Nadie es tan bueno como cree ni tan malo como dicen
Hola, no hablaba de vulnerabilidades hace mucho tiempo, al menos no de sistemas operativos, pero bueno haremos lo que se puede, esto por pedido de Víctor Saravia y también por algunas conversaciones de mi compadre Loayza, ambos de la prestigiosa Universidad UPAB. Y también dedicado para los aficionados que nomas saben criticar tecnologías sin saber ni siquiera lo que están diciendo, lo digo porque siempre escucho cosas tan tontas a mi parecer como un “Arriba Linux, es lo máximo, Windows es de lo Peor”, “Arriba PHP, java y ASP.NET no sirven para nada”, “arriba y mas arriba” incluso de los que dicen ”Microsoft o Muerte Jaja”…
Tengo alguito de experiencia en la industria de TI y les comento que cuando tengo un sistema que atender en J2ee simplemente los atiendo, no interesa que este en .NET, 6.0 Mono, etc, etc, lo que en realidad interesa es la solución y no perderse en estos temas, pues las empresas nos pagan para lo primero.
Pero como ustedes me conocen tengo una especialización en tecnologías Microsoft, trato de conocer “hasta las tripas” de la misma, por eso mismo conozco muchas deficiencias y obviamente virtudes de esta tecnología (de eso vivo obviamenteJ), pero no por eso tampoco les voy a “Vender” cosas que no son, al fin son alumnos y deben de aprender de todo, entonces hablemos a “secas” y sin desesperarnos ni caer en “hinchadas” de ninguna tecnología.
Soy de las personas que cree que lo que uno dice es muy importante, por eso no me atrevo a decir que una tecnología es "superior" a la otra ni que algo es “súper”, para mi todas son complementarias, y obviamente algunas nos dan alguna facilidad que buscamos entre las otras o quizá algo más de potencia, o lo que en si estamos buscando. Si es así, entonces lo mejor es conocer más tecnologías para poder tener una apreciación más amplia de esta complejidad de decisiones que los profesionales de la industria de la información tienen día a día.
Este Post está escrito y dedicado a la comunidad Universitaria de UPAB – Chincha (www.upab.edu.pe), y como siempre les digo (“no soy de prestarme de otros copyrigth’s y ponérmelos como si fueran mios”), además no tengo mucho tiempo en estos momentos ya que aun estoy digiriendo todo el pavo de fiestas navideñas, de otro modo seria más extenso en este tema, por eso para resumir y hacerlo mejor citare al célebre post de mi amigo Argentino Daniel Seara, por muchos años MVP.
El post se ajusta al tema en conversación y se titula asi:
“Nadie es tan bueno como cree ni tan malo como dicen “
Inspirado en las palabras de mi amigo Daniel Seara.
Desde que se comenzó a hablar de vulnerabilidades, siempre de dijo y se dice que Microsoft es sinónimo de vulnerabilidades, y esto quizás no sea tan así.
Ante todo me declaro anti-nadie, pues creo que en muchos casos la mejor solución para nuestra compañía puede ser aquella que este en la plataforma de enfrente.
También creo que los pro-microsoft o los pro-linux se rasgan las vestiduras y en realidad no se han sentado a pensar cuales son las diferencias.
Mi hipótesis es la siguiente: Microsoft no debe ser tomado como el malo de la película pues si bien tiene muchas vulnerabilidades, el resto también las tiene y a medida que pasa el tiempo, si observamos bien las comenzamos a ver.
Si analizamos el ranking de vulnerabilidades por productos del NIST ( Instituto Nacional de estándares y tecnología de los Estados Unidos ) dentro del cual se encuentra el servicio de ataques y vulnerabilidades del gobierno de los Estados Unidos nos encontraremos con una sorpresa.
Viendo los primeros diez productos veremos que el tan odiado Windows NT esta tercero con 182 vulnerabilidades, Windows 2000 quinto con 158 y Windows XP y ahora Windows Vista
19 con 54. Primero y segundo tenemos a Sun Solaris con 202 y Linux Redhat con 193. Con lo cual a nivel de sistema operativo la disputa respecto de quien es menos vulnerable la estaría ganando sorpresivamente Microsoft.
Ahora bien si analizamos la misma estadística de la misma fuente pero por Vendor veremos que ahora si Microsoft se encuentra primero con 1244 vulnerabilidades en toda su línea de productos.
Sabemos que la línea de productos que Microsoft posee es mas numerosa que la del resto,pues abarca desde el desktop cliente o un PDA hasta un servidor de misión crítica, aunque esto no debería ser un justificativo para que esta empresa venda productos sin su correspondiente control de calidad.
En lo que a Sistema operativos respecta, evidentemente Microsoft mejoro muchísimo con Windows 2000, Windows XP y Windows 2003, superando a Linux y Solaris mismo en lo que a vulnerabilidades respecta.
Es un horror que Internet Explorer tenga mas vulnerabilidades que Windows 2000 pues obviamente a nivel de diseño un sistema operativo es mucho mas complejo y extenso que un Web Browser. Ahora bien en defensa de IE diremos que es sin duda el explorador de internet mas usado, con lo cual no sabremos que pasa con los otros hasta que esta tendencia cambie.
Y podríamos seguir sacando conclusiones, pero luego de ver y leer bastante llegamos a dos fundamentales:
a) Todas las plataformas son vulnerables. El problema no son las plataformas sino los administradores. Mas allá de los gustos de cada uno, un buen administrador de un sistema Microsoft lo puede hacer tan seguro como uno de Linux o OS/400, o SUN. Un mal administrador por mas que le demos la mejor plataforma sin ninguna vulnerabilidad, hará de esta plataforma una plataforma insegura.
b) Uno es vulnerable en la medida que se exponga. Es decir no podemos hablar de vulnerabilidades en servidores web basados en OS/400 contra otros servidores Web, pues claramente los servidores basados en OS/400 tienen un nivel de exposición mucho menor a los basados en Microsoft y Linux existentes. Expongamos durante un tiempo una cantidad significativa de servidores web bajo OS/400 y seguramente comenzaran a surgir las vulnerabilidades.
Hoy existen antivirus para Linux, OS/400, cuando al principio supuestamente la plataforma sinónimo de virus era Microsoft. ¿Por qué este cambio? Porque el resto de las plataformas comenzaron a utilizarse como file servers, a estar expuestos a Internet, a hacerse cada vez mas abiertas y al hacerse abiertas comenzaron a ser mas vulnerables.
Para terminar, a veces es bueno escuchar y luego analizar un poco lo que se escucha. Nadie es tan malo como cree ni tan bueno como dicen. El secreto pasa por una buena administración, políticas y buenas prácticas claras.
Quien administre plataformas y posea estas buenas costumbres no tendrá problemas en hacer segura cualquier plataforma. Quien no, le seguirá echando la culpa a los vendors de hardware y software....
--------------------------------------------------------
Ok , ya vieron lo que tenían que ver, ahora analizenlo, con esto me despido y será hasta la próxima ¡!
Atte,
Ing John Suarez