lunes, julio 10, 2006

No serán tan malos

Han ganado el campeonato del mundo, así que no serán tan malos. Sí, vale, a nadie le gusta como jugó Italia, pero nadie le ha ganado un solo partido en todo el mundial. Así que no serán tan malos.

Algo así pasa con la tecnología de MS, es muy mala, pero luego me suelta la misma persona que me dice que es "patetica el diseño del sistema de MS" que quiere que se publique el código fuente y el diseño, para ver como es y que se difunda el conocimiento.

¿Pero... si ya has dicho que es patético es que ya conocías el diseño y el código, no? ¿o es que has dicho que era patético por inercia? ¿por que quieres aprender de algo malo? ¿Hay que aprender de los buenos, no?

Pero da igual, si se quiere aprender sobre el código de windows y el kernel existe un proyecto desde principios de este año que publica hasta el 80 % del código de ntoskrnl.exe http://www.msdnaacr.net/curriculum/pfv.aspx?ID=6191 para profesores y estudiantes. Yo ya lo he visto por muchos sitios. Además hace comparativas sobre diferentes kernels, lleva incluido el libro de Mark Russinovich y David Solomon de Windows Internals, etc...

Yo he visto mucho de ese código y la verdad es que no me entero de un carajo. Tal vez los que lo reclaman sí que lo entiendan. La verdad es que es dificil no saber lo que hace si realmente estás interesado en la materia. Es como cuando oyes a De la Rosa contar como se espían las escuderías entre sí, parece de pinicula. Con el código de windows, bueno, pues como dice mi psicopata particular que me modifica los codigos de los programas al vuelo. "Siempre tienes el código, está en binario y en ensamblador, ¿tu no sabes ensamblador chema?" Es un bastardo y cuando bebe encima es un bastardo gracioso el joputa ;). ¿Y sin saber ensamblador quieres hacer un sistema operativo? no me lo creo!. Tienes que saber ensamblador seguro, lo que pasa es que te gusta que te lo pongan fácil, pq ... no serás un bocas, ¿no?

En fin, no serán tan malos, ¿verdad?

14 comentarios:

Silverhack dijo...

Joder... Cómo me viene esto para contar esto otro que me lleva pasando desde la semana pasada... XDD

La semana pasada nos entró un chaval en prácticas. No ha terminado Informática de Sistemas y al segundo día de prácticas ya me contaba que odibaba Windows... El pobre es que tiene mala suerte. Ha entrado a hacer prácticas en una empresa (la nuestra)que tiene un parque de unos 1000 equipos, unos 950 con Windows...
En fin, que le pregunto: ¿Podrías escribirme una redacción de el por qué de tu odio a Windows?
Me escribió una redacción de unas 4 líneas que no llegaba ni a script, explicándome que IE es una mierda (adora Firefox), que es un coladero de virus y que me puede demostrar cuando quiera que puede introducir un exploit superguapis en un equipo o infectarlo con un virus.
Le digo: Cojonudo tío, le digo el viernes!! Lo probamos mañana! (por hoy)
Antes de irme le preparé una mini-red de dos equipos unidos a un switch para la gran prueba (con algún trukis de los míos)
El Gran día...
Llega con su pedazo de USB 512 MB, y se intenta loguear en el dominio..
Usuario: Oye tío, que el Windows no me deja entrar en mi sesión. Vaya mierda, jaja

Silverhack: Espera, que te puse que te pudieses loguear sólo en tu máquina, te pongo que te puedas loguear a la que quieres juankear..

Usuario: Joder tío, vaya mierda de Windows.. Que no me reconoce mi PenDrive!!

Silverhack: Nooo. Es que no tienes privilegios ni para instalar aplicaciónes, ni para instalar dispositivos. Espera que te elevo los privilegios..

Usuario: Joder tío.. Te juro que este exploit funcionaba perfectamente en mi casa (exploit dcom)..

Silverhack: Perdona tío, pero te he actualizé el Windows..

Usuario: Es igual, pruebo otro..

Usuario: Joder, este tampoco funciona (buffer overflow en el servicio mensajero..)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-043-IT.asp

Silverhack: Ainss.. Perdona tío, que no te expliqué que ese parche también está puesto. Además de que con el Service Pack 2 ya te lo deshabilita.

Usuario: Pues tengo un virus de la muerte aquí que se va a cagar esto..

Silverhack: Espera que voy apagando los servidores por precaución y lo pruebas..

Usuario: No me lo puedo creer.. Aquí hay tongo tío! No ha pasado nada!

Silverhack: Te explico. No es lo mismo ejecutar un virus con permisos de usuario, que con permisos de administrador o de sistema. Tú en Linux lo ejecutas todo desde un perfil de usuario no?
Sabías eso no?

Usuario: Da igual, Windows es una mierda..

Silverhack: La verdad es que sí, has podido comprobar tú mismo como apesta el Windoze.. Has manejado Ubuntu?

Usuario: Si tío, es tope guay..

Silverhack: Pues si no has actualizado mira este ficherito..
/var/log/installer/cdebconf/questions.dat, que te vas a quedar flipado!

Usuario: Y que me dices de IE.. Vaya mierda tio!

Silverhack: La verdad es que no te lo niego.. Pero yo puedo decirle a mis 1000 maquinitas que no se descarguen determinados controles ActiveX, y un poquito + rápido que Firefox es...

Usuario: Oye Silver, llevo aquí una semana y no he visto ninguna máquina con virus.. Tenéis salida internet aquí?

Silverhack: Si que tenemos...

Usuario: Entonces??

Silverhack: Suerte querido amigo, suerte...

FIN... ;-)

Viene para dos meses y pico, a ver que pensamiento tiene cuando termine las prácticas..

Vaya chorizo tío... Aunque el chaval se merece un post en mi blog..

Saludetes maligno!

Maligno dijo...

Tio!!, que bueno!!! me sentiría orgulloso de ese texto si lo hubiera escrito yo!! Qué bueno!! Dile que entre a ponerme verde en mi blog a tu pupilo!.

Gracias por compartir esta aventura akí. jajaja.

Alex Vega dijo...

Mira que a mí me pasó igual! Cuando cogí el primer pc con Windows era una mierda! Luego se fue actualizando... 3.11, 95... y cada vez pensaba que era más mierda!! Claro, todo a nivel de usuario... luego empezé a descubrir el Linux... que bueno que era después de estar dias para instalarlo (la informática no es para ayudarnos y no para complicarnos??). Es este punto decidí dejarlo y continuar con Windows y su nueva "mierda" Xp... Era una mierda que con las actualizaciones cada vez era más estable, más facil, cuando alguien tenía un problema era menos complicado (a veces, claro...), y entonces me dije... Voy a volver a Linux porque la gente dice que es la polla!! Pues ala, que si drivers que te tienes que hacer tu de esto y de lo otro, que si ahora tienes que volver a instalar, que si el soporte te lo da una empresa que por un módico precio te ayuda... Que si esto y que si lo otro????!! Y mejor no hablar de servidores... que facil que es con Linux, y que mierda que es en Ms. En Ms tienes cursos, formaciones, conocimientos por el propio fabricante, y si le pones un poco de sentido común tienes un sistema de puta madre!! Es que los señores de Ms no tienen perdon!! Y encima no publican el código fuente de mierda que tienen!!! Que cabrones!! Que razón que teneis!!

Saludos!!

Ramón Sola [MVP Windows - Shell/User] dijo...

Silverhack, la anécdota es para enmarcarla. XDDDDDDDDDDDDDDDDDDDDDD

Chemaligno, MS compra cosas de otros y después las adapta a su antojo. Así cualquiera. :-P

Lo de abrir el código fuente con el objetivo de mejorar la seguridad es una verdad a medias. El software libre no es más o menos seguro que el software privativo por tener acceso libre al código. Publicarlo tiene varias ventajas; sin embargo, que pueda haber más ojos observándolo no significa que esos ojos sean capaces de reconocer posibles fallos de seguridad o errores menores. Ni siquiera se debe presuponer que puedan comprender a grandes rasgos qué hace el procedimiento X o en qué algoritmo está basada la rutina Y; si no conocen el lenguaje, peor. Eso sí, ver alguna que otra llamada a 'strcpy' y su parentela en un programa C de uso común resulta bastante sospechoso. ;-)

Maligno dijo...

Bonjorno a tuti!

Veo, que varios habéis caido irremediablemente en el lado del mal, siguiendo un proceso similar al que llevé yo, je,je,je.

El otro día un representante de la comunidad de cierto sistema operativo que no es MS ni es Linux pero que tiene un diablo muy bonito dijo que publicar el código fuente por motivos de seguridad es una chorrada. Transmisión de conocimiento, trabajo colaborativo, ampliación del producto...
Ya he tocado este tema cienes y cienes de veces y al final, el asunto es que MS no cierra parte de su codigo por seguridad sino por lo mismo que Google.

Otro amiguete me dijo que no usaba nada que pudiera engañarle, y que para ello quería ver el código fuente del 20 % restante que queda del kernel, pq no se fía del CNI (que tiene el 100 %).

¿Piensas que los sistemas de información son importantes? ¿Te imaginas que nos dirigiesen hacia las fuentes de información que les interese a las empresas?
¿Qué buscador usas?
Google contesto.
¿Tienes el código fuente del buscador?

Benigno dijo...

Menos mal que me han avisado. Me han dicho que en el último post este blog se estaba convirtiendo en un centro de lujuria y perversión, más croquetamente que habia unos cuantos chupándose las p.... A ver si logro frenar tan solo un poco esta vorágine de sexo y desenfreno, que como dice Chimo Bayo tanto no puede ser bueno.

Damos por supuesto que la disponibilidad de código no es una ventaja "de aplicación inmediata" para todo el mundo, vamos, simplificándo muchísimo, que no todo el mundo sabe programar. Pero sí lo es a modo general, y para todo el mundo, incluída la propia Spectra.

Por poner un par de ejemplos recientes: hay un informe que recoje errores en funciones estadísticas que Excel no ha corregido pero Gnumeric sí. La diferencia ya no es que uno sea mejor que otro. Simplemente que los cienes y cienes de millones de usuarios de Excel, muchos de ellos a buen seguro magníficos desarrolladores, tienen que esperar a que Spectra en su afán de innovación le dé por arreglarlos aunque sea en aras de provocar otros más modernos ;-). Del, supongamos, millón de usuarios de Gnumeric, hay 10 que son un hacha y han informado en el bugzilla, han propuesto parches al equipo de desarrollo, etc.

Otra ventaja, palpable por la propia Spectra, es que supongamos que tienes la empresa informática más grande del mundo, llamémosle Spectra, y que acostumbra a coger un protocolo, formato, etc, añadirle dos chorradas, y hacerlo incompatible con el resto (MSN Network), o crear su propio "estándar" (doc), etc. Pero llega un día en que se aprueba un estandar real, como ODF, al cual en un primer momento niegas toda importancia (si tú formato ya "es" estándar). Pero con todo nuestro asombro, ya que somos los mejores del mundo, vemos como gobiernos y empresas empiezan a adoptarlo, y nos pillan en bragas cuando nosotros estábamos repintando la barra de tareas de la nueva versión del ofís. Nosotros no soportamos el futuro formato estándar!!. ¿Solución? Software Libre

Pues va a ser que tener el código fuente sí va a ser una ventaja... (Bill Gates hablando con Steve Ballmer)

Maligno dijo...

Benigno, que alegría, que alegría tenerte de vuelta!!. Hace tiempo que no ponías por aquí ningún comentario. Gracias por regresar.

Al lio. Lo de que Microsoft se aprovecha del Software Libre es un poco feo, Microsoft tiene Shared Source y la licencia GPL le permite utilizarlo, eso da pie a una bonita reflexión que hice al respecto en el post de Microsoft Linux. Leetelo, creo que te parecerá interesante.

Respecto al código fuente publicado por motivos de seguridad, creo que ya hemos hablado bastante. Gnumeric? perdona mi ignoracia, asokaloquee?? El tema es que tal vez tus 10 programadores hayan arreglado los fallos en funciones estadisticas es anecdotico dentro del mensaje "publicar el código fuente ayuda a la seguridad". Puede ser un caso entre un millón donde ayude a securizar algo, pero la misma ayuda das a los que atacan. Ya hemos hablado de esto antes, no? Publicar el código fuente por motivos de seguridad sigue siendo desviar la realidad que es a lo que se refería el post.

Lo de que unos pocos saben programar y lo entienden es justo lo que me dice mi psicopata particular. Él siempre tiene el código. Si tienes el 80 % liberado solo te queda un 20 % en asm. Te juro que mi psicopata particular programa en ASM para windows como los ángeles a partir de binarios y si tienen sistemas antimodificación pues a jugar con las tools de crackers. Es una máquina. Todo el que haga SSOO seguro que es una máquina tb.

Respecto a los estándares, creo que MS es de las compañías que más cumple, pero no te preocupes, el nuevo office soportara el nuevo estándard y todos los anteriores de MS tb. Es su grandeza ;)). Además no te pierdas cierto anuncio que se va a producir sobre el mes de octubre con una megamacroinciativa similar a la que inició en el año 2002 para seguridad (trustworthy Computing Iniciative) que ya lleva 4 de los 10 años que va a durar.

Poseso benigno, dejate caer más por aquí compañero que te echaba de menos. Ya creía que ibas a pensar que los entornos Microsoft no son tan malos ;)

ptarra dijo...

¿Es posible tener una red en Windows razonablemente segura? SI. La anécdota de silverhack de alguna forma lo ilustra.

¿Es fácil?. Bueno.. eso ya... quizás no tanto. Vale la pena echar un vistazo a
esto para ver como:
a) En sitios como el Departamento de Defensa de Estados Unidos, la NASA o el Ejercito norteamericano no deben tener profesionales capaces de hacerlo tan bien como silverhack
b) McKinnon (el famoso hacker británico que va a ser extraditado a USA por hacer alguna que otra pirula) dice algo así como que:"...una vez supe que el ejército americano usa Windows supuse que sería facil de hackear si no lo habían asegurado apropiadamente..."

En definitiva... habrá tantas redes seguras con windows como silverhackers existan en activo.

Usar Windows no es garantía de hacer las cosas mal ni usar Linux es garantía de hacer las cosas bien. Probablemente la autocomplaciencia de los que lo usamos, instalamos y administramos con frecuencia puede ser nuestro peor enemigo, mucho peor que Spectra, que al fin de cuentas, tiene los días contados ;)

Un saludo

Silverhack dijo...

Qué tal Ptarra!
No puedo estar más de acuerdo con tu comentario, sobre todo por una de tus últimas palabras... Autocomplaciencia.. Qué palabra tan bonita y tan larga no? ;-)
Lo que no me ha gustado tanto es que parece que la aplicas en mayor medida a los productos de Microsoft, cuando hay taaaantos y taantos productos... Esos productitos y sus bugs!!
A día de hoy googleando todavía me encuentro con routers, switches con pass por defecto (routers y switches empresariales, no el webstar de ono..), impresoras de red, y algunas paginitas realizadas en php superchulas para jugar a los médicos, ya sabes, por lo de inyectar.. ;-)
Tú hablas de que una red segura en Windows no es segura hasta que no llegue alguien y la sepa "tocar", como a una mujer..; y yo te contesto diciéndote que llevas toda la razón del mundo, pero que con GNU/Linux es lo mismo ptarra! y con BSD igual! Y con Cisco! Hasta con el microondas! Yo por ejemplo no podría ser guardia de seguridad, pero porque no tengo ni puta idea! No podría ser médico, porque no tengo ni puta idea, pero te aseguro que cojo un switch 3COM y le quito del tirón manager-manager, y no porque yo sea el mejor o un silverjuanker, sino porque es mi trabajo, creo que debe hacerse así y aparte me llamo Juanillo ;-).
Hace poco juankearon un subdominio de Microsoft y todo el mundo habló de ello, pero pocos se enteraron después que el superhacker se aprovechó de una vulnerabilidad en dotnetnuke (framework open source y con licencia BSD si mal no recuerdo), pero claro... Eso no sale..
Hablas de juankeos al departamento de defensa y de Windows en la NASA, pero no has mencionado una palabra casi tan importante como es el saber. PROTOCOLO.
Voy a citar una de tus frases:

"En definitiva... habrá tantas redes seguras con windows como silverhackers existan en activo."

Yo personalmente la corregiría por:

"En definitiva... habrá tantas redes seguras con windows como administradores con conocimiento y medios existan en activo."

La autocomplaciencia es lo que está jodiendo el negocio, y no hablo sólo de informática. Hoy hasta los bancos te venden un portátil o un TV de plasma. Lo mismo pasa con la administración de equipos.
Recuerdo cuando hice prácticas en una administración del estado. Uno de mis primeros trabajos de administración fue tirar un montón de PC antiguos en un contenedor de la calle y les dije...

Silverhack: Esto no lo mandáis a alguna empresa para que se encargue de eliminar los datos de los discos?

Administrador: Para qué? Quién coño se va a parar a buscar datos??

Silverhack: Puedo llevarme algún disco?

Administrador: Aro que sí killo! Pa eso estámo!

Protocolo...

ptarra dijo...

Estimado Silverhacker,

Es lógico que cargue las tintas en el lado de Microsoft ya que no le tengo ninguna simpatía. Por nada en especial, como tampoco tengo simpatía a la Pantoja y nunca me ha hecho nada (bueno... Microsoft si me ha hecho, pero esa historia es muy larga).

En resumidas cuentas sólo quería señalar que cuando decía a los "silverhacker en activo" me refería exactamente a lo que tú has dicho: "administradores con conocimiento y medios". Desgraciadamente éstos no abundan o por lo menos no al nivel que deberían. De hecho, en mi experiencia en el sector yo diría que un 10% (me paso con mucho) son lo que tú dices y un 90% son meros "reinstaladores" de windows.

En fin... que tengo que seguir trabajando.... tengo que migrar una red de 45 equipos con WinXP a LTSP y no hay dos puñeteros equipos iguales...

Un saludo

Maligno dijo...

Como mola!!

Hola ptarra, están de sanfermines en tu pueblo y tu posteando comentarios?? Voy a empezar a pensar que el tópico de que los de linux soys unos frikis va a ser verdad!!!jajaj (bromas aparte)

Silverhack, Ptarra aposto por OS2 y desapareció por culpa de MS y cómo él me dijo entre cubata y cubata, ahora piensa que con Linux eligió caballo ganador. ;)

Tengo que decirte Pedro, los adminsitradores de redes buenos en linux abundan quiza menos que los buenos de windows.

Un mal administrador es malo en cualquier entorno y uno bueno lo es en cualquier entorno, pq un profesional tiene claros las amenazas, los activos y las contramedidas!

Por cierto, suerte con los drivers, paciencia y dime cuanto has tardado en instalar los 45 equipos, ;) En la revista Todo Linux había este mes la tercera parte de como hacerlo para poner el entorno grafico tb en esa instalación.

Viva SanFermín!!

ptarra dijo...

¡Que memoria tiene el maligno!... Pero cuando me pasé a OS/2 era porque la afrenta de Microsoft ya estaba hecha... no me dejaron otra opción que ponerles los cuernos... independientemente de que tecnológicamente OS/2 era muy, muy superior a la alternativa de Microsoft en ese momento.

Luego entró Slackware 3.4 en mi vida... todavía conservo el set de 4 CDs.... con su kernel 2.0.30, soporte para SMP (que por cierto jamás usé), XFree86 3.3.1, volverme loco para hacer funcionar el modem ISA... ahhhh.... que tiempos... en los que sabía lo que eran los Modelines del fichero de configuración de las X.

Me voy a poner nostálgico...

Un saludo

Tio_Luiso dijo...

Muy buenas a todos:

Recuerdo que allá por los tiempos de Windows 2000 me dieron un curso de seguridad en redes Windows. El curso era bastante maloso, pero como parte del curso nos dieron un libro. No puedo recordar el nombre del libro ni el autor. Así de importante sería.

Sin embargo, se me quedó grabado un concepto en la memoria. El Administrador "por defecto". Windows es engañosamente fácil. Te permite instalar un controlador de dominio "fácilmente". Levantar un sitio web, un servidor de correo, base de datos... Y todo con clicks, clicks derechos y siguiente, siguiente, siguiente. Ahora bien: ¿Qué es lo que obtienes con eso? Que si el administrador no llega a más, lo mejor que va a obtener de su sistema son los parámetros "por defecto" de seguridad que haya implantado Microsoft.

La postura de Linux y similares (con excepciones) es más bien la contraria. Es tán arduo que realizar tareas de usuario nunca es trivial. Y en algunas ocasiones, es muy jodido. Cuánto más jodido será instalar un dominio (por poner un ejemplo). De alguna forma, está cuasi garantizado que alguien que puede poner en marcha una infraestructura de Linux es alguien que sabe.

Y eso no hace que MS sea una mierda. Soy de la opinión de que las posibilidades desde el punto de vista de seguridad son las mismas en MS y Linux. Sin embargo, las herramientas de administración de MS son las mejores. Y esto tiene doble filo. Porque son unas herramientas tan buenas que permiten a quien sabe ser mucho más productivo. Administras todo un jodido bosque con el ratón. Y el lado malo es que estas mismas herramientas también permiten a quien no sabe engañarse pensando que sabe. O que administrar es fácil.

Lo mismo pasa con las herramientas de desarrollo. Visual Studio es tan cojonudo que te hace la mitad del trabajo. Y mientras que es cierto que esto incrementa mucho la productividad, no te hace mejor desarrollador. Me encanta un artículo al respecto de Charles Petzold: http://www.charlespetzold.com/etc/DoesVisualStudioRotTheMind.html.

Eso es todo. Creo.

Saludos...

P.S.: Y con respecto a ODF. Me figuro que sabéis que MS está liderando un proyecto Open Source para añadir soporte ODF a Word 2007: http://port25.technet.com/archive/2006/07/06/2710.aspx.

Maligno dijo...

Tio_Luiso toy contigo!

Entrada destacada

MyPublicInbox: Perfiles destacados por categorías #MyPublicInbox @mypublicinbox1

Cuando se conceptualizó la plataforma de MyPublicInbox se pensó en un entorno que permitiera que los perfiles públicos recibieran comunica...

Entradas populares