-
Hola:
Lo de los agujeros de Windows se extiende incluso a los productos estrella que tanto promociona Bill Gates. Si al desayunar caía en uno, después de comer me encontré con esto en MAKY PRESS 10/01/2002:
PASAPORTE .NET AL INFIERNO, POR GONZALO ALVAREZ MARAÑÓN
¿Se imagina disponer de un solo nombre de usuario y contraseña
que sirviera para entrar en todas partes? En el ordenador
personal, en el teléfono móvil, en el PDA, en las cuentas de
correo de Internet, en los sitios web de pago, en definitiva, en
todas las máquinas y servicios. Pues Microsoft ya lo ha imaginado
y hasta ha bautizado a la tecnología: Passport .NET.
En palabras de Microsoft, "Passport es un servicio en línea que
hace posible que pueda utilizar su dirección de correo
electrónico y una única contraseña para iniciar una sesión de
forma segura en cualquier servicio o sitio Web participante de
Passport."
Según Microsoft, gracias a Passport se implantará en Internet el
inicio de sesión único. Es decir, el usuario con una cuenta de
Passport entrega sus credenciales una sola vez en un solo sitio y
a partir de ese momento puede autenticarse de forma transparente
en todos los demás sitios que participen en la iniciativa. La
gran ventaja de este enfoque es que los usuarios solamente se ven
obligados a recordar una única contraseña, que les permitirá
autenticarse en múltiples sitios.
Passport fue diseñado para utilizar las tecnologías web
existentes en el momento actual con el fin de no reinventar la
rueda ni imponer tecnología propietaria. En concreto, la
redirección automática con HTTP, JavaScript, cookies y SSL. No
obstante, se indica que JavaScript no resulta estrictamente
necesario, aunque sí muy recomendable.
Cuando un usuario visita un sitio web participante de Passport y
necesita autenticarse para, por ejemplo, realizar una compra o
leer su correo, el sitio web del comerciante redirige el
navegador del cliente a un servidor de autenticación de Passport.
Este servidor le presenta al usuario una página de inicio de
sesión, cuyas credenciales serán protegidas a través de un canal
cifrado con SSL. Si las credenciales suministradas por el usuario
son válidas, el servidor de Passport redirige al usuario
nuevamente al sitio del comerciante, incluyendo la información de
autenticación en la cadena de redirección. Para evitar que sea
interceptada, esta información se cifra utilizando triple DES con
una clave sólo conocida por el servidor de Passport y del
comerciante. Una vez de vuelta en el servidor del comerciante,
éste le envía al navegador del usuario una cookie cifrada con la
información de autenticación.
De esta manera, en sucesivas visitas al sitio del comerciante ya
no es necesario autenticarse de nuevo, puesto que las
credenciales se leen de la cookie cifrada que el navegador envía
al sitio en cada petición.
Por otro lado, el servidor de Passport también le envía una
cookie cifrada con una misma clave maestra al navegador. Si el
cliente visita un nuevo sitio afiliado a Passport, no tiene que
volver a introducir su nombre de usuario y contraseña, ya que se
leen de la cookie cifrada que Passport le envió la primera vez.
En esta segunda ocasión y en las sucesivas, el servidor de
Passport verifica las credenciales de la cookie y si son
correctas redirige de nuevo al usuario al servidor del
comerciante sin pedirle nuevamente que se identifique.
Además de la autenticación única, Passport ofrece el servicio de
cartera en línea. La cartera de Passport permite almacenar
información sobre tarjetas de crédito y direcciones de envío y
facturación en una ubicación en línea supuestamente segura, junto
con el resto de la información del perfil. En teoría, sólo cada
usuario particular (y Microsoft) tiene acceso a la información de
su cartera de Passport. Cuando el cliente desea realizar una
compra en un sitio participante, puede tener acceso a esta
información y enviarla al vendedor instantáneamente y
supuestamente con total seguridad, sin tener que escribir de
nuevo la información de pago, sin más que pulsar un botón.
Pero no es oro todo lo que reluce. El 5 de noviembre de 2001,
Marc Slemko (http://alive.znep.com/~marcs/passport/) publicó un
ataque sobre Passport que obligó a Microsoft a cerrarlo durante
horas para mitigar (aunque no solucionar) el problema descubierto
y explotado por Slemko. El ataque constaba de cuatro pasos.
Primero, la víctima inicia una sesión con Passport para entrar en
su cuenta de Hotmail, la aplicación insignia de Microsoft para
ilustrar las bondades de su tecnología de inicio de sesión único
(Single Sign-In). La víctima además ha introducido sus datos
confidenciales en su monedero de Passport. Antes de que
transcurran 15 minutos desde que inició su sesión en Hotmail, lee
un mensaje de correo electrónico que le ha sido enviado por el
atacante y que esconde un IFRAME oculto, aprovechando un fallo en
la validación de entrada de Hotmail.
Como consecuencia de la lectura de este mensaje, el usuario
cargará en su navegador sin saberlo una página procedente del web
del atacante. Esta página contiene dos frames. El primero permite
robar la cookie de Passport con la contraseña cifrada del
usuario. El segundo frame explota un agujero de Cross-Site
Scripting (http://www.cert.org/advisories/CA-2000-02.html) que
permite ejecutar un script creado por el atacante para robar las
cookies.
Este script se ejecuta en el contexto de seguridad de la página
de Passport y como consecuencia se envían las cookies desde el
frame superior a un script en cgi en el servidor del atacante que
las almacena en un archivo.
Una vez en su poder con las cookies que identifican a la víctima
ante Passport, el atacante puede utilizarlas con un navegador
para acudir a un sitio participante de Passport y navegar hasta
la página de pago de una compra para que aparezca la información
confidencial de la víctima. La pobre víctima no se ha enterado de
nada. Simplemente leyó (sin hacer clic en ningún enlace) un
correo que le fue enviado.
Si este ataque parece demasiado complicado, existen otros,
publicados por Jouko Pynnonen el 8 de noviembre de 2001
(http://www.solutions.fi/iebug/) y por Slemko
(http://alive.znep.com/~marcs/security/iecookie2/), el 15 de
noviembre de 2001, que permiten robar las cookies de otras
maneras igualmente imaginativas desde un dominio distinto de
aquel para el que han sido emitidas. Estos ataques parecen haber
hecho temblar a Microsoft, hasta el punto de que ya Passport ha
dejado de funcionar. Ahora ya no recuerda la contraseña de los
usuarios y cada vez que se salta de un sitio participante de
Passport a otro, se le pide al usuario nuevamente la contraseña.
El sueño de Microsoft se ha hecho añicos. Adiós a Passport .NET.
Una vez más, se demuestra que vender la piel del oso antes de
cazarlo es, como mínimo, una mala manera de hacer marketing. La
Web es demasiado compleja y se presentan demasiados problemas
como para solucionarlos con dos cookies y un par de líneas en
JavaScript. El inicio de sesión único, esto es, un solo nombre de
usuario y una sola contraseña para un acceso universal a máquinas
y servicios, tendrá que esperar aún
más.
Saludos
:confused:
-
Hola:
Repaso las noticias de la semana de IBLNEWS, Agencias y me encuentro con las siguientes joyas de Windows:
Un fallo en un servidor de Microsoft impide bajarse el 'parche' del XP
Martes, 15 enero 2002
El problema, descubierto el jueves pasado, surgió cuando los ingenieros trataban de actualizar software en un servidor, agregó la portavoz, que dijo que se esperaba que el fallo quedara corregido pronto. No pudo confirmar la cantidad de personas afectadas por el problema, pero alrededor de ocho millones bajan actualizaciones para Windows XP cada semana, según informa la agencia EFE. La noticia no cayó bien a los usuarios de Windows XP, que están expuestos a dos peligrosas brechas de seguridad anunciadas por la compañía el mes pasado.
Por si acaso resultaba poco, nos encontramos con lo siguiente:
Windows XP es compatible con muy poco
Jueves, 17 enero 2002
Aunque Microsoft está publicando "actualizaciones silenciosas", disponibles en su sitio Windows Update, es posible que el software o el hardware que usted tiene en su computadora no se encuentre entre los paquetes que respalda XP.
Antes de adquirir Windows XP, es conveniente saber con exactitud qué es lo que podría ocasionarle problemas. De otro modo, podría usted pasarse días antes de saber que XP no está preparado para su software. En nuestra columna de hoy pasamos revista a algunas de las incompatibilidades ya conocidas.
Los usuarios de popular Easy CD Creator de Roxio están pasando malos tiempos con el paso a Windows XP. Primero, Windows XP no respalda las versiones 3.x y 4.x de Easy CD Creator, y no hay planes para que las respalde.
La última versión, Easy CD Creator 5.x, es compatible con Windows XP sólo si se transfiere el parche de compatibilidad con XP en el sitio Web de Roxio (www.roxio.com). Si usa usted este programa, lea cuidadosamente las instrucciones en el sitio Web antes de usar los parches, porque tendrá que seguir un proceso doble para asegurarse tal compatibilidad con XP.
Symantec, fabricante del popular programa Norton antivirus, ha colaborado estrechamente con Microsoft para asegurarse que, entre sus productos, todos los que llevan la etiqueta "2002" sean compatibles con Windows XP. Lamentablemente, ninguno de los programas anteriores de Symantec es compatible, y la empresa no tiene planes para reactualizarlos.
Esto quiere decir que, si tiene usted una versión antigua de uno de los programas antivirus de Symantec, tendrá que comprar una versión reactualizada - a un precio de alrededor de 30 dólares (unos 33,95 euros). Para cerciorarse, consulte el sitio Web de Symantec (www.symantec.com).
McAfee, otro pionero en la edición de programas antivirus, ha anunciado que su VirusScan Online es el único servicio Web de McAfee.com actualmente compatible con Windows XP. Versiones anteriores del programa de protección antivirus de McAfee precisan una reactualización para ser compatibles.
Adobe es el fabricante de las más populares aplicaciones gráficas y multimedia, como Photoshop, Illustrator y Premiere. Adobe ha puesto en claro que para sus productos no desarrolla versiones nuevas para enfrentar problemas de compatibilidad con un sistema operativo. Esto, en buen español, quiere decir que, si usted encuentra que uno de estos programas tiene problemas de compatibilidad con Windows XP, tendrá que esperar que Adobe saque una nueva versión compatible - y pagar por ella o por la actualización de su software.
Las últimas versiones de Photoshop, Illustrator y Premiere, sin embargo, parecen trabajar bien con Windows XP. Pero los fabricantes de software Software no son los únicos que tienen problemas de compatibilidad con Windows XP. Los fabricantes de hardware, en especial de laptops, están teniendo dificultades con las llamadas de miles de usuarios que enfrentan problemas con Windows XP.
Tal es el caso de Toshiba. Se ha informado que numerosas computadoras portátiles de Toshiba están teniendo importantes problemas de compatibilidad con Windows XP. Hay usuarios de laptops de Toshiba que se quejan de que computadoras que funcionaban bien con las versiones anteriores de Windows tienen ahora problemas para ser puestas en estado de suspensión o incluso para ser cerradas en determinadas circunstancias.
Según se ha informado, el cerrar el laptop a través de Windows o pulsando el botón "on-off" no hace otra cosa que reiniciar el sistema en lugar de cerrarlo. Para ello, Toshiba ha anunciado varias reactualizaciones de sus computadoras. Consulte el sitio Web de Toshiba (www.toshiba.com) para mayor información.
Compaq, el segundo mayor fabricante de computadoras del mundo, ha adoptado una novedosa forma de enfrentar el problema de compatibilidad con XP. La empresa está ofreciendo un paquete de actualización que incluye un CD de respaldo del software que soluciona de antemano todo problema de compatibilidad que pueda surgir entre su hardware y Windows XP.
Lamentablemente, para obtener ese CD de Compaq tendrá usted que haber comprado una computadora Compaq entre el 1 de junio de 2001 y el 31 de enero de 2002. La empresa, sin embargo, tiene algunos parches a disposición en su sitio Web (www.compaq.com).
Puesto que Hewlett-Packard es uno de los mayores fabricantes de computadoras, impresoras, scanners y otros aparatos periféricos de computación, no sorprenderá que haya usuarios de productos de Hewlett-Packard que hayan tenido ya problemas de compatibilidad con Windows XP.
Felizmente, Hewlett-Packard ha reaccionado prontamente con la emisión de parches para sus programas o sus productos de hardware. Seleccione el botón "Support" en el sitio Web de Hewlett-Packard (www.hp.com) para hallar los últimos drivers y actualizaciones para los productos de esta empresa.
Para la inmensa cantidad de productos que ofrece la industria de software y hardware, no es posible ofrecer una lista completa de las empresas que ofrecen parches ni de los productos que necesiten una adaptación para Windows XP.
Pero, antes de pasar a Windows XP, procure tomar nota de todos los programas y hardware que esté usando y que podrían ocasionar problemas. Visite entonces el sitio Web del fabricante y cerciórese de si alguno de sus productos es incompatible con Windows XP. Con un poco de cuidado, se ahorrará mucho tiempo y dolores de cabeza cuando adquiera el nuevo sistema operativo Windows XP.
Saludos
:confused:
-
Hola,
Campus party 2000 (los ke estubieron lo deben saber) esta hablando el tio de ke el no intenta combencer a nadie de ke windows es mejor ni de ke se lo compren llega un tio y saca un pinguino gigante alli todo dios riendose es decir conclusion y los de windows:confused: :confused: yo creo ke pasaron de ir jajajjajaaj solo fueron los de linuX a sobar un rato
-
Bueno, aqui mucho hablar de los fallos de Windows y los decis como si linux no tuviera ninguno asi que aqui pongo una breve lista de fallos de linux que en su dia dieron muchos dolores de cabeza a mas de uno.
No son recientes, y todos ya han sido solucionados. Es obvio pq pongo esta pequeña lista. En primer lugar son fallos que he podido verificar que existen, mejor dicho que existian. Por eso no he puesto una lista mas actual, ya que no he podido comprobarlo. La lista esta en ingles, pero tan solo es una pequeña descripcion del fallo, asi que con un nivel basico de ingles se puede entender perfectamente. Aqui va:
Brief description:
XF86_* servers don't check permission on alternate config file. This enables reading of the first line of any file by ordinary users.
Vulnerable: Yes
Fixed in: XF86_* 3.3.1-6 and later us a wrapper to avoid problems such as this.
------------------------------------------------------------------------
Brief description: "land" attack. Spoofed SYN packet sent to machine A, using A as the destination and source, and using the same (free) port for destination and source causes lock-up.
Vulnerable: No, Linux does not appear to be vulnerable
------------------------------------------------------------------------
Brief description: Users can gain root access with suidperl version 5.003
Vulnerable: Yes
Fixed in: perl-suid 5.004 or later
------------------------------------------------------------------------
Brief description: Problem with Samba allowed remote users to get root access
Vulnerable: Yes
Fixed in: samba 1.9.17p2 or later
------------------------------------------------------------------------
Brief description: Problem with bad permissions on control socket for X
Vulnerable: No, /tmp/.X11-unix is mode 1777 in Debian
------------------------------------------------------------------------
Brief description: "teardrop" attack. Problem with IP defragmenting code can allow others to crash your machine
Vulnerable: Yes
Fixed in: Linux Kernel 2.0.32 or later
------------------------------------------------------------------------
Brief description: improper quoting of user data in mgetty allowed users to execute commands as root
Vulnerable: Yes
Fixed in: mgetty 1.1.8 or later
------------------------------------------------------------------------
Brief description: request-route used a lock file in /tmp
Vulnerable: Yes
Fixed in: modutils 2.1.34-5a, but use 2.1.34-8 or later if available
Note: Use of request-route is not recommended. The diald package provides the same functionality in a much better way. In a future kernel, support for request-route will be dropped.
------------------------------------------------------------------------
Brief description: ssh allowed non-privileged users to forward privileged ports.
Vulnerable: Yes
Fixed in: ssh 1.2.21 or later, available at ftp://nonus.debian.org/debian-non-US/
------------------------------------------------------------------------
Brief description: svgalib didn't properly give up root priviledges.
Vulnerable: Yes
Fixed in: svgalib 1.2.10-5, available in bo-updates.
------------------------------------------------------------------------
Brief description: restricted/anonymous lynx users can execute arbitrary commands.
Vulnerable: Yes
Fixed in: lynx 2.7.1-3 or later
------------------------------------------------------------------------
Brief description: libdb includes version of snprintf function with bound checking disabled.
Vulnerable: Yes
Fixed in: libdb 1.85.4-4 or later
------------------------------------------------------------------------
Brief description: Vulnerability in XFree86
Vulnerable: Yes
Fixed in: xfree86 3.3. Debian 1.3.1, released July 2, has this package.
------------------------------------------------------------------------
Brief description: Vulnerability in elm
Vulnerable: Yes
Fixed in: elm-me+ 2.4pl25ME+31-5. Debian 1.3, released June 2, has this package.
For more information: Notice
------------------------------------------------------------------------
Brief description: Buffer overflow in sperl 5.003
Vulnerable: Yes
Fixed in: perl 5.003.07-10. Debian 1.2.11, released Apr 22, has this package.
For more information: BugTraq
------------------------------------------------------------------------
Brief description: There is a vulnerability in PHP/FI, a NCSA httpd cgi enhancment
Vulnerable: Yes
Fixed in: php 2.0b10-4. Debian 1.2 does not have php, so this package is only in the unstable distribution.
For more information: BugTraq
------------------------------------------------------------------------
Brief description: It may be possible to make metamail execute arbitrary commands
Vulnerable: No, debian's metamail uses a safe bourne shell script
For more information: Alan Cox
------------------------------------------------------------------------
Brief description: amd ignores nodev option
Vulnerable: Yes
Fixed in: upl 102-11. Debian 1.2.10, released Apr 16, has this package.
For more information: Linux-security
------------------------------------------------------------------------
Brief description: inetd passes priviledged groups on to subprocesses
Vulnerable: Yes
Fixed in: netbase 2.11-1
For more information: BugTraq
------------------------------------------------------------------------
Brief description: tftpd allows retrieval of files with ".." in their path
Vulnerable: No
For more information: linux-security
------------------------------------------------------------------------
Brief description: sendmail 8.8.5 follows hardlinks when writing /var/tmp/dead.letter
Vulnerable: Yes, but sendmail is not installed by default
For more information: BugTraq
------------------------------------------------------------------------
Brief description: SuperProbe (of XFree86) contains a number of buffer overflows
Vulnerable: No. SuperProbe is not setuid in Debian.
For more information: BugTraq
------------------------------------------------------------------------
Brief description: The imapd, pop2d and pop3d servers allow remote, unauthenticated root access.
Vulnerable: No.
For more information: BugTraq
------------------------------------------------------------------------
Brief description: The "screen" program overflows when copying the gcos field.
Vulnerable: The overflow exists, but screen surrenders its root privileges before the faulty code is executed..
For more information: BugTraq
------------------------------------------------------------------------
Brief description: INN 1.5 parsecontrol
Vulnerable: x86: No.
m68k: No.
Others: Package not provided.
For more information: Nothing yet.
------------------------------------------------------------------------
Brief description: NLSPATH buffer overflow
Vulnerable: Release 1.2 and up are not vulnerable.
For more information: BugTraq
------------------------------------------------------------------------
Brief description: standard buffer overrun(s) in minicom
Vulnerable: No, minicom is not setuid or setgid.
For more information: BugTraq
------------------------------------------------------------------------
Brief description: doom startmouse creates replaceable /tmp/gpmscript
Vulnerable: No, Debian has no doom package.
For more information: Alan Cox
------------------------------------------------------------------------
Brief description: user X startup scripts sometimes create exploitable file in /tmp
Vulnerable: No
For more information: Alan Cox
------------------------------------------------------------------------
Brief description: rlogin doesn't check $TERM's length.
Vulnerable: Fixed in 1.2.7.
For more information: CERT
------------------------------------------------------------------------
Brief description: bliss virus
Vulnerable: Yes, but easy to disinfect with the --bliss-uninfect-files-please argument to an infected program.
For more information: Try the BugTraq archives.
------------------------------------------------------------------------
Brief description: GNU tar sometimes unintentionally creates setuid-root executables.
Vulnerable: Not by default - but if the "nobody" user has uid 65535, yes.
For more information: Try the BugTraq archives.
------------------------------------------------------------------------
Brief description: talkd does not check hostname length
Vulnerable: Fixed in 1.2.7.
-
te pongo los bugs de windows??? espero no colapsar el foro con un post de 200 megas
-
Bueno felicito a Banuelos por ser nuestro informador privado :)
Otra cosa.
Nunca he dicho que LinuX sea perfecto
La perfección no existe
La diferencia radica en que Linux es un sistema libre, de código abierto y si alguno detecta un bug lo corrige. Hay 20 millones de usuarios qeu lo pueden hacer.
En cambio otros sistemas solo los puede corregir su fabricante, primero si ellos detectan el bug y segundo is ellos quieren arreglarlo. Luego normalmente te cobrán otro sistema operativo por arreglar unos cientos de bugs...
-
bravo!!!
por fin hay alguien que entiende lo que yo digo en el foro!!!!!
mis sinceras felicitaciones
-
pero vamos a ver, yo creo q nadie en este chat discrepa en eso contigo, ahora en lo q yo x lo menos si discrepo es q linux tb tiene fallos y no son pocos, y q eso q dices q los bugs los solucionan al tener el codigo abierto mientras q en win hay q esperar a q les de la gana, si es verdad pero cuanta gente es capas de modificar y enterder el codigo fuente de linux, la verdad es q son pocos.
en definitiva q si q linux es un S.O. muy bueno pero hay q tener un nivel de conocimientos medio-alto para manejarlo con fluidez, mientras q windows cualquiera puede ser un usuario medio. ese es el tema y el principal problema q le veo a linux(los conocimientos tecnicos necesarios para medio manejarlo bien) q si q podeis decir q el entorno grafico ha hecho la vida del usuario de linux muy amena pero creo q aun windows se seguira llevando a todos los usuarios no experimentados en temas infoematicos por su sencilles, aunque sea peor.
-
bueno aqui estan los bugs de Windows NT y linux en formato html, como se puede ver el numero de bugs en windows NT es aproximadamente 1028 y en linux son unos 500, ahora que alguien me diga cual es el SO con mas bugs ( cosa que sabemos todos ) todo esto lo saque de una fuente confiable ( no me acuerdo la baje hace bastante tiempo ) lo unico que me acuerdo era una web que cada mes sacaba un tar.gz ( que tengo del final del año pasado ) que contenia todos los bugs y vulnerabilidades descubiertas en ese mes.
ademas en la mayoria de los bugs de windows NT la solucion dice "dejenlo a microsoft", en cambio en la mayoria de los de linux sale una solucion practica.:D
http://www.institutolasalle.cl/~huntsman/bugs.zip
-
...
pero hombre lee de vez en cuando lo q escribimos.
si nadie te niega q windows no tenga fallos, tampoco nadie aqui pone en duda q S.O es mejor para el trabajo, lo unico q digo es q linux tb tiene fallos q no es perfecto, y q aunque nos pese y x lo q veo a ti te pesa mas, hoy x hoy linux no es un rival para windows en un mercado q prefiere algo facil y sencillo de manejar y q no de quebraderos de cabeza al usuario medio, q en definitiva es quien compra.
y aunque linux sea mejor(q lo es al menos para mis actividades) hay gente a la q no le merece la pena meterse en este mundo (el del pingüinito) x q aunque con el su equipo tubiera mas potencia util, el esfuerzo intelectual y tiempo q perderia aprendiendo a manejarlo, no le merece la pena y prefiere un windows con pantallazos azules, y bugs incluidos. :D
-
Hola:
En www.noticias.com (Martes, 22 de Enero de 2002) nos encontramos con que también hay Problemas con el Linux 2.4 y los procesadores Athlon
La explicación técnica del problema es la que sigue. Desde hace tiempo los sistemas basados en un procesador x86 han administrado la memoria mediante el uso de páginas de 4K. Sin embargo con la introducción del procesador Pentium Intel añadió la posibilidad de usar páginas de 4 MB, lo que se llamó paginado extendido.
Y aquí llegamos al problema en sí. Muchos procesadores Athlon y Duron presentan problemas de corrupción de memoria cuando se usa esta función extendida con las ranuras AGP. Si a esto le unimos que los kérnels 2.4 compilados con un procesador Pentium o superior aprovechan esta característica de forma automática, tenemos un problema.
Existe una solución al problema, que consiste en añadir al gestor de arranque (LILO o similar) la línea “mem=nopentium” (sin las comillas). Si esto se ejecuta correctamente al arranque no habrá problemas. Otra forma es desactivar el uso del AGP.
Los modelos de procesador Athlon más nuevos ya no tienen este problema, pero estas soluciones pueden ayudar a cientos de usuarios que no sabían porqué no funcionaba correctamente su sistema.
Más información en:
http://www.gentoo.org/
Saludos:cool:
-
Hola:
En http://virusattack.xnetwork.com.ar (26/01/2002) se nos habla de la
Seguridad en Windows y Linux
Deambulando por la red, sitios web, listas de correo, y cualquier medio virtual en el que se trate el tema de la seguridad informática, la opinión genérica que se forja de muchas, quizá demasiadas opiniones de los usuarios, parece ser única, y que puedo sintetizarla en una frase: "Linux=Rey y Windows=Bufón".
Hay que admitir que esa reputación no es en vano merecida. No es noticia que Bill Gates le facilite las tareas a virus, gusanos y troyanos con las "funcionalidades" tan permisivas que se encuentran prácticamente en toda la gama de productos de la línea Microsoft.
No es mi intención generar ningún tipo de polémica entre usuarios Windows y Linux, de hecho, aún no soy devoto fanático de ninguno de estos dos sistemas operativos, por el contrario, la idea de este artículo es hacer un llamado de atención a las críticas infundadas.Windows (Léase: Microsoft)¿¿Si cuando uno utiliza Linux, y las cosas no salen del todo bien, la respuesta apunta directamente a "chequear archivos de configuración, instalar una nueva versión, etc." la pregunta es: porqué cuando uno utiliza Windows, y las cosas no salen del todo bien, la respuesta mental (propia o ajena) es "y bueno...es Windows, era de esperar" ??
Paralelamente, más de un Administrador de la dupla << Internet Information Services - Windows [2000/NT] >> , habrá estado al borde del suicidio cuando entró en escena el gusano Code RED, y hasta algunos quiza se lamentaron: "¿¿por qué no usaré Linux y Apache??".Ignacio M. Sbampato, de Virus Attack!, reclama en uno de sus más recientes y acertados artículos: "no echarle toda la culpa a Microsoft".
Es necesario que los administradores de sistemas reconsideren la importancia que se le da a la seguridad. Dicho artículo hace referencia a un informe de la consultora Gartner Group, en el cual, tristemente recomienda NO USAR el IIS, por los problemas causados por el Code Red y el Nimda. Es cierto que los parches para las vulnerabilidades no salen a tiempo, pero esto corre para cualquier aplicación, cualquier plataforma. Al margen de que estas palabras hayan sido (o no) un balde de agua fría para Microsoft, suena poco seria esa recomendación, sobre todo, sabiendo que Microsoft pone a disposición de los usuarios todos los parches que arreglan todas las vulnerabilidades (que han sido descubiertas), y también: sabiendo que cambiar de Servidor Web no es algo que se efectúa de un día para el otro.
- Es de intuir, que muchos webmasters, hicieron oídos sordos a estas recomendaciones, y dejaron sus sistemas idénticos a como estaban, quizá hasta conserven la instalación por defecto!!. Que mal ejemplo que dan...- Del mismo modo, es de intuir que muchos webmasters, si bien no cambiaron el IIS, habrán bajado el último Service Pack, y hotfixes(1), quizá con desgano y/o preocupación, pero lo hicieron. Bien por ellos! En su lugar, yo habría hecho lo mismo. Lograron asegurar el IIS, teniendo corregida cualquier vulnerabilidad al día de la fecha.
- Y para finalizar con las intuiciones, es de intuir que algunos (pocos?) webmasters hayan eliminado de raíz el IIS, probablemente porque ya lo tenían planeado desde hacía tiempo, y no porque "Gartner Group lo diga". (De ser así, es respetable y aceptable).(1) No está de más aclarar, que bajando "UNICAMENTE" los patches correspondientes al IIS, lo que lograremos es asegurar UNICAMENTE el IIS. Recuerden considerar la seguridad de un servidor globalmente, y no solo en una UNICA aplicación instalada en él. Espero hayan prestado atención a esta observacion.
¿Y que pasa con Linux?La principal ventaja que Linux(2) posee sobre Windows, es el código fuente abierto, es por eso que: vulnerabilidad descubierta, vulnerabilidad que posiblemente algún gentil programador corregirá PRONTO. Su trabajo será recompensado, o bien en dinero, o bien con el solo hecho de haber figurado en el equipo de desarrollo de la aplicación en cuestión.Irónicamente, el tener código fuente abierto, facilita la tarea de detectar vulnerabilidades, y por lo tanto, pueden ser de igual manera, corregidas...o aprovechadas por algún hacker, el cual podrá, si tiene los conocimientos necesarios, programar lo necesario para explotarla.
De todos modos, esta aparente desventaja no resulta tan alarmante, o al menos, no se hace notar comparativamente con los bugs en aplicaciones Microsoft (como ya sabemos: cuyo código fuente no está disponible a los usuarios finales, al menos en teoría).
En el mundo Linux, a diferencia de lo que ocurre con los productos Microsoft, se lanzan nuevas versiones de aplicaciones muy a menudo, con lo cual, en lugar de bajar parches, se suele bajar la nueva versión completa de dicha aplicación (si la aplicación no es muy pesada, si las circunstancias lo obligan, o por simple costumbre del usuario).(2) Tomando a Linux como la gran mayoría de sus aplicaciones.¿Y Entonces?
El título de este artículo es "Seguridad en Linux Y Windows", no "Seguridad en Linux VERSUS Windows". Si esperaban alguna agresión "inédita" a Microsoft o Bill Gates, lamento haberlos decepcionado. Hice mi intento de imparcialidad para con Windows y Linux. Por otra parte, si bien Linux luce menos amigable para su operación y administración (y muchas veces es sólo la apariencia), la documentación y soporte que pueden encontrar en internet es inconmensurable.Las vulnerabilidades, nunca dejarán de aparecer, cualquiera sea el sistema operativo o la aplicación afectada.
El truco es tener siempre el sistema patcheado al día, y cuando digo "al día", me refiero a visitar sitios de seguridad una vez al día y buscar cualquier novedad relacionada a los productos que estamos utilizando. Teniendo nuestro sistema "al día", e implementando configuraciones seguras. La información sobre como protegerse nunca falta. Recae en el lector, la responsabilidad de darle la suficiente importancia, o darle simplemente, la espalda.Referencias:Virus Attack! - "No le echemos toda la culpa a Microsoft"
Saludos
:cool: