martes, enero 08, 2008

¿Por qué Linux es Más Seguro que Windows?

Cómo uno es un poco enfermo con esto de la seguridad, se leen muchas cosas y de vez en cuando encuentras artículos como éste que son enlazados por todo el mundo, traducidos y tomados como dogmas de fe que me dejan un poco helado. En este caso se trata de un post titulado “Why Linux is more secure than Windows” y trae 6 axiomas divertidísimos, que me han llamado la atención y creo que voy a comentarlos:

Axioma 1: “Mejor gestión de actualizaciones de seguridad”. Este es el axioma de “una distro gobierna todo el software”.

Según este axioma las plataformas Windows, con Windows Update, sólo actualizan el software de Windows mientras que con el actualizador de la distro se mantiene actualizado todo el software. Si quieres actualizar el software de otros productos en Windows, como por ejemplo el Acrobat, la máquina java, la máquina flash, etc… entonces debes realizarlo mediante el propio producto. Esto en Linux no es así, pq es l propia distro la que te lo provee.

Sí, que bonito, que lindo. Voy a llorar. En primer lugar, hemos de suponer que estamos hablando de una distro en concreto en un PC concreto y no de una red de equipos “heterogénea” en Linux. Digo esto porque en el último axioma, en el número 6 habla de las ventajas de la heterogeneidad y una de las ventajas es que si tengo una red con 50 RHES y 50 Centos tendré que tener un servidor de actualizaciones distinto para cada uno de ellos, pero lo más gracioso es que, como las distros paquetizan actualizaciones de proyectos vivos es casi imposible garantizar que dos distros distintas tengan la misma versión de un paquete recién actualizado. Es bastante divertido esto.

Por otro lado, desde el punto de vista de Spectra, todo el software de Windows, todo el de office y todo el de los productos servidores, e incluso el antimalware se actualizan con el mismo cliente. No solo Windows, sino todo el software de Spectra.
Sí es cierto que en una plataforma en standalone el software no Spectra debe ser actualizado por cada producto, pero esto sucede igual con todos los productos no instalados directamente desde la propia distribución y los que son actualizados desde la distribución son un riesgo, pues existe una ventana de tiempo grande que va desde que el parche ( y por tanto el fallo de seguridad) es público hasta que la distro lo ha paquetizado.

En el caso de las redes en Spectra se usan los servidores Spectra System Center que permiten distribuir todo tipo de actualizaciones de seguridad de cualquier producto, incluido para Linux. En el caso de que tengas una red de equipos Linux y quieras gestionar las actualizaciones remotamente de todo el software (porque a lo mejor tienes software que no está en la distro del producto o porque deseas realizar actualizaciones Push en lugar de Pull) tienes que tirarte a productos comerciales como System Center, Tivoli, etc… y tener cuidado con la heterogeneidad del entorno pues entonces vas a tener que paquetizar un parche para cada cliente.

Tiens más sobre esto en: De Cañas


Axioma 2: Mucha más seguro por defecto. ¿El de soy mejor por defecto que XP…pero nada de Vista?

Este me encanta. Windows XP salió en Octubre de 2001 y fue construido como una evolución de Windows 2000. Esto hay que tenerlo en cuenta pues este sistema operativo no estuvo diseñado pensando en la máxima fortificación del sistema. En el año 2002, Spectra comenzó la Trustworthy Computing Iniciative, una iniciativa a 10 años en la que el objetivo era desarrollar software seguro. Para ello se contrató a gente especializada en seguridad, se desarrolló el SDL (Secure Development Lifecycle), se generó el ciclo de vida de actualizaciones de seguridad, Windows Update services, los servidores WSUS gratuitos, MBSA gratuito, el ExBPA gratuito, SBPA gratuito y se fortificaron los productos. XP, por tanto, se diseño fuera de esta campaña. Lo primero que se hizo con XP fue sacar una versión más fortificada que tuvo el bonito nombre de SP2, con su DEP, con una recompilación del código después de haber aplicado herramientas de Análisis de Código Estático, con su FXCop, etc… Esto fue un avance en Seguridad pero aún así no había sido diseñado desde cero pensando en Seguridad. Sin embargo eso sí se hizo con Vista, y por tanto su arquitectura está más fortificada desde la base.

Bien, hasta aquí la introducción histórica. El axioma dice que Linux es más seguro que XP pq si hay una ejecución remota de código en un Linux este sólo tendrá impacto localmente. ¿comorl? Perdona waperas, pero si peta un servicio que usa una cuenta con permisos en un Linux podrás hacer todo lo que los permisos de esa cuenta te permitan. ¿Nunca has visto shells remotas en Linux? Pero lo más chulo es lo que dice después con lo de Vista. “Vista corre en un entorno más limitado también y por lo tanto es más seguro que su predecesor” ¿Y qué Linux? Te recuerdo que el título pone “Why Linux is more Secure than Windows” no que Windows XP. Te recuerdo que Windows Vista es de Noviembre de 2006, ha pasado un año y pico, es el SO de Spectra y los planes de abandono de soporte en XP están en marcha… cambia el título si quieres de tu post amigo.

Axioma 3: Diseño Modular o… ¡No puedo quitar Internet Explorer!

No, no puedes quitarlo, pero si no quieres no lo uses, siempre puedes instalarte un firefox. Tampoco puedes quitar la Win32, pero en Windows Server R2 puedes correr todo tu software sobre el UNIX POSIX que trae (Interix) en lugar de sobre la Win32.

No obstante, si quieres hacerte un sistema a tu gusto siempre puedes usar la versión Windows XP Embeded Edition en la que eliges los componentes (para Vista igual, pero cómo parece que sólo hablas de XP…) para el caso de los servidores Windows Server 2003 trae el SCW (Security Configuration Wizard) para que fortifiques el servidor mediante el uso de Roles y puedes habilitar y deshabilitar todos los componentes servidores que desees y en Windows Server 2008 Core Server puedes quitar el interfaz gráfico e Internet Explorer también.

Axioma 4: Mejores herramientas para protegerse contra ataques de Zero-Days. O “No sé qué es eso de SELinux y AppArmor y en el otro lado no hay nada tan cool ¿verdad?”.

Esta es genial, dice que Linux es mejor que Windows porque para evitar los ataques de Zero Days en Linux hay SELinux y Apparmor y que en Windows XP no hay nada y en Vista sólo el modo protegido de IE7. A ver colega, que te veo un poco perdido. SELinux y AppArmor, a pesar de llevar tiempo, no se han incluido en la línea del kernel hasta el año 2003 en caso de SELinux y hasta el año 2005 en el caso de AppArmor. Te recuerdo que XP es del año 2001. Algunas de las cosas que aportan son ACLs (vaya, como lo que traía XP en el año 2001) soporte para DEP (vaya, como lo que trae XP desde el año 2003) y en las últimas versiones ASLR, vaya como lo que trae Vista desde fábrica y activo. Además, permite contextos de seguridad que deben ser configurados y utilizados para objetos del sistema, ficheros, descriptores, etc… “muy cómodo todo de configurar” ¿Alguien lo ha hecho de por aquí?.

En Vista se utilizan algunas tecnologías que vienen de serie funcionando como MIC (Mandatory Integrity Control), el modo protegido para IE7 con también UIPI (User Interface Privilege Isolation ), … pero si quieres echarles un ojo, las tienes resumidas en la Wikipedia:

- http://en.wikipedia.org/wiki/Security_and_safety_features_new_to_Windows_Vista

Axioma 5: Código Abierto. Esta es la de todos los ojos miran tú código para fortificarlo y hacerte más mejor y más seguro.

En fin, que en el año 2008 tengamos que seguir hablando de esto… Si todos los ojos vieran ese código no se usarían las herramientas de análisis de código estático, si esto fuera así… pero …¿de verdad hay que discutir esto aún? Yo ya tuve mi experiencia religiosa este Septiembre con mi aventura de joom_league, pero vamos a hacer dos cosas, una, os dejo las palabras de Crispin Cowan (Creador de AppArmor) y un resumen sobre este parecer, no escrito por mí, pero si de mi parecer : La Receta

"In discussing Sardonix's fall, Crispin Cowan, the project's leader, was harsh in his appraisal of the open-source community: he asserted that security researchers were only interested in finding splashy bugs and posting them to security mailing lists. I think that's oversimplifying the matter."

Why Sardonix Failed

Si los ojos lo vieran, el proyecto de “Bug Hunting” para “acelerar la calidad del open source” no hubiera encontrado los fallos de Seguridad que encontró en los principales proyectos de open source usando herramientas de análisis de código estático.

Lo cual llevó a su CTO, Ben Chelf, a escribir este artículo: “Insegurity in Open Source”

Me encanta la frase de “But when software security and quality really matter—like crossing the Atlantic on a jet airliner—trust me, you want to fly proprietary.”

En fin…

Axioma 6: Heterogeneidad. ¡Qué guay somos todos diferentes!

Bien, es una ventaja. Como hay muchos Linux, es poco probable que no se pueda hacer un troyano, un virus, un malware que funcione en todos. Cierto, pero también, es muy difícil hacer un parche que funcione en todos, hacer un driver que funcione en todos, hacer una agente de políticas de seguridad que funcione en todos, hacer un script que funcione en todos y hacer cualquier herramienta de seguridad que funcione en todos. Justo lo que quiere un administrador de sistemas para tenerlos seguros.

Así, siempre tiene menos herramientas, las pruebas de testeo se pueden hacer peor (no se pueden testear todas las distros), no se pueden gestionar correctametne todos porque no hay agentes desarrollados, etc, etc, etc… ¿Es realmente una ventaja o un inconveniente?)

Además, yo creo que se te han olvidado algunos motivos más. Tenías que decir:

7.- Linux no permite acceder sin usuario al sistema y Windows (98) sí.
8.- Linux arranca sin otro sistema operativo y Windows (3.11) no.


En fin, simplificar a que un producto es más seguro que otro cuando, como tu bien dices al principio la seguridad es un proceso... La seguridad depende de las personas que usan y administran los sistmeas, los procesos que se apliquen y la tecnología utilizada (estándares, productos y software propio) y por desgracia fallan más los dos primeros que el último (aunque parezca mentira).

Saludos Malignos!

58 comentarios:

  1. Me has robado el psot, aunque yo no lo escribiría con tanta rabia xD

    ResponderEliminar
  2. Jeje. No está mal ver los grandes motivos para emplear Linux. En el tema de la seguridad, ya es vieja la "idea" de que Linux es más seguro :).

    ResponderEliminar
  3. Ummmm
    Solo un comentario
    WSUS no distribuye actualizaciones que no sean S. Op. Ni siquiera deOffice, con lo que la actualización de los desktop Windows en cuanto a aplicaciones pasa por confiar que Microsoft Update esté configurado correctamente y en el buen uso del usuario.
    Para eso no solo existe System Center (que es de pago, no gratuito) sino aplicaciones más "mejores" como Patch Manager.
    Ya sabes que Spectra siempre deja deberes para que algunos terceros tengan negocio.
    Por lo demás lo mejor de la entrada a mi juicio es la aseveración sobre los niveles de seguridad.
    Ciertamente las compañias siguen estando en manos de sus administradores y sus políticas.
    ¿Nadie ha visto inversiones en firewalls, balanceadores, parcheadores tumbadas simplemente porque la información sensible está en las papeleras o colgada de un post it en un monitor?
    Porque yo si que he visto de eso.
    Pero claro yo soy un indocumentado.
    Saludos Chema

    ResponderEliminar
  4. Siempre he defendido el uso de cualquier sistema operativo, y odio a los radicales de cualquiera de ellos, esos que hablan y contestan sin escuchar lo que los demás tienen que ofrecer o aportar porque creen que lo suyo es mejor.

    Creo que la seguridad de un SO depende mucho más de quien lo administre que del propio SO ya que por muy seguro que sea el sistema operativo si el usuario deja un post-it en el monitor con su password no hay mucho que hacer.

    ResponderEliminar
  5. mmadrigal te me has adelantado con lo del post-it :P

    ResponderEliminar
  6. Hola maligno.

    Respecto a ASLR te quería hacer una pregunta (aprovechando que lo mencionas).

    El otro día leí en el diario de Juanito lo siguiente: http://windowstips.wordpress.com/2008/01/02/curiosidad-con-aslr/ en donde se dice básicamente que ASLR se puede usar, o no, según al programa en cuestión le parezca. ¿Este no es un comportamiento un poco extraño? ¿No debería usarse ASLR "por pelotas"?

    Entiendo que quizás haya alguna aplicación que requiera "guarrear" con direcciones y que por tanto no funcione con ASLR, pero estoy seguro de que el Acrobat Reader y la toolbar de Google no están en ese caso. ¿No sería más lógico asumir un uso de ASLR por defecto y que la aplicación lo desactivase explícitamente?

    Quizás sea una pregunta chorra, pero me llamó la atención.

    Saludos ni malignos ni benignos.

    ResponderEliminar
  7. Madrigal

    WSUS si que distribuye actualizaciones de todas las versiones soportadas de Office. Resumiendo, distribuye actualizaciones de cualquier producto de Microsoft que publique sus actualizaciones en Microsoft Update

    Además, permite distribuir parches personalizados. El cómo, lo contaré pronto :-)

    Saludos

    ResponderEliminar
  8. "Ummmm
    Solo un comentario
    WSUS no distribuye actualizaciones que no sean S. Op. Ni siquiera deOffice, con lo que la actualización de los desktop Windows en cuanto a aplicaciones pasa por confiar que Microsoft Update esté configurado correctamente y en el buen uso del usuario.
    "

    No sólo de Office... Sino de SQL Server, Project Server, Forefront, ISA Server, Forefront Server, etc....

    ResponderEliminar
  9. #Uno que pasaba por aquí

    Qué pasa tío?
    Supuestamente es el programador de la aplicación el que decide si su aplicación debe utilizar la característica del ASLR. Yo también tengo la misma duda que tú. Cuando saque algo en claro, actualizo el post

    Saludos!

    ResponderEliminar
  10. Que grande el Post!!! Muy aleccionador. No he visto una rabia fuera de lo común.

    un saludo.

    ResponderEliminar
  11. Cientos de Servidores comprometidos Bueno no sé si esto es verdad o es un cameo o una bola de nieve... pero como bien dices en todos los sitios se cuecen habas.

    "It's possible that only Microsoft SQL Server databases were hacked with this particular version of the robot since the script relies on the sysobjects table that this database contains. "

    ResponderEliminar
  12. aaah y sí... seguro que los administradores de estos sitios son unos cafres, y no tienen las actualizaciones pasadas... y todo eso... pero es lo que toca

    ResponderEliminar
  13. @dark_tuxvader, ayer conté algo sobre eso, pero baste decir que el fallo es en aplicaciones web, no en SQL Server... si esas Webs tirasen con oracle se puede hacer igual. Cambiamos sysusers y sysobjects por all_users y all_objetcs, y listo...

    Venga tron! que esa era muy fácil!

    Saludos!

    ResponderEliminar
  14. Cómo vacila el Maligno, me parto, xD. Gran post, tenía ganas de leer algo rebatiendo esas frases típicas que te encuentras en todos lados.
    Saludos!

    ResponderEliminar
  15. hahaha rocksssss

    ResponderEliminar
  16. Dios, y ¿de verdad crees todo lo que escribes?

    Supongo que en el articulo al que respondes, utilizan XP porque esta sigue siendo la versión más utilizada de Windows. Dentro de este tema, como se nota el lavado de cerebro que tenéis los "malignos" que os llegan unos publicistas a deciros que XP es una mierda y vais y os lo creéis... que es ventas chavales, marketing puro y duro... lastima que caigan tan fácilmente en esto.

    Por otra parte, me parece increíble que una persona que controla de seguridad como tú, se ponga a escribir estas tonterías y rebajarse a contestar otro articulo más tonto aún.

    Finalmente, la seguridad es algo tan abstracto que termina siendo una simple sensación o sentimiento basado en experiencias, y según la mía, Linux es más seguro que cualquier cosa que Microsoft pueda escupir. No por todo lo que intentas rebatir y patalear, porque es abierto, y puedes ver, tocar y ensuciarte con lo que está sucediendo... ah! y sin aplicaciones de terceros.

    Saludos

    ResponderEliminar
  17. Hola.

    Chema, no te quito toda la razón sobre tu contestación a este post, pero si lees los datos del que ha escrito el post es un médico.

    "A pathologist at JIPMER, Pondicherry. Even though I am a doctor, I am more interested in breast cancer research and internet surfing."

    Si tubieras que rebatir todos estos tipos de post perderías tus huellas dactilares de tanto escribir (algo que te ayudaría mucho con tus problemas con la justicia jejeje).

    Poz ezo, peléate con alguien de tu tamaño que tú eres ya mu grandecito jejejee

    Ta lueee

    ResponderEliminar
  18. Yo estoy de acuerdo en el 90% de todo lo que comenta Maligno, pero tambien veo un poco lavado de cerebro en el tema de q ahora toca defender VISTA a muerte.
    Estoy de acuerdo en todo el tema de seguridad y los grandes avances que VISTA lleva. Pero hay otra cosa que se llama "usabilidad, compatibilidad y cruda realidad" lo cual es imprescindible para poder montar un SO en condiciones, y ahora mismo VISTA no lo es...lo sera... pero ahora no lo es...y eso, creo q tambien se podria decir de vez en cuando en vez de tanta ironia (q ya me gusta ya! :-)
    He dicho.

    ResponderEliminar
  19. #Davidcervigon
    Cierto David.
    Office a partir de 2002. No anteriores
    Me refería a SUS y no a WSUS (Mea Culpa)
    Wsus soporta Exchange y SQL entre otras cosas. Pero es reciente(Diciembre de 2006 creo)

    En todo caso el comentario era que todas las medidas están bien, pero sin una normativa clara y el compromiso de cumplimiento de la misma todo lo que uno hace sirve más menos 0.

    ResponderEliminar
  20. @ubersoldat

    "Finalmente, la seguridad es algo tan abstracto que termina siendo una simple sensación o sentimiento basado en experiencias, y según la mía, Linux es más seguro que cualquier cosa que Microsoft pueda escupir."

    En tu caso, la seguridad es más un acto de fe, por lo que se ve.


    "...como se nota el lavado de cerebro que tenéis los "malignos..."

    Y esto lo dice alguien que ha decidido "creer" en la seguridad de un producto.

    ResponderEliminar
  21. @elbauty, si es medico.. que se dedique a la medicina y deje de tocar los cojones a los que nos dedicamos a esto de forma profesional... Yo no me metí con los bypases que hace (y eso que me he visto 2 temporadas y algo de house). Estoy seguro que él ha tocado menos Vista que yo punciones lumbares he visto hacer a Foreman, Cameron y Chase...

    @ubersoldat... ¿te parecen tonterías? Si ya conoces todo mi blog... ¿de qué te sorprendes?. Y en cuanto a lo de abierto, ver tocar, etc...creo que está bien con lo que ya he dicho en el post.

    Saludos malignos!

    @mnenomic.... ya te enseñare los tricks! ;)

    ResponderEliminar
  22. Me gustaria rebatir algunos argumentosd que has comentado que me parecen (en mi opinion) absurdos:
    Axioma 1: “Mejor gestión de actualizaciones de seguridad”. Este es el axioma de “una distro gobierna todo el software”.
    Si, me mola utilizar un software que gestione las actualizaciones que me envia una empresa privada si quiere (Windows genuine advantage) quando le apetece que no se que hacen ni lo sabre nunca porque no tengo acceso al codigo fuente. Me tengo que creer un cuento que cuenta microsoft i decir amen.

    Axioma 2: Mucha más seguro por defecto. ¿El de soy mejor por defecto que XP…pero nada de Vista?
    Has oido hablar del sistema de ficheros de Linux? Comparas el sistema de ficheros que existe desde 1992 o 2001 (ext2 o ext3) o ReiserFS con el sistema patetico de windows 98? Le doy a cancelar en la patalla de Login en windows 98 a ver que pasa?
    Axioma 3: Diseño Modular o… ¡No puedo quitar Internet Explorer!
    Alguien aqui ha escogido el explorer? Alguien de aqui puede escoger utilizar "tecnologias" """seguras""" como activeX con algun navegador que no sea el explorer?
    Comparas la modularidad de un nucleo que puedes recompilar a tu gusto de pies a cabeza e instalar los paquetes que de verdad quieres y te interessan con un producto comercial que tienes que pagar a parte?TENGO QUE PAGAR MAS PARA TENER JUSTO LO QUE QUIERO?

    Axioma 4: Mejores herramientas para protegerse contra ataques de Zero-Days. O “No sé qué es eso de SELinux y AppArmor y en el otro lado no hay nada tan cool ¿verdad?”
    Solo comparame un iptables con el "firewall" de windows XP...Comparame las opciones que te da un sistema linux empotrado en un WRT54 de Linksys com ese "firewall"...Te suena el Blaster?
    Axioma 5: Código Abierto. Esta es la de todos los ojos miran tú código para fortificarlo y hacerte más mejor y más seguro.
    Comparame un codigo testedo y revisado por miles de desarrolladores con un codigo que te "crees" que funciona. Imaginate que eres administrador de una importante empresa y encuentras (o se encuentran solitos) un bug de seguridad: en primer lugar dependes de microsoft para que te arregle el problema, en segundo lugar es ILEGAL que prueves de arreglar-lo, y en tercer lugar no puedes porque no tienes el codigo. A eso se le llama "seguridad". Te has preguntado porque Google, la NASA o el MIT usa GNU/Linux?
    Axioma 6: Heterogeneidad. ¡Qué guay somos todos diferentes!
    Nadie te obliga a utilizar diferentes distribuciones. La grandeza es que puedas escojer. Cuantos escritorios tienes windows? A cuanto te sale un solo escritorio?
    Es mentira que no puedas testear todos los programas en todas las distribuciones ya que la raiz comun de unix es universal para todos los GNU/Linux.
    7.- Linux no permite acceder sin usuario al sistema y Windows (98) sí.
    Y porque en el ""fantastico"" XP y Vista no mantienes esa "inmejorable" funcionalidad"?
    8.- Linux arranca sin otro sistema operativo y Windows (3.11) no.
    Dime que hace windows con el mbr cuando lo instalas en un disco duro con otros sistemas operativos diferentes a los de microsoft? Viva la "libertad" y los "estandares" que defiende billy.

    ResponderEliminar
  23. Digo esto porque en el último axioma, en el número 6 habla de las ventajas de la heterogeneidad y una de las ventajas es que si tengo una red con 50 RHES y 50 Centos tendré que tener un servidor de actualizaciones distinto para cada uno de ellos, pero lo más gracioso es que, como las distros paquetizan actualizaciones de proyectos vivos es casi imposible garantizar que dos distros distintas tengan la misma versión de un paquete recién actualizado.


    Vaya, asi que si instalas RHES y centos necesitas un servidor de actualizaciones para RHES y otro para centos. ¡Que sorpresa! ¿Y que pasa si instalas tres distribuciones? Dejame adivinar...¿quizás necesites tres? Que divertido, resulta que Linux es el responsable directo de que a un administrador le de la gana instalar tropecientas mil distribuciones con tropecientas mil versiones distintas de una misma librería. Bonito argumento.


    Nunca dejará de sorprenderme que ningún usuario de Microsoft se queje del patético y absurdo sistema de actualizaciones de windows. No hay más que ver como Firefox, java, adobe, macromedia....todos ellos tienen que implementar su propio sistema de actualizaciones, porque Windows.....¡no tiene uno! (Y no porque sea dificil de implementar precisamente, es simplemente que a las neuronas de la gente de windows no se les ocurre). Se ve que a la gente que usa windows le gusta tener que visitar media docena de páginas web a través de mil menus (a cada cual mas raro) para actualizar los putos drivers.

    En linux, incluso las aplicaciones propietarias que no vienen con la distribución pueden empaquetarse (en muchos casos, depende de si la aplicaición es muy puñetera) y distribuirse como actualizaciones. En fin: sin comparación.


    El axioma dice que Linux es más seguro que XP pq si hay una ejecución remota de código en un Linux este sólo tendrá impacto localmente. ¿comorl? Perdona waperas, pero si peta un servicio que usa una cuenta con permisos en un Linux podrás hacer todo lo que los permisos de esa cuenta te permitan.


    Perdona waperas, pero Linux (Red Hat and family) llevan utilizando SELinux para restringir aun más los servicios. Lo llevan incluyendo hace bastantes añitos antes de que Microsoft sacara si equivalente en Vista y, por cierto, no tienen nada que ver con las ACLs, el DEP (que se implementó al mismo tiempo que el de windows: cuando salieron procesadores que lo soportaban), la ASLR y otros juguetes.


    Si los ojos lo vieran, el proyecto de “Bug Hunting” para “acelerar la calidad del open source” no hubiera encontrado los fallos de Seguridad que encontró en los principales proyectos de open source usando herramientas de análisis de código estático.


    A ver que me centro...¿el software libre no es bueno porque las herramientas de análisis estático encuentran fallos?

    Bien, esas mismas herramientas de análisis estático (nueva formula mágica con la que algunos creen que van a resolver todos los problemas del software) tambien se pasan a los productos de Microsoft. ¿Resuelven los problemas? A la vista está de los boletines de los martes que no. Ergo: utilizar la mera presencia de fallos de seguridad como herramienta para justificar el software libre o el propietario es una gilipollez.

    ResponderEliminar
  24. @Oriol... vamos a ver las absurdeces que digo:

    1.-Las actualizaciones de seguridad no van con el Windows Genuine Advantage, my friend. Lo siento. Lo que va con WGA son las nuevas opciones. En cuanto a lo que hacen está documentadito todo. No obstante tú y mucha gente no tiene el código fuente para proteger su negocio y que no se lo copien. ;) No obstante España tiene acceso al 100 % del código fuente y lo auditan y todo!

    2.-Windows 98? Sí, ext3 es mejor que FAT... Ja,ja. ¿a dónde quieres llegar? Te he contado en el post lo de la TCI, ¿no?

    3.- ¿Que tienes que pagar a parte para tener justo lo que quieres? No te entiendo, o no te explicas. IE es gratis, como el Mozilla y si no quieres no lo usas. Con Windows, si quieres cosas puntuales, puedes comprar otras ediciones, como la Home Edition o la WebServer Edition o Small Business Server... que no entiendes de eso? No te gusta el modelo de negocio? Lástima, es uno, como otro cualquiera. Las farmaceuiticas tienen el suyo y los que venden colonia también.

    4.- Blaster? Claro que me suena!! Desde entonces los XP vienen con el firewall por defecto Instalado. Ahora... comparame el firewall que tiene tu linux con este que viene en Vista. Te dejo un post para que lo veas, mira que bonito que es... Es más cool y aquí puedes configurarlo..
    Firewall de Vista I de II
    Firewall de Vista II de II

    5- ¿Miles de desarrolladores? Sí, en dos proyectos, y aun así mira los números de bug hunting, pero.. ¿qué pasa con el 98 % de los paquetes del sistema operativo? Aun muchos son versiones 0.X. Toma, te dejo mi última eXPeriencia con un código fuente abierto...La Liga de los Hombres Extraordinarios

    Por cierto... te has preocupado ¿por que Google no libera su código fuente, la NASA tampoco, ni el MIT.. O pq el MIT tiene webs inseguras, la NASA las tiene? Vamos, que si la NASA que usa ADA fuera el referente en IT...

    6.- Mira, he usado mogollón de linux, de hecho seguro que he montado muchos más servers linux que muchos que hablan y tio, un programa para RedHat es para RedHAt y cuando lo quieres correr en Debian es práctimente imposible salvo que tengas el código fuente y te recompiles todo y en el 90 % de los casos (si el programa es medio complejo) te petan las librerías. Si no hay heterogeneidad no hay ventaja por heterogeneidad (como dice en el axioma 1) y si la hay, pues lo siento, es una putada la heterogeneidad. Y referente a poner escritorios en Windows puedes poner 20.000 programitas con powergadgets, powetoys, que te ponen cubos con 4 escritorioes (en la gira del año pasado mi compañero ponente llevaba un cubo en un XP) y hacer 100.000 tonterías con la Win32.. Spectra pone lo que cree que es necesario, las mariconadas las añades tú si quieres...

    7.- Perdona... era un chiste... siento haberte confundido.

    Saludos Malignos!

    ResponderEliminar
  25. Joder me encantan estas entradas en las que -hay leña-... bien bien... lo bueno de todo esto es que siempre se aprenden cosas o por lo menos coges referencias para poder jugar... da igual de que lado seas si eres un tenicoless como yo algo se aprende fijo.

    ResponderEliminar
  26. @Diego,

    no necesitas instalar si no quieres servidors de actualizaciones, puedes tirar de Internet, pero si lo montas, necesitas uno por cada distro. No es que Linux sea directamente el responsable, pero la tan llevada heterogeneidad tiene estas cositas. Ya ves. Te reto a ver cuanto software es 100 % POSIX.

    "Patetito y absurdo sistemas de actualizaciones de Microsoft" ¿Te refieres al que están copiando todos? Porque... claro, seguro que a tí se te ocurre uno mejor que a los pobres "tontos" de Spectra.... Ellos, pobrecitos... Mira tienes WSUS (Gratutio), System Center Essentials y SMS para que gestiones tooooooooodo el software de tu compañía.

    Y sí, habría que hacerlo como con mis linux, que ellos sólos se instalan y se configuran los drivers y se actualizan solos a mejores versiones... Mira, te dejo una lectura sobre esto de los drivers. Lo Malo de Linux

    Perdona, pero SELinux está en RHES desde la versión 4...espera... que te la busco..sí, desde Febrero de 2005, así que lleva 2 años. ¿que de cuantos no? Antes no había ACLS ni DEP, ni nada de eso? XP tiene DEP desde el 2003 y ACLS desde 1996 (el NT 4). Creo que había betas de Longhorn ya funcionando en el 2005 con el WSH (Window Service Hardering) ... otra cosa...lo siento amigo, pero hay varios tipos de protecciones para DEP, te dejo un artículo que escribí sobre las técnicas de protección contra desbordamientos de buffer, para que veas que no sólo hay el NX. Y ASLR no depende de ningún micro, es una carga sofware, el único que necesita micro es el NX y hay desde el 2003 micros con ella.

    Protección contra Buffer Overflow

    Respecto a lo de a la vista está que no funciona el SDL de Spectra, si crees que no resuelve los problemas de Microsoft el uso de analizadores de código estático, cuando Vista ha sido el sistema operativo con menos fallos en el 2007 contando a RHES, Linux, MAC, Windows XP y a las distros linux que he podido mirar...(sólo tienes que irte a contar a Secunia) y productos como Exchange Server, IIS, SQL Server, ISA Server etc... tiene un número infimo de fallos... Vamos, que te parezca que Spectra, una compañía con cerca de 1000 productos vivos que tiene alrededor de 100 parches al año para todos sus productos es un mal número... ¿Te parece mucho?. Venga dime quién tiene menos y se los contamos, que a mi echar números con los expedientes de seguridad siempre que ha encantado.. Si miras el BugHunting creo que sólo el kernel tenía más de 300 ¿no?

    Saludos Diego!

    ResponderEliminar
  27. ¿Te das cuenta que has hablado de los temas que a esta gente les ha interesado sacar en su artículo y aún han llevado collejas?.

    ¿De 64 bits, drivers, horas de implantación, no hablamos no?

    ResponderEliminar
  28. Cabe aclarar, para que no quede colgado el tema, que AppArmor nace como una alternativa de SELinux, y no como un agregado, por las críticas a este último sobre su complejidad de configurar y mantener. Por esta razón se corre el riesgo de que los usuarios finales deshabiliten SELinux al no poder configurarlo correctamente.

    SELinux básicamente aplica etiquetas a procesos o archivos para definir luego las relaciones N a N entre cada uno de ellos, es decir cuales etiquetas pueden acceder a las demás. Para esto se debe "etiquetar" el File System agregando atributos nuevos y luego generar las politicas de seguridad específicas. El problema radica en que algunos File System no contemplan el uso de etiquetas (los que no manejan atributos extendidos por no estar habilitados o presentes) como así también servicios NFS o los archivos TAR que tampoco preservan las etiquetas.

    AppArmor es transparente en este sentido, no requiere modificaciones en las aplicaciones ya que asocia el nombre del archivo o grupos de archivos a la política de seguridad.

    Cabe destacar que el tiempo sigue siendo un factor importante a tener en cuenta para aplicar las políticas en uno y otro. Para aplicarla por ejemplo en Apache se necesitan aproximadamente 130 líneas si usan AppArmor, en cambio en SELinux unas 800.

    Con respecto a la nota, se comienza por decir Ubuntu Dapper (algo antiguo ya) es mas seguro que Vista porque tiene menos reportes de seguridad, incorpora SELinux y AppArmor (cosa que es falso porque AppArmor recien sale en la Ubuntu 7.10), pero no sigue comparando ambos por igual, y comienza a meter a XP en todo esto. Hubiese sido interesante un análisis de igual a igual que es algo muy dificil de hacer porque las versiones de Linux cambian constantemente y van incorporando funcionalidades que no tienen las versiones anteriores. Convengamos que el análisis lo realizo en la version 6.06 de Ubuntu y no a Ubuntu en general (Partamos de la 6.06 jun/06, la 6.10 oct/06, la 7.04 abr/2007 hasta la 7.10 oct/07 y de Vista solo una).

    A mi entender, la mayoría de los Administradores de Sistemas buscan homogeneizar toda su línea de servidores para justamente lograr un mantenimiento centralizado, rápido y facilmente replicable en caso de una eventual falencia de seguridad y así conseguir un start-up más rápido y efectivo. La heterogeneidad solo es efectiva cuando los ataques son centralizados para una plataforma específica cosa que ya no es cierta al incorporar en los mismos exploits para una gran parte de las plataformas actuales. No se en otros paises, pero en Argentina unas empresas se compran a otras logrando esta heterogeneidad de sistemas y no cuentan solamente con una distro de linux o un win2003 server. Hay que ser realistas, el servicio de actualización de windows permite determinar que tipo de sistemas operativos tenien a su cuidado, descarga y distribuye las actualizaciones en forma automática y esto es un punto a favor para Microsoft. En Linux cada empresa con su subsistema y su distro en particular tendrá que hacer lo propio. Con respecto al código fuente, que lo tengas no te asegura 1. entenderlo, 2. modificarlo, 3. compilarlo y que todo funcione OK...

    Es como dice Chema, no siempre las dependencias son las correctas, el código no esta del todo bien documentado, la tarea de desarrollo no se realizó en forma planificada, etc. Muchos proyectos buenos comienzan como garage project y que luego son distribuidos masivamente y posiblemente (es decir con cierta probabilidad aunque mínima en muchos casos) no fue pensado utilizando técnicas de arquitectura de software importantes a la hora de comenzar un desarrollo, y que en el testing comienzan a aparecer fallos estructurales que deben ser emparchados. En cada proyecto los fixed son realizados por pocas personas, aunque el código este disponible para todo los millones que lo quiera auditar. Cuantos de nosotros tienen esa capacidad de auditoria? Cuantos podrán arreglar un problema sin tener en cuenta una visión general de todo el código? (aclaro de antemano que yo le meto mano en los fuentes para que despues no digan este que sabra!)

    Chema, las comparaciones se caen por si solas cuando se habla de seguridad sea Windows o Linux mejor, son dos cosas diferentes y punto. Cada uno usará el traje que mejor le quede...

    a DJ Blue, creo que mucho mas traumático es el uso de contraseñas poco seguras del tipo user Juan pwd Juan... cosa que es muy difícil de aceptar por el usuario final y mucho mas por el nivel gerencial o presidencia que hasta le molesta poner la clave en el sistema y te piden que entre con ENTER! jaja... y terminas optando por poner mas permisos al portero que al CEO de la empresa...

    ResponderEliminar
  29. @Silverhack

    Gracias por la respuesta, estaré atento para ver si se aclara algo. La verdad es que veo bien que el uso de ASLR sea "elegible" porque puede haber casos en los que no sea deseable, pero creo que la forma de elegir si se usa o no debería requerir una acción explícita para anularlo. Si el Acrobat Reader no lo usa supongo que será porque por defecto no se usa (no creo que los chicos de Adobe decidan no hacer uso de ASLR), y si por defecto no se usa pierde mucha utilidad.

    @Tontines varios
    Siento vergüenza ajena de algunos comentarios. De verdad. Quiero pensar que sois unos chavales saliendo del "cascarón informático" (como lo fuímos/somos todos en su momento) y que el tiempo os abrirá los ojos. Lamentablemente creo que la mayoría simplemente sois unos fanáticos peores que los "enviados de Spectra" a los que criticáis. Los que se pasan por aquí al menos saben de lo que hablan. Según yo veo este blog hay que saber tomarlo con su ración justa de opinión técnica, excepticismo y sarcasmo. Es cierto que maligno a veces "se tira de la moto" con algunos temas y que a veces suelta verdades a medias, pero los razonamientos están ahí e intentar rebatirlos con "pues windows 98 es peor" o "el sistema de actualizaciones de microsoft actualiza solo windows" no hace más que dejaros en evidencia. Y así nos luce el pelo a los usuarios de otros sistemas operativos, 4 que saben, 8 que lo intentan y 4000 que no tienen ni puta idea y no se cortan dos duros en exhibirlo, dejando a esos 4 que saben y los 8 que lo intentan a la altura del betún, sintiendo vergüenza de pertenecer a la misma minoría.

    A veces me dan ganas de pasarme a *BSD o Solaris, al menos hasta que se pongan de moda y venga la marabunta de tontines, o de volver a Windows en donde los que no tienen ni puta idea son conscientes de ello y no se creen mejores que el resto por usar el sistema de moda de los "geeks" (que palabra más fea, joder).

    Fdo:
    Un usuario de GNU/Linux que está hasta el rabo de otros que se suben a la parra al pulsar el último "siguiente" de su _ponga aquí su distribución favorita_ con éxito.

    ResponderEliminar
  30. Cuanto humor informatico, con toda esa palabreria algun casual de los ordenadores puede llegar a pensar que hablas en serio ;)

    Yo soy feliz con mi linux y nunca he tenido esos caoticos problemas de los que hablas y podria revatir cualquier argumento de esos tan pueriles que has descrito pero no merece la pena porque seguro que ni pensarias en ello.

    Seguramente escribas todo esto para intentar convencerte a ti mismo y a 4 n0obs mas que solo usan su pc para jugar y que no hace falta convecerlos jeje.

    Windows=messenger, juegos y formatear (por viruses y esas cosas)

    Para todo lo demas, GNU/Linux

    Ahora explicanos por que la tierra es plana ;)

    ResponderEliminar
  31. Con lo que se ha hablado aquí creo que puedo discutir matices con todos, los del bien y los del mal, incluyendo a josemaricariño... así que si llega aquí alguien que sepa de lo que habla, no como yo, no quiero ni imaginarme. }:-)

    Como todos estáis con el flag fanático a 1, no creo que sea útil, así que mejor me pongo a hacer algo de provecho...

    Bezos.

    @Maligno
    Si no te veo, suerte el jueves. ¡¡¡Si me llego a enterar antes de la fecha voy a verte contar esos papelotes que has escrito!!! };-)

    ResponderEliminar
  32. Sí, que bonito, que lindo. Voy a llorar. En primer lugar, hemos de suponer que estamos hablando de una distro en concreto en un PC concreto y no de una red de equipos “heterogénea” en Linux. Digo esto porque en el último axioma, en el número 6 habla de las ventajas de la heterogeneidad y una de las ventajas es que si tengo una red con 50 RHES y 50 Centos tendré que tener un servidor de actualizaciones distinto para cada uno de ellos, pero lo más gracioso es que, como las distros paquetizan actualizaciones de proyectos vivos es casi imposible garantizar que dos distros distintas tengan la misma versión de un paquete recién actualizado. Es bastante divertido esto.

    - Tienes razón, pero entonces no deberias de comentarlo aquí, si no el punto 6. De todas formas, a esto tambien le pasaría a un entorno con Windows XP y Windows Vista (si es que lo tiene instalado alguien)

    "pues existe una ventana de tiempo grande que va desde que el parche ( y por tanto el fallo de seguridad) es público hasta que la distro lo ha paquetizado."

    - Perfectamente comparable a la de microsoft, que hasta tienen un día al mes...


    En el caso de las redes en Spectra se usan los servidores Spectra System Center que permiten distribuir todo tipo de actualizaciones de seguridad de cualquier producto, incluido para Linux


    - Esto hay que verlo funcionando, es una maravilla. ¡Recomendado!. Más que tener un sistema Linux para los Linux, y un SUS o lo que te salga del nabo para los MS.


    "Este me encanta. Windows XP salió en Octubre de 2001 y fue construido como una evolución de Windows 2000"


    - Y Linux como una evolución de su versión 0.9. ¿Importa?


    "que tuvo el bonito nombre de SP2, con su DEP"

    - Ya hemos visto que util es el DEP en varios exploits

    "Te recuerdo que Windows Vista es de Noviembre de 2006, ha pasado un año y pico"

    - Jooooder, y a mi que todavía hay software que no me tira :DD

    "y en Windows Server 2008 Core Server puedes quitar el interfaz gráfico e Internet Explorer también."

    - juajuajua, solo han hecho falta ¿5 versiones?, enhorabuena, bienvenidos a 1995. Incluso ya teneis una linea de comandos util con el powercrap ese, ¿no?

    (SELinux) “muy cómodo todo de configurar”

    - Gracias a Dios, no es para niños.

    "¿Alguien lo ha hecho de por aquí?."

    - Los que usamos algo más alla del ratón.

    "Lo cual llevó a su CTO, Ben Chelf, a escribir este artículo: “Insegurity in Open Source”"

    -Tiene que ser tan bueno y objetivo como este sobre el que tu hablas. Seguro que tambien hay 4 mascachapas posteando en su blog sobre las chorradas que dice.

    "Bien, es una ventaja. Como hay muchos Linux, es poco probable que no se pueda hacer un troyano, un virus, un malware que funcione en todos. Cierto, pero también, es muy difícil hacer un parche que funcione en todos, hacer un driver que funcione en todos, hacer una agente de políticas de seguridad que funcione en todos, hacer un script que funcione en todos y hacer cualquier herramienta de seguridad que funcione en todos. Justo lo que quiere un administrador de sistemas para tenerlos seguros."

    -Menos lo del script, para todos SI es igual. Un driver que tira bien en 2.6.15 tira tb en 2.6.20, salvo que lo haya programado un ex developer de Microsoft, en tal caso, pasará como con los drivers de 200 y XP (esos que dices son uno la evolución del otro pero no tienen compatibilidad 100% de todos los drivers)

    "En fin, simplificar a que un producto es más seguro que otro cuando, como tu bien dices al principio la seguridad es un proceso... La seguridad depende de las personas que usan y administran los sistmeas, los procesos que se apliquen y la tecnología utilizada (estándares, productos y software propio) y por desgracia fallan más los dos primeros que el último (aunque parezca mentira)."

    - En esto tienes razón y todo, una lastima que solo critiques uno de los lados, cuando realmente lo divertido es meterse con los dos. Pero bueno, el bisnes es el bisnes, y cada uno tira hacia el suyo.

    Besitos

    ResponderEliminar
  33. La seguridad suele ser inversamente proporcional a la usabilidad y facilidad. Este es el motivo por lo que es un coñazo SELinux y tantos programas recomiendad que se desactive para rular bien.

    Este es un tema pendiente en Vista por lo que parece. A decir verdad no he tenido tiempo de usarlo aún (en cuanto tenga un hueco...), pero gente que conozco sí, y lees por ahí y hay montón de gente que se queja justo de eso.
    Y de que si los drivers no están firmados problemas y alguna cosilla más.

    PD: Felicidades, nunca había visto más de 30 comentarios :)

    ResponderEliminar
  34. @maxpowel, veo que eres un experto..., pero aun así me congratulo de haberte divertido. Así que no te voy a contestar con más argumentos del pueblo. Saludos y disfruta tu linux!. Besots!

    @penyaskito, los papelotes, te los paso, te los lees y te ahorras la enesima charla mia sobre LDAP Injection :P

    @aramosf, Feliz año "melenas", me piro a cenar, luego te contesto, que hay algunas cosas chulas, por cierto.. la semana que viene quiero hacer una quedada de despedida, estarás en Madrid? PD: No se me olvida, voy a contestarte, para seguir disfrutando el flame!!!

    ResponderEliminar
  35. Saludos a todos,

    Esto me recuerda a las discusiones del cole, cuando con 16 años discutíamos sobre si windows 98 era mejor que ME o NT, o si la Play era mejor que la Dreamcast. Podrían haber sido buenas discusiones si nos lo hubiéramos currado e investigado más a nivel técnico, pero no era así y hablábamos desde la inexperiencia personal guiados por los sentimientos.

    A la vista del post creo que Dr.Maligno esta mañana ha tenido una intensa reflexión en el trono.

    Me gusta Linux y he de admitir que los axiomas me han parecido ofensivos y absurdos. Entrar en comparaciones de este tipo haciendo generalizaciones me parecen absurdas. De echo se podría dar la vuelta al artículo diciendo que windows es más seguro porque en algunas versiones LiveCD de Linux el usuario Root no tiene contraseña.
    Por eso Yo no me voy a mojar en que es mejor y que es peor. Tengo instalado XP y 4 Distros de Linux y me he planteado instalar MacOS X, y lo cierto es que las utilizo todas (bueno casi todas, la debian está un poco desactualizada).
    Por ejemplo, la XP la empleo para ver la tele (Avermedia no hace sus programas para Linux), o para correr un programa que me recomendó Maligno cuando vino al ICAI, AiroPeek que es una maravilla.

    Bueno viendo que por el lado del mal hay quien lee a Neal Stephenson, me gustaría recomendaros un libro suyo titulado En el principio fue la línea de comandos, es un poco antiguo pero sirve para comprender el fenómeno de los SS.OO.

    Feliz Año.

    Kikeny.

    ResponderEliminar
  36. @aramosf, a tu primer comentario, es como dices, por eso lo he puesto, pq es igual en los dos entornos.

    Respecto a la ventana de tiempo… No, pq el fallo no se hace público hasta que el parche no está disponible, es distinto. En el caso de que el fallo sea público (descubierto por un tercero) y su nivel de criticidad sea alto y se esté explotando entonces se rompe el ciclo. Mientras tanto el MSRC (MS Security Response Center) y el IIST (Internet Investigation Security Team) realizan las gestiones posibles (cierre de webs, detección de bots, contacto con fuerzas del estado, etc…) para mitigar el impacto.

    Respecto a lo del XP y su evolución sí importa, pues el cambio es la TCI y el DEP es útil dependiendo de cual y el entorno del ataque. DEP no es una bala de plata, es una limitación más a la hora de la explotación.

    [joder… hasta la polla ya de leerme tus movidas… cabrón… ábrete un blog]

    ¿Quieres que te mande un técnico para configurarte bien el Windows Vista? Mira que saber configurar el SELinux y no saber configurar bien el Vista… si es que… Claro te gustan las cosas difíciles (que yo se que has quietado el elevalunas eléctrico de tu pedazo de carro) y te ponen un Vista… y no sabes..

    Ben Chelf, ya sabes que está vendido.. .de hecho un día le hicimos una visita para dejarle claro la línea editorial…

    Aramosf, lo de los parches y los drivers multiplataforma me encanta!! En primer lugar pq cada distro mantiene un entorno de versiones y librerías distinto de otra. Te voy a llevar a un cliente para que les arregles el problemilla. Sólo son un hoster hasta la polla de las actualizaciones, pero si tu dices que sí.. a lo mejor es que están haciendo el puto gilipollas. A mí, en un entorno con RedHat, Debian y Esware me las vi y me las desee para poner unos parchecitos y al final… ya ves, tuve que desinstalar las últimas versiones, y poner la misma que tenía el puñetero RedHat y sólo lo pude hacer compilando el código pues los paquetes que me daban los debían no eran compatibles con el parcche…. Y todo muy divertido… Pero seguro que era un ex developer de Spectra, ya sabes de los que no saben nada…

    Hoy, después de leer las recomendaciones de seguridad del médico le tocó a quien le tocó. … aunque estoy pensando en escribir un manual sobre trasplantes de riñones, que como me he visto Urgencias, tengo el juego de la mesa de operaciones, me he visto los dibujos de Erase una vez el cuerpo Humano y tengo la mala hostia de House, seguro que soy un referente en la Blogosphera médica…

    Saludos melenas!

    ResponderEliminar
  37. @David, Vista ha cambiado la forma de trabajar y las empresas desarrolladores de software tendrán que ponerse las pilas. En el Mes de los fallos de los kernels de los sistemas operativos muchos eran debidos a drivers...

    ResponderEliminar
  38. @Uno que pasaba por aquí,... estoy por darte mi cuenta y que postees directamente en el blog... me encanta tu comentario, deberías abrirte un blog ... o te dejo el mio!!

    ResponderEliminar
  39. Tendrian que darse cuenta algunos que viven en un mundo liberal-capitalista , que comen gracias a lo que laburan en ese mundo liberal-capitalista y que si desean cambiar las reglas desde un punto de ataque bastante singular como es el uso de un SO, no tengan la menor duda de que van a fracasar lindo. Ademas, nadie pone a punta de pistola a nadie para que use tal uno o tal otro (y no al argumento ese de "pero ahora te vienen todas con vista" porque es MENTIRA, la podes conseguir tranquilamente sin ningun SO).

    Ademas, no es que linux me caiga mal ni nada de eso, pero me da la impresión de que son un toque egoístas al desarrollar algo que solo pueda ser usado por desarrolladores. Windows sera inseguro, sin codigo abierto, vendido por una empresa cuyo unico interes es llenarse de $$, pero ellos entendieron una simple cuestion: a la gente le resulta mas facil andar formateando la maquina cada 6 meses que andar todos los dias o cada vez que se quiera instalar algo haciendo scripts o buscando tal o cual driver. es en el factor social en donde Windows es harto mas fuerte que Linux, y que e sun factor muy importante, porque un SO es el comunicador pincipal entre hombre- maquina.


    saludos

    ResponderEliminar
  40. Creo que es el 3 comentario que hago en tu entrada y te pido disculpas por ocupar tanto espacio.
    Cuanto más leo sobre esto más entiendo porque el otro día me encontré una dmz con una sola máquina pillada y reventada.
    Era un linux.
    Ni el más mínimo parcheo, ni actualizaciones ni nada.
    La razón que me dieron para tamaño disparate era que Linux es muy seguro.
    Yo les dije que hasta el Papa viaja en Papamobil y tiene la ayuda de Dios.
    ...
    Saludos Chema.
    A ver si este año comemos juntos.
    ¿por cierto que tal si os invito a café y veis algo de lo que hacemos allí?
    Igual hasta os mola.
    Preguntale al abuelo. Siempre tenemos un simo.

    ResponderEliminar
  41. Este entrada va a pasar al hall of fame o como se diga en numeros de comentarios.

    ResponderEliminar
  42. El sistema de paquetes de Debian i RedHat (i pot consigueinte sus actualizacions con "apt-get update" i "yum -u" fueron creados bastante antes de la "maravillosas" actualizaciones Windows. Si no queires tenes 50 CentOS i 50 Red Hats, pues tienes 100 distribuciones iguales, con las que podras listar realmente los paquetes que tienes y quieres, a diferencia del anonimato de Windows.
    Que windows es mas facil de uso hoy en dia es discutible con distribuciones como Ubuntu, Suse o fedora. La gente dice eso porque en la escuela y en todos los sitios so ha visto el logotipo de la ventana.
    El defecto de drivers para linux no viene de la comunidad, sino de los fabricantes de hardware. Contamos cuantos voluntarios han desarrollado drivers para windows? Contamos cuantos han tenido (por falta de interes de las compañias) que desarrollar para su hardware? La comparacion es absurda cuando es una imposicion de algunas multinacionales.
    @juan
    Dime un portatil (a parte del modelo de Dell) que no lleve Vista o XP de serie hoy en dia.
    Despues fardamos de que "nadie obliga nada a nadie"...

    ResponderEliminar
  43. @Uno que pasaba por aquí -> EL final del comentario lo mejor, sin duda. Esa acidez... me encanta.

    @Chema, si haces despedida pública avisa, que nos tomamos unas copichuelas.

    ResponderEliminar
  44. @Todos

    Estais todos locos, Solaris es la solución!!!! Porque, porque, porque...Ah si! Porque Windows es muy comercial! y porque Linux es muy complicado y no centralizado!!!

    (no va a faltar el que me va a responder eso)

    Bromas Aparte, aquí hay más información sobre el bot que atacó a 70,000+ Sitios (digo yo, para que seamos más teckies, menos religiosos):

    http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html

    Haj.-

    ResponderEliminar
  45. Ahi lo mando con link a href y cosas, ya que parece que no salió bien:

    http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html

    ResponderEliminar
  46. @Oriol, no se trata de quien pone más ganas sino de quien resuelve mejor tus problemas. “No si mi server se esfuerza mucho y los desarrolladores ponen mucha carne en el asador pero…”

    Por cierto, comprar portátiles sin sistema operativo tienes mogollón. AIRIS vende portátiles con sistema operativo opcional desde hace mucho tiempo y como él montones de empresas. ¿Será que soy el único que se fija en esas cosas? Toma te dejo un link

    Respecto a la facilidad de uso… oye.. si a ti te es más cómodo, perfecto, pero te garantizo que para el 90 % del mundo no lo es. Y respecto a los sistemas de actualizaciones, creo que no me has entendido. Verás si compras RHES y quieres la última versión de PHP o la última de mysql pues hasta que RedHat no la apruebe no la vas a tener. Para que te hagas una idea, el último parche del kernel de RHES es de noviembre de 2007 Kernel Errata y deja el kernel en la versión 2.6.18. En la actualidad va por la 2.6.23, es decir, que todas las actualizaciones de seguridad que van de la 2.6.18 a la 2.6.23 no se han aplicado. Además implica que todo el software que requiere alguna funcionalidad de las nuevas no lo va a tener (Kernel.org). En el caso de, por ejemplo, En el caso de Firefox, por ejemplo, va con la 1.5.0.12 (Firefox Errata) y Firefox creo que la rama 1.5 va por la…¿Cuál?. Este sistema obliga a que muchas empresas que dan hosting, que por eso hablábamos de CentOS al principio, se vean obligadas a introducir nuevas distribuciones, pero claro, el soporte de CentOS no es el de RedHat, así que no se puede prescindir de ninguna de las dos. Y, a lo que venía la conversación, si quieres tener servidores tú de actualizaciones, pues debes montar uno por cada distro. En Windows puedes tener Windows XP y Vista que se actulizan con el mismo WSUS (e incluso si están en diferentes versiones y diferentes idiomas…).

    Saludos Oriol!

    ResponderEliminar
  47. HOYGAN jeje es lo unico que falta xD, La verdad que es muy comico leerlos y me divierto mucho.

    gracias por hacer estas noches de insomnio entretenida

    ResponderEliminar
  48. Todo esto ta mu bonito

    Pero es prensa amarilla coma la que hace la comparativa.

    Una facil y de n00b.
    ¿Cual es el mayor quebradero de cabeza para un administrador?
    -Además de aguantar al usuario.

    Los virus :)
    Por eso es mas seguro Linux que Windows, porque ni aun teniendo el Mcafee actualizado te libras.
    Esta claro, que hay entornos con windows libres de virus. Pero ese es el principal problema.

    ResponderEliminar
  49. ¿Te refieres al que están copiando todos? Porque... claro, seguro que a tí se te ocurre uno mejor que a los pobres "tontos" de Spectra


    Pues si, va a ser que se me ocurre: Simplemente se describe el software disponible en un archivo XML que se pone en un servidor web y cuya URL provee cada programa al instalarse. Un demonio mira periódicamente esas URLS, e instala automáticamente las actualizaciones de seguridad, de drivers o de lo que haga falta. Como ves, no se trata de "rocket science": Es más o menos lo que hace APT, lo que ha hecho Google en su sistema de actualizaciones, lo que hace el vecino de la esquina. ¿Hace esto Windows hoy? No: Los programas tienen que implementar sus propios actualizadores: firefox, adobe, macromedia, sun (Por Dios, si hasta que les dió por promocionar el MSI los programas tenían que implementar....¡¡¡¡¡su propio instalador!!!!!, con las consiguientes consecuencias en la estabilidad del sistema). Existe WSUS y toda la paranoia, si....¿y a mi como posible usuario de Windows Vista Home Edition para qué carajo me sirve eso? Estamos hablando de ESCRITORIO. Microsoft simplemente no tiene una infraestructura de actualizaciones para programas de terceros, asi que me parece cómico que intentes compararlo con Linux, que si que tiene.

    Diego Calleja 1, gente superintelijente de Spectra (con sus 50.000$ millones anuales), 0. ¿Qué puedo decir? Estas cosas suben la moral.


    Perdona, pero SELinux está en RHES desde la versión 4...espera... que te la busco..sí, desde Febrero de 2005, así que lleva 2 años. ¿que de cuantos no? Antes no había ACLS ni DEP, ni nada de eso? XP tiene DEP desde el 2003 y ACLS desde 1996 (el NT 4). Creo que había betas de Longhorn ya funcionando en el 2005 con el WSH (Window Service Hardering) ... otra cosa...lo siento amigo, pero hay varios tipos de protecciones para DEP, te dejo un artículo que escribí sobre las técnicas de protección contra desbordamientos de buffer, para que veas que no sólo hay el NX. Y ASLR no depende de ningún micro, es una carga sofware, el único que necesita micro es el NX y hay desde el 2003 micros con ella.



    Me parece que estás liando bastantes conceptos aquí. SELINUX, efectivamente, lo empezó a incluir Red Hat en 2005....es decir, antes que cualquier alternativa similar de Microsoft. ¿Que había betas de Windows server en aquel tiempo? Pues mira que bien, puestos a tirar de Betas, betas de RHAT 4 tambien había desde antes. De hecho, puestos a ser tiquismiquis, SELinux existe desde el 2000.

    En cuando a ASLR, jamás he dicho que dependa del micro. Pero puestos a curiosear con ASLR....en Linux está en el kernel principal desde Linux 2.6.12, Fedora Core 1, RHEL 3 Update 3 y RHEL 4. Vaya, mucho antes que la implementación de Microsoft en Vista.


    Al igual que con SElinux, me siento tentado a seguir utilizando linux por la simple razón de que incorpora tecnologías de seguridad más rápidamente. Me siento más seguro, como si utilizara tampax.


    Si miras el BugHunting creo que sólo el kernel tenía más de 300 ¿no?

    Gran parte de ellos de drivers y arquitecturas varias que Microsoft obviamente no cuenta en su haber con Windows.

    ResponderEliminar
  50. Diego, perdona, pensé que eras técnico y que se podía hablar contigo. Verás, es que.. instalar un parche no es sólo bajarselo y hacer doble clic. Ese sistema tan bonito que dices exigiría certificación de software para que no generase incompatibilidades con otros programas. Habría que firmar los servidores para evitar el evilgrade.... en fin. Desarrollate tú tu sistema así de fácil. El día que Spectra lo haga... lo hará bien, seguro..

    SELinux ofrece cosas que ya tenía windows NT y algunas otras cosas que tiene XP en el SP2, Windows Server 2003, ... en fin, ya si eso, te instalas un dia un SELinux y lo configuras y me cuentas.


    En cuando a ASLR, jamás he dicho que dependa del micro. Pero puestos a curiosear con ASLR....en Linux está en el kernel principal desde Linux 2.6.12, Fedora Core 1, RHEL 3 Update 3 y RHEL 4. Vaya, mucho antes que la implementación de Microsoft en Vista.

    Vaya, vaya, mira RHEL 4 se quedó en el 2.6.9 y con el 2.6.12 viene de serie según tú el ASLR... mmmm algún cálculo se te va amigo..

    Sí, la gran parte de los bugs en el kernel son "pelillos a la mar", venga, cuentame los fallos del kernel de vista, venga... ;)

    SAludos diego!

    ResponderEliminar
  51. @Oriol

    Mira, yo soy de Argentina. Aca hay una marca nacional (que en realidad como es de esperar solo ensambla) llamada Banghó cuyas pcs vienen sin SO y, por consiguiente,sin el plusvalor que la traída del SO conlleva. Tengo un amigo de la facultad que estudia ing industrial y trabaja en una de las oficinas que esta empresa tiene en la capital. Cualquier cosa por si no me crees podes verlo en www.bangho.com.ar

    saludos

    ResponderEliminar
  52. Vale.

    Supongamos un instante que Linux es
    más seguro y mejor desarollado que
    Windows (hay suposiciones que no soy
    capaz de concerbir ni soñando).
    Supongamos que el software libre es
    más seguro, se actualiza y parchea más y mejor que el software de pago
    sin reunir esas docenas de vulnerabilidades incluso muy graves
    y sin resolver mientras aparecen otras nuevas, como se puede ver en la página de Sourceforge. (Insisto
    que suponer por suponer me cae fatal).
    Supongamos que estamos formateando
    Windows por una infección contraida
    porque como todo buen pingüinero sabe: Windows= virus. Nooo?. (Lo
    que no quieren saber ellos es que
    aparecen comparativas en la red con el primer año de vida de los 2 últimos SO de Microsoft y Mac: donde podéis observar que los de Mac tienen más y más graves vulnerabilidades que los de Redmon).
    Bueno.
    Vámonos a Chukufruntu mientras tanto a usar esos magníficos driver
    de tarjetas gáficas nativos. Bien.
    Juguemos Call of Duty 4, Stranglehold, Clive Barker's Jericho, Unreal Tournament 3, Gears of war, Halo 3, Rainbow Six Las Vegas, Half life 2 episode 2, Timeshift, Enemy Territory Quake Wars, Bioshock,Ghost Recon Advanced Warfighter, Crysis...
    AHH!!!!, Claro!, es que Linux no
    ha sido concebido como una experiencia multimedia completa, y
    la parte de videojuegos se reduce
    a jugar un clon remozado del Pac Man de Atari a finales de los años 70, donde Pac Man ahora es Tux y los fantasmas: logotipos de Windows
    95.

    Conclusión:yo prefiero el Windows
    menos configurado y con menos HARDENING de la galaxia que el más blindado y tuneado Linux, porque a mí nadie me roba una experiencia multimedia COMPLETA.

    Beryl es una gota de 3D en el océano tridimensional de CRYSIS.

    Cualquier usuario que detecte la
    terrible pérdida que significa no tener una experiencia multimedia Completa siempre puede venir a VENTANAS, o hacer como casi
    todos los pingüineros hacen: mantienen preparada su partición con XP, "por si acaso".
    En la última estadística de computación mundial se demuestra que hay más usuarios de Linux que de Windows 98: ENHORABUENA CAMPEONES!!!, ya sólo estáis por debajo de los que usan Windows 2000, Vista y XP, ánimo figuras que vosotros sí sois los "auténticos".

    ResponderEliminar
  53. Juan dijo...

    Ademas, no es que linux me caiga mal ni nada de eso, pero me da la impresión de que son un toque egoístas al desarrollar algo que solo pueda ser usado por desarrolladores. Windows sera inseguro, sin codigo abierto, vendido por una empresa cuyo unico interes es llenarse de $$, pero ellos entendieron una simple cuestion: a la gente le resulta mas facil andar formateando la maquina cada 6 meses que andar todos los dias o cada vez que se quiera instalar algo haciendo scripts o buscando tal o cual driver. es en el factor social en donde Windows es harto mas fuerte que Linux, y que e sun factor muy importante, porque un SO es el comunicador pincipal entre hombre- maquina.

    perdón?? para desarrolladores?? no entiendo como pueden decir eso todavía.. yo la verdad es q soy un newbie en lo que a informática se refiere, pero algo cazo.. Uso linux (ubuntu y Suse) y no tuve problemas en la transición de windows a linux.. No, no soy ingeniero en informática ni nada x el estilo.. soy un vago que se calentó en aprender algo distinto, en no quedarse conforme con lo que le ofrecían y buscar algo mejor. Si bien estudio Ingeniería en Sistemas, todavía no vi una materia de programación.. xD

    En fin, quería aclarar, para los que dicen "Windows es más fácil", tendrían que decir: "Me acostumbré a trabajar en Windows".. no es lo mismo..

    Por problemas de seguridad (véase un lammer que jodía y quería robar info) mi novia tuvo que usar linux un buen rato, y es un queso en lo q respecta a informática. Sin embargo no tuvo ningún drama y lo usó normalmente.

    Ese argumento se lo puedo aceptar hace unos años.. pero a estas alturas de la vida...

    ResponderEliminar
  54. @Juan,

    a estas alturas de la vida yo estoy usando Ubuntu y... sí, es menos usable que Windows mil veces. Lee mis posts de la wifi en Ubuntu y aporta lo que creas al tema.

    Saludos!

    ResponderEliminar
  55. Para el pringaete este, porque linux es mas seguro en rapidamente.

    1.-Porque como bien dices al final es imposible crear un virus para todos, al igual que los drivers... bien, pero los drivers me los compilo yo y pista, y no no me voy a compilar un troiano para mi, porque no soy gilipollas.

    2.-Porque tengo una 'utilidad'(en realidad seria un .txt del windows) llamada IP TABLE que si no apreces en ella ya puedes llorar, pegar y patalear que no entras en mi PC ni a tiros.

    3.-Porque soy un tipo con 2 dedos defrente y uso contraseñas de fortaleza maxima, tanto para root como para user, y que quieres que te diga, necesitas loque viene siendo tanto tiempo como que estarias muerto para descifrarlas.

    4.-Porque gracias a el scripting iniciales mas te vale que sigas ciertas rutinas a la hora de entrar en mi pc sino te echa y cambia la contraseña mandandola a mi mail.

    5.-Simplemente ya, personamlente, prefiero un pinguino qye pega picotazos que saltar por una ventana... jejeje

    para terminar, si quieres usar windows tu mismo, es seguro, si pero no tanto como deveria.
    Quieres usar Linux perfecto, es serguro, depende, puede ser todo lo seguro que tu quieras o puedas hacerlo.

    Un saludo Linux $user as #root of universe...

    ResponderEliminar
  56. @No-Name, eres un crá de "pringaete" tú también. ¡Qué arte tienes!

    Saludos Malignos!

    ResponderEliminar
  57. En toces q es recomendable Linux o Windows

    ResponderEliminar