jones se atreve a ello.
Ya sabes que hay muchas comparativas acerca de qué sistema es más seguro, y ninguna de ellas es definitiva. Esta tampoco, por varias razones.
La primera porque el full disclosure de vulnerabilidades es mucho más probable cuando el sistema es de fuente abierta. Esto es un hecho evidente, puesto que tienes acceso al mismo (y es mucho más sencillo detectar y explotar bugs teniendo el código que sin tenerlo). Asimismo, resulta imposible afirmar que si el código de Windows Vista fuese público tendría más o menos errores que el de GNU/Linux, así que el número de vulnerabilidades debe ser una métrica que tenga en cuenta este hecho.
Segundo, porque el autor está comparando objetos totalmente distintos, por mucho que "elimine elementos de la distribución de Linux que no tienen equivalente en Windows". Basta comprobar cómo ha decidido qué paquetes eliminará de la comparativa para darse cuenta de que este proceso debería ser más metódico y exhaustivo si el estudio quiere ser más serio. De hecho, la eliminación de paquetes de Ubuntu es casi nula, y lo explica diciendo: I manually excluded gimp and OpenOffice from the package list. I didn’t exclude anything else because I felt that most users would not go to the effort to manually remove packages from the default desktop installation.
Tercero, y más importante, la única medida que se ha tenido en cuenta es el número de vulnerabilidades junto a su "gravedad estimada". Sabes tan bien como yo que existen muchísimas vulnerabilidades que son sólo explotables localmente y, como tales, en un sistema de escritorio, en el que sus usuarios confían entre sí, este tipo de vulnerabilidades supone un riesgo cero. Habría que comprobar cuántas de las vulnerabilidades son explotables remotamente, y qué grado de dificultad implica explotarlas, para de veras determinar el riesgo que entraña cada una.
En definitiva, un estudio interesante, pero por supuesto del que no puede extraerse más conclusión que el número de vulnerabilidades que afectó a cada sistema (o a lo que el autor consideró como cada sistema).
Tú ya sabes que la seguridad no es un problema de software, sino del usuario, así que tanto sentido tenían los que ayer decían "Windows es más inseguro" como afirmar hoy que "Linux es más inseguro" basándose únicamente en este estudio.
Bueno, te felicito por el blog porque realmente se tratan temas interesantes y me tiene enganchado (aunque, como te comenté ayer como anónimo, barras mucho para casa). Un saludo.

Anónimo dijo...

Un ejemplo:
- Cualquier distro de Linux
Fallos detectados: 1000
Fallos reconocidos "oficialmente: los 1000
Fallos solucionados: los que sean

- Cualquier Windows
Fallos detectados: 100000
Fallos reconocidos por microsoft: 10
Fallos solucionados: los que sean, pero muchos menos de los que gustaría.

Total, otro análisis estúpido más.

bastardo10 dijo...

Phss! Phss! Os habéis equivocado de blog, Kriptopolis es la url de al lado.

Lo siento no he podido resistirme.
:)
que nadie se ofenda!

Manuel dijo...

...son capaces de reinterpretar los datos a su antojo, para demostrar que es un error de las graficas realizadas con office y que con open office y kde eso no habría pasado y que los resultados reales, muestran una seguridad de Linux del 130%...
Os habéis equivocado de blog, Kriptopolis es la url de al lado.
bastardo10, por esa regla de tres unos argumentos tan poderosos y contrastados como los tuyos deberían publicarse en otros sitios, ¿no?
:P

FilEMASTER dijo...

Anónimo me interesa muchisimo saber de que fuente has obtenido eso de los 100000 fallos de windows, porque me interesa conocerlo, tiene que ser un crack de la ingeniería inversa.

Por otro lado con respecto a lo que dice Manuel, seguramente coincidirás conmigo en que el hecho de que en linux sea mas facil descubrir un fallo no hace la comparativa menos válida, si no que deja a linux en peor situación, porque los fallos se pueden descubrir mucho mas facil que en un sistema propietario. Arreglarlos tb es mucho mas facil, pero no siempre mas rápido...

Y seguimos teniendo el mismo problema que en codigo cerrado, que alguien descubra un fallo en código abierto no significa que lo vaya a reportar y por lo tanto estará igual de vulnerable que un fallo descubierto en codigo cerrado, puesto que en ambos casos los debuggers oficiales tienen el código y tarde o temprano lo encontrarán.

Para mi el estudio es perfectamente valido, teniendo siempre en cuenta que es Spectra-side y todo eso y que seguramente sera un poco parcial...

Admin, puedes estar de acuerdo o no, pero por muy normal que sea que aparezcan mas fallos eso no hace el sistema mas seguro, el problema de la inseguridad radica en el tiempo de exposicion del fallo explotable, no en si es mas o menos facil de descubrir...

Además eso de que linux es un sistema operativo que se han currado cuatro aficionados no te lo crees ni tu, a ver si ahora RedHat, Novell y Sun por ejemplo son conjuntos de aficionados...

Lo dicho, es un estudio como otro cualquiera, a lo mejor a la gente de linux no le venia mal tomar nota, por si acaso es cierto...

Manuel dijo...

...el hecho de que en linux sea mas facil descubrir un fallo no hace la comparativa menos válida...
No la hace, si lo que se compara es el número de vulnerabilidades por sistema. Sí la hace si lo que se compara es "la seguridad" del sistema. A mi primer comentario me remito.
...seguramente coincidirás conmigo en que el hecho de que en linux sea mas facil descubrir un fallo no hace la comparativa menos válida, si no que deja a linux en peor situación, porque los fallos se pueden descubrir mucho mas facil que en un sistema propietario.
Estás defendiendo la teoría del "security through obscurity", que la gran mayoría de expertos en seguridad no respaldan. Lo que tú consideras una debilidad, para otros es una fortaleza. No lo considero un argumento válido, como tampoco pretendo evangelizar a nadie de que hay que hacer público el código fuente.
Y seguimos teniendo el mismo problema que en codigo cerrado, que alguien descubra un fallo en código abierto no significa que lo vaya a reportar y por lo tanto estará igual de vulnerable que un fallo descubierto en codigo cerrado...
Te olvidas de que es más probable que haya más de una persona que descubra el error. No todo el mundo es una mente perversa, como demuestran los históricos de vulnerabilidades existentes, échales un vistazo al CVE o a BugTraq y lo verás. En cualquier caso, la probabilidad de que sólo una persona lo haya descubierto es menor en el caso del software de fuentes abiertas.
puesto que en ambos casos los debuggers oficiales tienen el código y tarde o temprano lo encontrarán.
Esa es una afirmación muy arriesgada. De nuevo me remito a los históricos de vulnerabilidades existentes: gran parte de ellas se descubren por personas que no forman parte del desarrollo de software. Los debuggers están muchas veces más interesados en comprobar que "funciona en situaciones normales" que en estudiar el comportamiento "en situaciones no usuales", que precisamente son las que disparan los fallos de seguridad.
Para mi el estudio es perfectamente valido, teniendo siempre en cuenta que es Spectra-side y todo eso y que seguramente sera un poco parcial...
Para mí también lo es, pero creo que la interpretación del mismo debe tener en cuenta lo que comenté en mi primer post.
Y sobre la teoría conspiranoica de que el número de vulnerabilidades "oficiales" no coincide con el número real... no creo que deba entrarse ahí, admin, porque casos como esos también existen en el mundo open-source (véase qmail, por ejemplo). Yo me limito a dar por válidos las cifras del estudio, analizando el escenario sobre el que se realizó y las conclusiones que de él pueden extraerse. Ni más ni menos.

Maligno dijo...

Hola a todos!

Creo que debo aclarar algunas cosas desde mi punto de vista.

1.- La seguridad no depende del número de vulnerabilidades.

2.- Las vulnerabilidades high severity permiten la ejecución de código arbitrario en remoto, luego ya están quitadas todas las locales(está la clasificación en el documento).

3.- Todo el mundo habla de que no es comparable un Vista con una distro de linux y ni quitando los paquetes comunes o dejando una instalación como la tiene la mayoría de los usuarios parecen gustar estas comparativas. En el informe se dejan las distros reducidas y a mi no me parece mal como las dejan. ¿Alguien propone una lista de paquetes para comparar?

4.- Linux no lo hacen aficionados son profesionales y para ello existen medidas de madurez de los proyectos de software libre.

5.- Las vulnerabilidades son las que se descubren. Tal vez existan más (se encuentran a día de hoy vulnerabilidades en software abandonado) pero son las que son. Lógicamente Spectra tiene que tener menos porque usa las herramientas de Análisis Estático de Código desde el nacimiento de la TCI y en el software libre/open Source sólo desde el proyecto Bug Hunting (proyecto de Coverity).

6.- FreeBSD, todo el mundo habla de lo bueno que es en seguridad, pero tiene carencias en funcionalidades y lo usa muy poca gente.

7.- Flame!

Saludos!

Cisko dijo...

Saludos!

jajjaa, creo que a Chema lo deberían de poner como iniciador de campantes batallas entre el lado del mal y el "bien" (entre comillas, claro esta).

Por mi parte, también soy linuxero, aunque procuro mantenerme imparcial ante las cosas.

Filemaster tiene razon cuando menciona "Spectra-side y todo eso y que seguramente sera un poco parcial..."

Por mi parte, esperando que el estudio haya sido lo mas imparcial posible, coincido con Chema que la seguridad no depende de las vulnerabilidades, considero que mientras mas se pruebe un sistema y mas se le saquen sus errores, se logra una mejor mejoria, diferente fuera el caso que no si hiciera nada ante las vulnerabilidades que se encuentran e inclusive es necesario incluir el tiempo de respuesta, es decir el tiempo en que la vulnerabilidad es corregida.

A fin de cuentas... que tan inseguro pueda ser un sistema que ya se corrigieron sus vulnerabilidades?

Si nos vamos al pasado, el mismo escenario se dio con Windows tiempo atras, vulnerabilidades por todos lados, sin embargo, desde hace un tiempo para aca, la seguridad se tomo mas en serio y el caso ha ido mejorando, siempre hay errores, claro que los hay, como en todos lados, sin embargo a la fecha, son mucho menores los que se encuentran que antes, o al menos, de los que nos enteramos.

Con linux, tendriamos que tener la misma consideración, la cantidad de usuarios esta creciendo (mucho mas rapido por el lado de administradores que por usuarios normales), por lo tanto tambien estan creciendo sus "debuggers" y en este punto tambien me parece intersante recalcar lo que mencionas:

"las herramientas de Análisis Estático de Código desde el nacimiento de la TCI y en el software libre/open Source sólo desde el proyecto Bug Hunting (proyecto de Coverity)"

Esto lo que nos dice es que muchas cosas han cambiado en Microsoft, lo dicho, se estan tomando las cosas mas en serio, también existen algunas bases de políticas de seguridad en la programación (lenguaje que sea) que siempre deben de tomarse muy en cuenta. Por el lado del Software Libre, no por ser Soft Libre algo tiene que tomarse como una programación "mediocre", vamos, hay excelentes programadores, esperemos que las cosas sigan mejorando, como decía mi jefa, cuando no hay nada mas que hacerle o mejorar en un programa, una de dos: O el programa ya esta demasiado obsoleto y no sirve o cambiamos programador.

Por mi parte, siempre me paso por aca leyendo, muy pocas veces comento (joder, mira que con tanto flame y ven a un linuxero por aca, digo, no vayan a tratar de quemarme en el lado del mal), jaj ja en serio, muy buen blog.

Saludos!

SLaYeR dijo...

Como dice maligno:

"La seguridad no depende del numero de vulnerabilidades"

La seguridad depende del numero de vulnerabilidades detectadas y no solucionadas.

Puede que en Linux se detecten mas fallos, pero tambien se corrigen mas.
Seguro que si hubiera tanta gente testeando Windows como la hay en Linux ambos sistemas estarian pata a pata...

txipi dijo...

Muchas gracias por las gráficas y por el desglose, muy currado.

Deberes para mañana: hacer unas gráficas parecidas en números de ataques a los diferentes sistemas expuestos.

Ahhh, haber elegido "muete"... no, en serio, la capa 8 de red en Windows suele ser mucho peor que en Linux, aunque eso no sea culpa directamente de Microsoft (quizá se podría decir que sí lo es por poner las cosas más fáciles, de hecho los de MacOs saben menos cosas técnicas que los de Windows).

El número de vulnerabilidades descubiertas va totalmente en relación con lo fácil que sea leer el código. Lo que sí que no tiene perdón de dios es que vulnerabilidades críticas se mantengan tanto tiempo sin ser resueltas. Caponazo para RHES :-/

Maligno dijo...

Hola Slayer!

Creo que a Windows lo prueban más que a Linux.

La seguridad no depende sólo de las vulnerabilidades, sino de la gestión que hagas de ellas.

¿Por qué crees que se corrigen menos en Spectra?

Saludos!

Maligno dijo...

Hola txipi,

prefiero muete a hacer las gráficas de sistemas operativos más atacados, ya te sabes la respueta perro!!

Por cierto, te he llamado dos veces a tu despacho y ni flowers, ¿curras menos que yo?

Maligno dijo...

@cisko,

tranqui, que no te pegamos por linuxero. Ahí cada uno por aquí... :P

Uberbandit dijo...

Venga gente, por qué la competición? Estas discusiones me recuerdan a las discusiones sobre fútbol, mi coche tiene más caballos, me caballos tiene más pelos, etcétera.

Que Windows Vista es más seguro, pues coño para algo que cuesta EUR400 es lo mínimo, debería hacerme el desayuno tambien. Pues vale, Windows es más seguro que Linux, pero cada vez que tengo que configurar un PC Windows a algún amigo, familiar o negocio, me da algo de susto conectarle el Rj45. Con mi portátil a donde vaya me siento como en una burbuja impenetrable.

No es por defender a uno u a otro, es defender el sentido común y no meterle mierda en la cabeza a la gente, que es para lo único que sirve el parapeto de estudio ese.

*linuxfanboy on*
El código fuente del kernel de Linux lleva 16 años abierto para que todo kiski lo vea, Vista lleva 6 meses en el mercado y nadie puede indagar en sus entrañas hasta que algo chungo explota.
*linuxfanboy off*

@filemaster: el problema de la seguridad radica en el meatware. Por muy ultraseguro que sea tu sistema, si algún usuario abre el IloveYou.exe o el sudo IloveYou.bin te vas a cagar las patas abajo.

txipi dijo...

@Maligno: estaba en un congreso en San Sebastián (ayer y hoy), así que difícil que me pillaras. Hasta el lunes no vuelvo a la uni, porque curro este fin de semana en La Coruña (Caixanova, donde conocí a tu hermano, por cierto :-D).

Anónimo dijo...

Hola. Hace unas semanas que sigo tu blog, y la verdad es que está muy majo. Quería enviarte una noticia de un data disclosure de Windows Vista que descubri, mandame nu mail a manuuu^a^darkprotocols^punto^net si estas interesado en publicarlo.

Éxitos

Manu

tuexperto.com dijo...

Hay un "pequeño" detalle al final del post original

Full Disclosure: I work for Microsoft

Esto le resta credibilidad a su informe ¿no crees?

Anónimo dijo...

Al final, la discusión es lo de siempre que si Linux la tiene más larga (la barra de vulnerabilidades), que si Windows la tiene más gorda... (el trozo de los fix). No pensamos en otra cosa :-)
Yo si me tengo que mojar, me mojo,y lo confieso, soy de MS, porque sólo sé apuntar y disparar.
Salu2 riojanos

FilEMASTER dijo...

como mola que esto se vaya poblando de riojanitos :P

@uberbandit: y que le haces... eso es lo que tiene y siempre estará ahi, lo mas que podemos hacer es configurar bien todas laz zonas de seguridad del sistema y cruzar los dedos, si el tio se trae los virus de casa pues apaga y vamonos...

Maligno dijo...

Hola tuexperto!

Si las cuenta una persona u otra, hay más o menos manzanas? Puede ser que no te guste como se interpreten los datos, pero para ello tienes todas las fuentes. Para que los cuentes tú.

Right to the source, not to the horse.

saludos!

Anónimo dijo...

"Jeff Jones is a Security Strategy Director in Microsoft’s Trustworthy Computing group."
Éso lo deja todo MUY claro.

Dejando de lado su "neutralidad", analicemos solamente dos aspectos:

1) Ha quitado el openoffice y el gimp de las aplicaciones!! Fenómeno, el tío!! De los chorrocientos programas y utilidades y servidores que te vienen en linux, te ha quitado ésas dos! Clap clap clap. La próxima vez que ponga los fallos aplicación por aplicación -en lugar de resumir tanto- y se destapará él solito.

2) Cómo es que linux ha tenido un porrón de fallos de seguridad y en número absoluto han corregido muchos, y sin embargo el Vista, teniendo muchos menos (claro -punto 1- sin todos los programas y servidores que incluye linux) no han hecho el esfuerzo de corregirlos?

Vamos... ése "estudio" solamente demuestra lo fácilmente 'desviables' que son los estudios hacia un lado u otro.

Maligno dijo...

Hola anónimo,

1.- Creo que en las versiones desktop de las distro que evalúa no vienen los servidores en las instalaciones que él ha probado, compañero.

2.- Vista sí ha hecho el esfuerzo por corregirlos. Informáte.

Y por último, como tienes los datos y las fuentes puedes ir a contarlos tú. Hazlo, y a ver que te sale. Estaré encantado de hacer un post sobre él.

Andres dijo...

Chema, felicidades. Me gusta tu blog, y de cuando en cuando me acerco a verte por alguno de los eventos de Spectra. Igual te veo por málaga a finales de mes.

A lo que iba... no sé por qué tenemos que partirnos la cara para demostrar que el maligno es el maligno, el pingüino flota o los de Berkeley gratis son mejores.

Sin entrar en los análisis de vulnerabilidades, que, personalmente, no discuto. Entiendo que son razonables.

¿Es que no habéis oído hablar de interoperabilidad? Cada vez que oigo decir "es que soy xxxx.ero" (pon en las xxxx lo que quieras) una vocecilla en mi interior me dice, "un fanático".

No creo que ni Spectra sea el mal absoluto ni que los del demonio rojo, pingüino, etc sean ángeles en la tierra.

En el fondo, si eres capaz de manejar seis o siete sistemas operativos (no versiones; Linux es una; los BSDs otra, Oasis, Windows (todos los sabores), VMS, MPE/IX, Unix... qué más da el fabricante e incluso si es mejor o peor.

Cada uno hace su función, y la tuya, como tecnico, es hacer que puedan compartir espacio.

Errores sólo cometen aquellos que hacen las cosas.

Maligno dijo...

@Andrés, bien dicho cojones!

Gracias por venir a vernos, nos vemos en Málaga si puedes pasarte.

Saludos!

Entradas populares