martes, abril 10, 2007

Uno de los Desktops

Se lleva hablando de Windows vista los últimos meses, pero no ha sido el único sistema operativo de escritorio aparecido en los últimos tiempos. Si echamos un ojo al otro gran desktop aparecido este año, es decir al Red Hat Enterprise Desktop 5, lanzado el 14 de Marzo, es decir, hace menos de un mesecito, obtenemos algún dato curioso. En la web de las “erratas” del producto de RHED 5 podemos ver algunas cosas llamativas.

Erratas RHED v5

El mismo día que se lanzó había 11 actualizaciones de seguridad de los cuales había 3 Críticos y 4 importantes. Si miramos las vulnerabilidades vemos que afectan a proyectos de otros como SAMBA, Firefox, Thunderbird, el Kernel o Wireshark. Lo que me hace pensar otra vez en el modelo de mantenimiento de actualizaciones de seguridad de las distribuciones. El que los parches salgan sin planificar dificulta el trabajo a las organizaciones. Pensando que nada más instalar toda la organización hay que aplicar 11 actualizaciones es un poco jodido, pero 2 días después aparece otro importante y 5 días después aparece uno de openoffice y al día siguiente otra librería y una semana después …

Está claro que la cuenta hay que hacerla peras con peras y que no podemos contabilizar los fallos de openoffice con los de Vista sino con los de Spectra Office pero sí que podemos ver que las actualizaciones de Spectra Office se gestionan junto con las de Spectra Windows (y junto a casi todos los productos como el Spectra Explorer, el Spectra Wordpad, etc…) con lo que sí que hay cierta ventaja en el mantenimiento de la infraestructura en la planificación. Éste no creo que sea un debate a reabrir pues los clientes están muy contentitos con su WSUS, SMS, Update Services y todo planificadito y no creo que volver a un modelo de

“deprisa que han salido 3 fallos, 2 importantes y uno crítico esta noche y hay que pasarlos a pruebas para ponerlos en producción pasado mañana. ¿Cómo? ¡Si aún tenemos en pruebas los que salieron ayer!”

La siguiente reflexión es si realmente el desktop está bien perfilado o no. Decía uno que yo me sepo, que cuando se saca un producto al mercado es como cuando traes un niño al mundo, vamos, que lo vas a “sufrir” toda la vida, así que cuando salga que salga lo menos problemático posible. Una de las normas de la fortificación de sistemas es la de menor punto de exposición, lo que quiere decir es que un sistema debe ejecutar solo lo imprescindible para el cumplimiento de su rol. Esto hará que tenga menos fallos de seguridad, menos superficie de exposición y menos mantenimiento. ¿Es necesario el Wireshark para el rol? ¿Por qué es la propia RedHat la que se ocupa de gestionar las actualizaciones de seguridad de productos no controlados por ellos? ¿Es bueno esto? Cuando yo pongo Firefox en mi Windows no es Spectra la que me da soporte sino la propia Mozilla me pasa los parches. ¿Es que no se fía Redhat de Mozilla? ¿Es que no son buenas las actualizaciones de Mozilla? Sólo son reflexiones malignas…

Para terminar el día de hoy os dejo dos reflexiones distintas sobre las migraciones a desktops linux en organizaciones:

ONG se pasa a Linux! Y dejó de ser libre…
Un informático en el lado del bien... pensando en el mal

26 comentarios:

Anónimo dijo...

que fácil es criticar, menos mal que nosotros no tenemos fallos.

Oh, espera, que recibo un cursor animado y gráfico vectorial wmf por correo elec$%????

Chema Alonso dijo...

Cursor animado?

Es que usas Windows?

Saludos Anónimo!

Anónimo dijo...

Totalmente de acuerdo con lo que has escrito macho. Me ha hecho lo de "Corre corre que han salido 3 fallos", porque practicamente es así.

Yo cuando llego a casa reviso el correo a diario para comprobar las actualizaciones. Digamos que los costes de mantenimiento son mayores, ya que me quitan tiempo... tiempo dos veces a la semana, durante una media de X minutos por cada máquina. Y eso que como no juegan un papel crítico no pasan por fase de pruebas...

Anónimo dijo...

Esto de los fallos en Linux me recuerda al fin de semana pasado en la cadena Cuatro, televisaron un concurso canino de obstáculos, y algunos cometían fallos pero acababan la carrera, excepto uno que me hizo gracia, que singularmente se llamaba Tux, cometió unos fallos y lo descalificaron, siendo el único perro que no acabó el campeonato XD
Cosas de la vida :D

Un saludo.

molant dijo...

¿Es que no son buenas las actualizaciones de Mozilla?
------------

¿Cuántas veces habré/mos visto ordenadores usando versiones ancestrales de software plagadas de agujeros? Hay muy poca gente "de a pie" (e incluso muchos administradores ejemgluckejem) que se moleste en mirar si su navegador favorito se ha actualizado y lo mismo con el resto de programas (si funciona para qué tocarlo?).
Además, las actualizaciones proporcionadas por RH, Suse, Debian o cualquier otro intentan asegurarte que no te va a reventar el sistema cuando actualices. Yo personalmente prefiero este tipo de sistema (si, soy un vago y no quiero ir mirando lo que va apareciendo por ahí) y me ha dado mejores resultados a nivel personal que el usado por Spectra.

Pero bueno, para gustos colores. Lo que vale para unos, no lo hace para otros.

SiRw2P dijo...

Gaijin , la has clavado!. En estos tiempos no te fies ni del vecino...

Anónimo dijo...

Linux malo, Windows bueno, mi gustar!
Nooooo Windows malo Linux bueno, tu no tener ni idea!
Un pelin aburrido el tema ya.

La política de publicación de parches parece un tema más de empresa que de sistema operativo. Seguro que si Microsoft vendiera una distribución de Linux publicaría los parches los primeros martes de cada mes y si redhat vendiera Windows lo haría cuando estuvieran disponibles.
Puestos a criticar organización de los procesos de relación proveedor SO vs usuario creo que las licencias dan mucho más juego...

Respecto a las facilidades del sitema operativo reconozco mi ignorancia sobre los costes y facilidad de uso de SMS vs el sistema equivalente que utilice Redhat, Uuntu, Suse, Debian and co

Anónimo dijo...

¿Red Hat no se fía de Mozilla y por eso saca sus propios parches? No me hagáis mucho caso que yo de esto no entiendo, pero pensaba que mozilla es de eso que llaman open source, de ese tipo de software cuyo código puedes ver y modificar, y por lo tanto corregir si detectas algún bug.
Las malas lenguas dicen que es posible incluso que tu corrección sea usada por más gente, que de esta forma se aprovecha de tus conocimientos.
¡¡Hay pervertidos que incluso aprenden con ello!!
A donde vamos a parar: Empresas tocando el código fuente de otras. ¿Que será lo próximo?¿Que Spectra libere el código de IE 7?¿Que los desarrolladores de software seamos tan buenos que sólo cometamos errores cada 6 meses, justo antes de que aparezca un SP?
Muy buen Blog Maligno. Salud.

Chema Alonso dijo...

Hola Holita!!

Saludos a todos.

A ver, anónimo 1: Esto es el lado del mal. Te recomiendo otras webs para que no te aburras? Mi preferida es yonkis.com!

Respecto a la política de publicar los parches el SEGUNDO martes de cada mes si vendiera Linux, necesitaría que TODOS los proyectos lo hicieran, y no veo yo factible que se pusieran TODOS de acuerdo.

Y sí, es cierto, yo no tengo ni idea. Saludos!

Anónimo 2: Me alegro que te mole el blog! Salud. Por lo demás, desde el punto de vista del conocimiento es muy bueno, pero desde el punto de vista de una multinacional que venda lana, se la suda, lo que quiere es que la lana se venda y que para ello funcione su sistema informático, ¿no? Salud!

Anónimo dijo...

Pues no te creas, algúna entrada de blog tienes que es interesantilla (sobre todo del tema de seguridad) aunque morralla spectra-marketiniana tb la hay.
En fin que a veces atisbo la esperanza de leer cosas en este blog que no sean mi windows lava más blanco que tu linux, pues reconozco que de lo del "LINUX es lo mejor, el Windows es una KK y Bill Gates el anticristo" que repite todo el mundo sin pensar una y otra vez estoy absolutamente hasta el gorro.

Si Redhat quisiera publicar en sus repositorios los parches de todo el mes un mismo día no veo que problema podía tener en hacerlo. Como dices proporcionan ellos tb los parches de las principales aplicaciones. ¿Que más da que el parche de openssl sea publico unos dia antes? redhat lo publica en sus repositorios los martes y a correr. Tampoco creo que los equipos de desarrollo de spectra terminen de implementar los parches solo los martes. Es un problema de ponerlos disponibles en el repositorio nada más.

Anónimo dijo...

Que más da que el parche de openssl sea publico unos dia antes? --> Sí, que más da, sobretodo si es explotable remotamente... Estarán los script-kiddies y los que no lo son buscandote las cosquillas en cuando te encuentren. Hay que ver solamente un post anterior de Maligno, en el cual se mostraba un scanner de WebDAV para encontrar Windows 2000 con IIS 5.0 vulnerables (Sin parchear, vaya). Yo si es libre el parche lo prefiero YA, en cuanto se descubra el fallo, cuanto antes mejor. Si es cerrado, ellos verán, siempre y cuando no aparezcan vulns 0 day. Por ejemplo, la ultima vulnerabilidad de Win, la de los cursores animados me daba igual... digamos que para el uso que le doy, no me afectaba para nada.

Que las distros tardan algo en distribuir parches? Puede, hace mucho que no miro la vuln en security focus y luego en la web de la distro. FreeBSD es un Makefile y nada más. Si no meto la pata exageradamente, el 99% del código fuente se lo descarga de la web del proyecto correspondiente. Sale nueva versión de PHP y al poco está en los ports (Un port que hace un tío), por ejemplo.

gaijin tiene mucha razón, la gente no actualiza su SO, y si lo hace él solito y le manda reiniciar y demás, el resto de software se pasa de él. Hablo del típico Nero, Winamp, etc, vamos, todo lo que no es de MS. Con Office ocurre igual, porque Microsoft Update no está tan proliferado como Windows Update, aunque en Vista el (Actualizar más productos) o algo así, verdaderamente ayuda mucho alguien que no es técnico. Y en esto, en tener actualizado todo el software de forma sencilla es donde Linux me parece que se lo monta mejor, porque es la distribución la que hace el paquete y proporciona el parche, sin tener en cuenta que tarden más o menos en sacar el parche. Sin tenerlo en cuenta... pero debemos tenerlo en cuenta! No me gustaría que se descubra un fallo hoy, y por la mañana esté el parche disponible, y SuSE, RedHat o la que sea hasta dentro de 12 días no me den un parche oficial en RPM hecho por ellos.

A las duras o a las maduras... este es un tema sobre el que se puede hablar largo y tendido. Se admiten correcciones ;)

Chema Alonso dijo...

Anónimo 1: Esa es la respuesta, ampliar el tiempo de exposicion al riesgo ya que en el momento en que se saca un parche las técnicas de ingeniería inversa del parche hacen que aparezca el exploit y por lo tanto aumenta el riesgo.

Gura said it.

Bies!

molant dijo...

Anónimo 1: Esa es la respuesta, ampliar el tiempo de exposicion al riesgo ya que en el momento en que se saca un parche las técnicas de ingeniería inversa del parche hacen que aparezca el exploit y por lo tanto aumenta el riesgo.

--------

Es problema del administrador si no lleva una política de actualización correta. Yo soy de la opinión de que una actualización de seguridad debe estar disponible cuanto antes mejor. Si es un parche "menor" me da (relativamente) igual que lo publiquen ahora, mañana o dentro de 5 días.
Aún así conozco a un par de administradores de redes relativamente importantes y por lo que he hablado con ellos windows update es ejecutado cada hora por mucho que las actualizaciones estén programadas para los martes (y lo mismo con los servidores linux que tienen, que ninguno se salva).

Además, en el Software Libre siempre me ha parecido más fácil saber cuales son las incidencias abiertas que todavía no tienen solución por lo que veo más normal que publiquen el parche en cuanto lo tengan (además, no ofrecen la misma cantidad de dinero que Spectra da por las vulnerabilidades encontradas :P ).

Veo normal que RH saque las actualizaciones en "el acto" de la misma manera que veo normal que M$ lleve otra política "más secretista" y "organizada".

Chema Alonso dijo...

Hola Gaigin,

te repito la situación del post:

“deprisa que han salido 3 fallos, 2 importantes y uno crítico esta noche y hay que pasarlos a pruebas para ponerlos en producción pasado mañana. ¿Cómo? ¡Si aún tenemos en pruebas los que salieron ayer!”

Si una vulnerabilidad es crítica y está siendo explotada con riesgo alto, Spectra saca fuera del ciclo la solución (como con el ANI o el WMF) y listo, si no, son planificadas. El que salgan todas sin avisar hace, como sucedía antes, que los sistemas de actualización no funcionen bien.

Por cierto, creo que Spectra no paga por las vulnerabilidades. ;) Saludos!

molant dijo...

Por cierto, creo que Spectra no paga por las vulnerabilidades. ;) Saludos!

--------

Tienes razón, me colé con el link que pusiste sobre idefense en osxtias y mi memoria me jugó una mala pasada '^_^

Respecto al resto de tu comentario supongo que en cierta manera harán lo mismo los de RH. Si hay una vulnerabilidad de mayor riesgo se darán más prisa en corregirla que otra que no lo es. No creo que hagan FIFO sin importar la gravedad.

Todavía no acabo de ver porque los sistemas de actualización no deberían de funcionar.
Por lo poco que he visto la gestión de bugs suele estar bastante bien organizada y documentada en este tipo de compañías/organizaciones, y en ningún momento me ha dado la impresión de que cada uno vaya a su bola (al más puro estilo Jack Bauer). Además que por los datos que comentas en tus posts (me parece que era tuyo, pq llevo ya un lío de blogs...) parece que Red Hat últimamente se está tomando bastante tiempo en corregir fallos.

De todas formas hablo sobretodo desde el punto de vista de usuario (y de lo poco que he visto y me imagino) así que igual estoy metiendo la gamba hasta el fondo.

Un saludo!

Chema Alonso dijo...

Hola Gaijin!

el problema para una empresa es la planificación. Cada proyecto saca sus parches en cuando los tienen y las distros tienen que ir a remolque, quien los saca son los propios proyectos. Las distros los tienen que probar (pq dan soporte a ese software) y distribuirlo, por lo que no deciden ellos y encima tienen que ir a remolque. Si no se dan prisa entonces se amplía el tiempo de exposicion al riesgos y esos parches deben acoplarse con la política de pruebas y paso a producción de la empresa.

Solo eso.

Salu2.

molant dijo...

Vale, ya pillo lo que querías decir al principio :) De todas formas si como Spectra no da soporte a ese software estamos más o menos en las mismas ya que el tiempo en el que el administrador le cuesta darse cuenta de que ha habido una actualización y la aplica también puede ser larguillo (además del típico "si funciona no lo toques no vaya a ser que..."). Pero bueno, aquí ya entraríamos en las competencias y capacidades de las personas que en mi opinión no vienen tampoco muy a cuento.

Conoces algún sitio/s en el que se hable más en detalle (y a ser posible con casos reales) de todo esto? Es para no soltar "todo el mundo lo sabe" la próxima vez que me pregunten cuando me esté tomando una cerveza en un bar ;)

Un saludo y gracias!

molant dijo...

Otra cosa que se me acaba de ocurrir.
El ejemplo que propones es más bien de una distribución "testing" o "unstable", no? Es que ha nadie creo que se le ocurra poner en una máquina crítica un software en estado beta.

Anónimo dijo...

Conozco mucha gente que usa Testing como distribución "En producción" porque es su servidor de casa y quieren, o porque necesitan PHP5 y no conocen los backports... De lo malo, la rama testing de Debian tiene actualizaciones de seguridad, peor aún así prefiero la stable que me juega menos con los paquetes.

Chema Alonso dijo...

Hola Gaijin!

El RHED 5 es una distro pensada para ser estable. Es del tipo current, pero no es beta ni testing. Y ya ves, mismo día de salida 11 parches.

Saludos!

molant dijo...

Windows Vista tenía unas cuantas actualizaciones el día antes de que saliera (http://www.informationweek.com/news/showArticle.jhtml?articleID=197001741).

------
El RHED 5 es una distro pensada para ser estable.
------

Ya sabemos que del dicho al hecho hay mucho trecho. Si mierda hay por todas partes =)

molant dijo...
Este comentario ha sido eliminado por el autor.
molant dijo...

La dirección buena es esta (espero que esta vez salga...)
http://www.informationweek.com/news/ showArticle.jhtml?articleID=197001741

Chema Alonso dijo...

Hola Gaijin,

como supondrás, desde que hay RTM (allá por septiembre de 2006 creo recordar) hasta el lanzamiento se aplicaron parches internamente, pero no como en el caso que yo pongo que se el mismo día que se lanza están los parches. La noticia esa no es buena, porque ya estaba lanzado en Noviembre para las licencias por Volumen, así que fue una actualización normal del sistema.

Lógicamente, hoy, si te compras un Windows Vista lo primero que tienes que hacer es actualizarlo, pq hay parches disponibles, lo mismo que si hoy me instalo cualquier distro linux que saliera hace más de 1 mes.

Lo impactante es que son justo del mismo día y que como ves salen sin planificar, es decir, en el momento en que están.

Saludos!

Anónimo dijo...

Joder que obsesión con que Windows es malo y Linux la repera, o viceversa. Cada sistema tiene sus puntos fuertes y sus puntos debiles, y por mucho que me digas Vista no es perfecto ni de coña, al igual que no lo es ninguna distro linux.

Yo he probado Vista y sinceramente me quedo con mi Gentoo. Pero cada uno debería de elegir lo que prefiere tener en su máquina despues de haberlo probado no creen?

Un saludo

PD:Tio, como ponente eres la pera. Estuviste genial en el Security On Site de ayer, y eso que Pablo te dio caña!

Chema Alonso dijo...

Hola anónimo!

Pablo me cayó genial en el minuto 1. Jeje.

Gracias por los comentarios. Estoy contigo, cada uno elija lo mejor para él.

Saludos!

Entrada destacada

Programa de Especialización "Inteligencia Artificial para Expertos en Ciberseguridad" 2ª Edición.

Hoy, en medio del verano, os traigo información de la 2ª Edición del   Programa de Especialización  de "Inteligencia Artificial para Ex...

Entradas populares