{"id":615,"date":"2007-08-21T18:33:21","date_gmt":"2007-08-21T21:33:21","guid":{"rendered":"http:\/\/www.maurom.com\/blog\/?p=615"},"modified":"2013-09-03T17:56:59","modified_gmt":"2013-09-03T20:56:59","slug":"operating-system-vulnerability-scorecard-y-las-conclusiones-apresuradas","status":"publish","type":"post","link":"https:\/\/maurom.com\/blog\/2007\/08\/21\/operating-system-vulnerability-scorecard-y-las-conclusiones-apresuradas\/","title":{"rendered":"Operating System Vulnerability Scorecard y las conclusiones apresuradas"},"content":{"rendered":"

Desde hace unos meses Jeff Jones, el Director de Estrategia en la Microsoft Security Technology Unit, viene publicando un reporte de vulnerabilidades<\/a> en su blog en Microsoft TechNet<\/a>. He le\u00eddo sus reportes y en general presentan a Windows como la plataforma m\u00e1s segura, etc… lo cual no me parece mal, al fin y al cabo todo es marketing y es v\u00e1lido.<\/p>\n

No voy a desacreditar los informes que este se\u00f1or publica, por lo menos no yo pues no soy ning\u00fan especialista en el tema. El problema que yo encuentro aqu\u00ed radica que cualquier desprevenido puede leerlos, sacar conclusiones erradas, y salir muy contento a pregonear que el Windows que tienen en casa es m\u00e1s seguro<\/span> que todos esos linux que escuchan en la calle. Ya he visto algunos posts en blogs en castellano del estilo \u201cal\u00a0final ten\u00edamos raz\u00f3n\u201d, \u201clo de la seguridad de linux era mentira\u201d, bla, bla…<\/p>\n

En realidad, voy a hacerles notar algunos recaudos que deben tener en cuenta antes de leer informes de este estilo, para no sacar conclusiones apresuradas y volver a caer siempre en el mismo enga\u00f1o. Para ello me hago eco de un art\u00edculo de opini\u00f3n de Davey Winder publicado en DaniWeb<\/a> con el que coincido bastante. Transcribo aqu\u00ed parte del art\u00edculo original (\u00e9nfasis agregado por mi):<\/p>\n

\u201c… La suposici\u00f3n [que los lectores pueden desprender de los informes] est\u00e1 basada en datos de investigaci\u00f3n concernientes a vulnerabilidades que requieren un parche, o para ser absolutamente claro luego de revisar la declaraci\u00f3n de metodolog\u00eda<\/a> c\u00f3modamente publicada por Jeff en un sitio diferente, que han sido arregladas por el proveedor<\/span>.<\/p><\/blockquote>\n

\u201cY cito: \u00abLas vulnerabilidades incluidas en el an\u00e1lisis solo incluyen aquellas para las cuales el proveedor ha confirmado aplicabilidad, t\u00edpicamente v\u00eda una advertencia de seguridad o un parche. El an\u00e1lisis no incluye las vulnerabilidades<\/span> reveladas p\u00fablicamente durante el per\u00edodo que a\u00fan no han sido arregladas por el proveedor<\/span>\u00bb. Entonces, para ser breve, [el informe incluye] las vulnerabilidades que han sido arregladas por el proveedor, pero no los 0-day exploits<\/a> ni las vulnerabilidades conocidas pero no oficialmente confirmadas v\u00eda advertencia, no importa hace cuanto se conozcan: s\u00f3lo figuran las que el proveedor ha arreglado<\/span>.\u201d<\/p>\n

En el art\u00edculo de DaniWeb hacen referencia a Secunia<\/a>, un sitio que muchos conocemos desde hace bastante, pero que siempre es bueno volver a visitar. Cito: \u201cSecunia publica informes independientes de vulnerabilidades listadas tanto por proveedor como por producto, y mantiene archivos hist\u00f3ricos de ello, lo que lo hace una lectura interesante y brinda una perspectiva diferente al cuadro de seguridad [que vimos].\u201d<\/span><\/p>\n

De all\u00ed est\u00e1n tomadas los datos del art\u00edculo de opini\u00f3n, y de ah\u00ed surgen los datos que publico a continuaci\u00f3n (cabe aclarar que la informaci\u00f3n es del d\u00eda 22\/08\/2007 y puede haber variado a la fecha).<\/p>\n

Al d\u00eda de hoy, Secunia informa que Windows XP Pro, presenta 188 advertencias, de las cuales 29 a\u00fan no han sido arregladas<\/a> -un 15% del total- . En el caso de Windows Server 2003 Standard Edition, 8 vulnerabilidades de 135 a\u00fan no tienen parche<\/a> -un 8% del total-.<\/p>\n

Para comparar Red Hat Enterprise Linux 4 presenta en Secunia 314 vulnerabilidades todas ellas arregladas<\/a>. Debian 4.0 Etch por su parte, presenta 68 advertencias, tambi\u00e9n todas arregladas<\/a>.<\/p>\n

Vuelvo al art\u00edculo de opini\u00f3n:<\/p>\n

\u201c… Esto me sugerir\u00eda [dice Davey] que Red Hat es realmente m\u00e1s seguro que Windows, si queremos seguir el consejo de no simplificar la seguridad al punto de la inutilidad, pues la capacidad y voluntad de un proveedor para arreglar r\u00e1pidamente las fallas encontradas debe tomarse en cuenta en cualquier observaci\u00f3n seria al argumento de seguridad. Efectivamente, los tiempos de respuesta del proveedor son la clave cuando todos acuerdan que es pr\u00e1cticamente imposible escribir c\u00f3digo 100% seguro. La m\u00e9trica real de seguridad es cu\u00e1n r\u00e1pido llegan los parches al usuario: ignorar las vulnerabilidades que a\u00fan no han sido arregladas reduce el informe original a no ser m\u00e1s que FUD<\/a>.<\/p><\/blockquote>\n

\u201c… si uno se toma el tiempo de leer entre l\u00edneas y hurgar un poco m\u00e1s profundamente en lo que se est\u00e1 informando, puede descubrir que lo que realmente dice [el informe] es que los proveedores de Linux son m\u00e1s eficientes que Microsoft en lo que respecta a anunciar fallas y arreglarlas.\u00a0\u201d<\/p>\n

En concordancia al art\u00edculo, es innegable que todos los sistemas operativos tienen fallos<\/span> (hasta OpenBSD tuvo los suyos<\/a>), pero creo que no s\u00f3lo importa cu\u00e1ntos tengan, sino tambi\u00e9n qu\u00e9 gr<\/span>avedad tienen<\/b> y cuanto tarda el proveedor en arreglarlos<\/b>.<\/p>\n

En fin, lean dos veces lo que encuentran en Internet<\/span>, que hasta este post tiene sus errores.<\/p>\n","protected":false},"excerpt":{"rendered":"

Desde hace unos meses Jeff Jones, el Director de Estrategia en la Microsoft Security Technology Unit, viene publicando un reporte de vulnerabilidades en su blog en Microsoft TechNet. He le\u00eddo sus reportes y en general presentan a Windows como la plataforma m\u00e1s segura, etc… lo cual no me parece mal, al fin y al cabo […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[5,3],"_links":{"self":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts\/615"}],"collection":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/comments?post=615"}],"version-history":[{"count":0,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/posts\/615\/revisions"}],"wp:attachment":[{"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/media?parent=615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/categories?post=615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/maurom.com\/blog\/wp-json\/wp\/v2\/tags?post=615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}