Reflexiones sobre la seguridad en el año 2003

En el ejemplar de una-al-dia de Hispasec número [url=http://www.hispasec.com/unaaldia/1930]1930[/url] del 6 de febrero de 2004 , Jesús Cea [email]jcea@hispasec.com[/email] comenta algunas líneas sobre 3 estudios sobre la seguridad, concretamente la seguridad de entornos Windows, Linux y Wireless.

Sin entrar a valorar los análisis de [url=http://www.net-security.org/article.php?id=621]Windows[/url] y [url=http://www.net-security.org/article.php?id=624]Wireless[/url] los cuales están disponibles para su lectura, comentaremos un poco la retrospectiva de seguridad [url=http://www.net-security.org/article.php?id=623]Linux[/url] [b]El artículo habla de varios aspectos: el primero tratado es acerca del patching o parcheo de seguridad[/b]. El contenido está orientado a discutir los distintos puntos de vista que la actividad de parcheo requiere, destacando el coste de investigación y desarrollo para suministrar los parches, la moralidad o necesidad de parchear lo defectuoso y distribuirlo gratuitamente, las expectativas de que sean un mayor número de usuarios los que intervengan en el proceso de parcheo en la red de colaboración, etc.

[b]A continuación, el artículo refleja la situación del eterno dilema «mi sistema es mejor que el tuyo» el cual podríamos trasladar cómodamente a: ¿Linux o Windows?[/b]. Se comenta la certificación Common Criteria obtenida en Agosto, que permtie a Linux la posibilidad de ser empleado en sistemas sensibles en Estados Unidos. Algunos columnistas citados destacan igualmente que el debate ni siquiera existe, dando por hecho de que Windows no puede competir en materia de seguridad con Linux, pero sí en marketing y penetración de mercado. Se resume como gran virtud del modelo de código abierto su disponibilidad para ser escrutado y por tanto, sometido a más «mentes pensantes» que analicen el código.

[b]El artículo comenta igualmente los compromisos de seguridad serios que afectaron a parte de la infraestructura de Debian y de Gentoo Linux[/b]. Los comentarios al respecto poco más o menos hablan de que este tipo de incidentes son menores y que lo que está en juego con el modelo open source es la integridad a escala mundial de los usuarios. Quizás con el dato de que por cada servidor web IIS de Microsoft hay 5 servidores Apache, se trate de camuflar un hecho realmente grave, como el compromiso acontecido en las citadas infraestructuras.

[b]Se hace igualmente un análisis sobre virus[/b], comentándose debates como por ejemplo cúantos virus explotan vulnerabilidades en entornos Unix y cuántos lo hacen en Linux. Se hace una distinción entre virus y troyanos, justificandose parcialmente que un virus se propaga por abrir «attachments» de un correo y que un troyano puede ser introducido por una política de seguridad insuficiente. Quizás la diferencia sea la explotación por virus, ya que realmente, los usuarios de Linux no precisan de antivirus, si bien están igual de expuestos a la introducción de sniffers, backdoors, y demás servicios de intrusión de red que los comprometen. Se argumenta nuevamente el coste billonario de las fallas de seguridad y de indisponibilidad producidas por virus emitidos y recibidos vía email, en entornos Windows.

[b]El artículo concluye buenos augurios para el núcleo 2.6.0. y el abordaje definitivo de los sectores donde Linux sigue siendo poco aceptado[/b], como por ejemplo PYMES y usuarios finales, pasando por un acentuamiento de las prestaciones del núcleo 2.6.0 para entornos corporativos.

Desde mi punto de vista, el artículo no es malo pero basa demasiado sus argumentos en «Es que Windows….» «Es que Microsoft…»

Los usuarios que tratamos los sistemas sabemos que prestaciones, ventajas e inconvenientes tiene cada plataforma. Se echa un poco más en falta una argumentación más limpia y más alejada de la comparativa en estos temas. Igualmente echo en falta una mayor profundidad en cifras de costes, relativas al empleo de software libre respecto al software de pago.

Saludos