Be Geek My Friend

Daniel Matey, Ingeniero Preventa Datacenter, Microsoft

Red Hat Workstation VS XP (análisis estadístico sobre vulnerabilidades y tiempo sin parche)

Todos sabemos, que la realidad siempre depende del color del cristal con el que se mire, lo cual hace que todos los estudios de este tipo suelan ser algo parciales.

Siempre que alguien se aventura a sacar algo así, hay un montón de personas discutiendo la metodología del análisis las fuentes de los datos, etc., cosa que está bien, que algo este en un grafico de Excel no lo reviste de rigor técnico.

El amigo Jeff Jones se encarga de llevar su propia base de datos de vulnerabilidades y parches, y ha explicado bastante su metodología.

En base a toda la información que ha recopilado ha sacada tres informes, recientemente ha sacado el tercero.

Me permito poneros un par de graficas y luego el enlace para que lo leáis mas exhaustivamente.

http://blogs.technet.com/security/archive/2007/01/19/exposed-examining-secunia-unpatched-warnings-part-3.aspx

Me parece muy curioso que despues de pagar la pasta de la licencia y la pasta del soporte de Red Hat te vengan a decir que las vulnerabilidades no son de software desarrollado por RH y que no podemos pedirle explicaciones.

Ademas, pensarlo bien, si fueras un niño Finlandes, que preferirias jugar en la nieve o sacar un parche para el driver del DVD de linux ?¿?¿

Posted: 23/1/2007 7:06 por Daniel Matey | con 13 comment(s)
Archivado en:
Comparte este post:

Comentarios

Yo ha opinado:

seeeeee, claro...

# January 23, 2007 9:55 PM

Daniel Matey ha opinado:

seeeee, claro, eso es un argumento si señor, seco mas has dejado.

# January 24, 2007 8:12 AM

Yo ha opinado:

es un gasto de energia en vano explicarle al Maestro Po que la noche es oscura y el dia es claro.

# January 24, 2007 2:54 PM

Be Geek My Friend ha opinado:

Muchos son los llamados al lado del mal pero pocos los elegidos, de entre aquellos que no han sido elegidos

# February 7, 2007 5:25 PM

Jhon ha opinado:

Segun  el titulo "análisis estadístico sobre vulnerabilidades y tiempo sin parche" ...pues considero que la identificacion de vulnerabilidades en plataformas

gnu/linux libres (no exactamente RH o SUSE) tienen mayor

frecuencia y/o entropia que las de las de empresas cerradas como Microsoft, es relativo el grafico..y quizas es mejor conocer de las vulnerabilidades y sus concecuencias a no conocerlo y pintar que no existen.

Que opinan ?

# February 22, 2007 6:28 PM

Manuel ha opinado:

Llevo varios años trabajando en entornos mixtos, especialmente los últimos 2.

No tengo claro la veracidad de las gráficas que presentas, aunque tampoco las pretendo poner en duda. Escribo porque mi experiencia me dice que puedo dejar un Linux sin parchear expuesto a Internet y no ocurre nada (o aún no me ha ocurrido), pero en caso de Windows sólo es cuestión de tiempo y eso que he dejado pocos expuestos.

Habría que analizar qué se considera por vulnerabilidades y el alcance de las mismas; el presentar un documento tan escueto y simple no esclarece nada.

Por poner un ejemplo muy concreto, si instalamos un Red Hat 5.1 (¿tendrá 10 años?) sin parchear y lo conectamos a Internet no ocurrirá nada. Después de varios días y si alguien se ha dado cuenta explotará alguna vulnerabilidad de antaño, pero no será inmediato. En cambio, si instalamos un Windows 2000 SP2 o XP en época de propagación de worms puede durar minutos.

Triste pero cierto, lo he comprobado en primera persona.

¿Qué tiene más vulnerabilidades, un Red Hat 5.1 o Windows XP wo/SP? Oficialmente Red Hat 5.1, pero el resultado es abrumador.

También hay que recordar que la propia Microsoft comunicó oficialmente que dejaba de publicar las vulnerabilidades, cuando en el mundo OpenSource es todo lo contrario. Esto invalidaría las gráficas que presentas.

Esta rivalidad Linux - Windows, aunque sólo sea en el aspecto de vulnerabilidades, no puede resumirse en tan poco espacio, y con demasiada frecuencia se cae en la frivolidad o sectarismo en ambos lados.

Saludos.

# March 6, 2007 5:43 AM

Manuel ha opinado:

Me he dejado de especificar que con "exponer a Internet" me refiero a que esté 100% visible desde Internet, todos los puertos.

También, para desvetajar a Linux, Red Hat 5.1 con todos los servicios activados y Windows OUT-THE-BOX. El resultado es fulminante.

# March 6, 2007 7:13 AM

Daniel Matey ha opinado:

Tienes que considerar un matiz, si eres alguien que se dedica a fabricar exploits ¿lo haras para windows con lo que alcanzaras mas de un 90% de los ordenadores o lo haras para linux?.

Esto no hace linux mas seguro de por si, ya que si te quieren atacar de forma intencionada sabiendo quien eres el linux es mas inseguro, en ultima instancia tienes hasta el codigo fuente para buscar el bug.

Por otra parte creo que estas muy equivocado respecto a como microsoft expone las vulnerabilidades, ya que hay una web dedicada a ello en el site de Microsoft y listas de distribución publicas, ademas los propios parches o la mbsa son mas que suficientes.

# March 6, 2007 7:29 PM

Manuel ha opinado:

Lo siento mucho pero te estás contradiciendo.

La mayoría de servidor web son Apache, pero casualmente es el más seguro.

Según tu razonamiento me estás dando la razón.

En esta página encontrarás información:

http://news.netcraft.com/

y si quieres saber el sistema operativo y servidor web de los servidores puedes hacer esto:

http://toolbar.netcraft.com/site_report?url=http://www.bde.es

(ese es el Banco de España, los HTTP_SERVER de IBM es Apache).

Lo de Microsoft fue un anuncio oficial, cuando tenga un rato lo busco.

Salduos.

# March 23, 2007 3:24 PM

Daniel Matey ha opinado:

Manuel:

Por que no sacas el listado de las vulnerabilidades de Apache y de IIS 6.

Si que hay mas apaches que el IIS, por ahora mira las graficas y veras como aumenta IIS y cae Apache y aun no ha salido el IIS 7 que es impresionante.

# March 24, 2007 7:30 PM

Manuel ha opinado:

Hola de nuevo,

No niego que IIS está ganando terrero. Es muy posible que en unos 5 años alcance a Apache.

De todos modos, siendo Apache mayoritario sigue siendo más seguro un Red Hat 5.1 de hace 10 años con todos los servicios activos que un Windows 2000 SP2 (¿del 2002?) con los servicios activos OUT-THE-BOX.

En ningún momento he entrado en la dinámica de uno más que el otro, sino que este tipo de artículos suelen ser muy sectarios, tanto de un lado como del otro. El tuyo es evidéntemente sectario.

Para hacer un estudio de este tipo hay que ir más allá de los números globales: Hay que entender los números, y ni en este mini-artículo ni en muchísimo otros (tanto de Windows como de Linux) intentan entender los números; no rascan más que la superficie de los artículos que interesan, no sea que el lector entienda que ni es blanco ni negro, no interesa.

Hay artículos que son idénticos a este pero justo con el "veredicto" contrario. Es según quién lo hace, cómo y para qué.

En tu caso es evidente que no deberías de aventurarte a opinar sobre lo que desconoces, o como mínimo rechazas irracionalmente. Aunque no te preocupes porque hay muchos que escriben lo contrario que tú y tampoco tienen ni idea de lo que es Windows.

En mis escuetos escritos no he intentado exponer más que un caso práctico, y la realidad está ahí. No he pretendido dar datos ni escribir nada concluyente, sólo animar a los lectores a que piensen por sí mismos y no caigan en frivolidades como la última frase de tu mini-artículo.

Como reflejo en otro comentario, trabajo en entornos mixtos, y la verdad es que estoy encantado, sobretodo en no caer en este tipo de sectarismos.

Windows es genial para unas cosas, y para otras Linux. O también se puede hacer la mezcla Windows + Software-NO-Microsoft. De lo que se trata es de tener el mejor resultado, no de defender a uno u otro como al equipo de fútbol.

Lo que está claro es que estos sectarismos sólo hacen daño y alimentan la ignorancia.

Saludos.

# March 25, 2007 5:32 PM

Daniel Matey ha opinado:

Yo tambien trabajo con entornos mixtos, y a estas alturas ya no me planteo comparaciones con sistemas del 2002, W2K Sp2 es un dinosaurio.

Si tener una opinión sobre que IIS es mejor que apache es ser sectareo, pues lo soy.

Desgraciadamente la ultima frase de mi articulo es cierta, si no date una vuelta por securityfocus.

# March 27, 2007 6:42 AM

Manuel ha opinado:

Red Hat 5.1 es más dinosaurio que 2000 SP2.

La comparación que he hecho es injusta para Linux, ya que la opción Linux que he planteado es, en teoría, mucho más vulnerable que la Windows. Parte con desventaja, pero supera la prueba.

Esa última frase es tan parcial que se convierte en irreal.

Ser sectareo no es afirmar que algo es mejor otra cosa, sino actuar con esta parcialidad, y una prueba serían esas respuestas que no tienen sentido (ejemplos: "sí, pero IIS va ganando terreno a Apache", "es un dinosaurio").

De esto se podría arrancar un debate muy interesante, pero también extenso y el tiempo no me sobra.

Sólo comentar que a pesar de que Linux está estrangulado va avanzando sin pausa, y con soporte empresarial aunque no lo quieras reconocer.

Microsoft ha ahogado la competencia durante muchos años, está demostrado. No sólo con Windows, sino con varios productos como el paquete ofimático.

Ahora, parece, que empieza a haber un poco de equidad en algunos aspectos, a ver qué ocurre.

http://www.elpais.com/articulo/internet/Dell/comienza/cuenta/preinstalar/Linux/ordenadores/elpeputec/20070329elpepunet_1/Tes

Saludos.

# March 29, 2007 5:51 PM