viernes, marzo 23, 2007
La verdad sobre "Windows, el sistema operativo mas seguro."
No había sitio al que entrara y no me encontrara con la noticia "Symantec hizo un análisis de seguridad y llego a la conclusión de que Windows es el sistema operativo más seguro". Obviamente los sitios "pro-Microsoft" hicieron alarde de ello con bombos y platillos; mientras que los sitios "anti-Microsoft" (ya saben, comunidades de Linuxeros y eso) tomaron esto con enojo, con gracia y con cualquier otra actitud que menospreciara el informe de Symantec. ¿Quieren los valores precisos? Aca van:
Red Hat - 208, 2 severa, promedio 13 días
HP-UX - 98, promedio 101 días
Solaris - 63, promedio 122 días
Mac OSX - 49, 1 severa, promedio 66 días
Windows - 39 vulnerabilidades, 12 severas, tiempo promedio de parche 21 días
Claramente, según la cantidad de vulnerabilidades, Red Hat esta a la cabeza, siguiendole HP-UX, luego Solaris, luego Mac OS X y finalmente Windows. Obviamente esto es "a simple vista" ya que debe tomarse en cuenta la cantidad de vulnerabilidades severas y el tiempo promedio en solucionarlas.
Quiero decir, ante todo, que los números me parecen bastante coincidentes con mi propia experiencia. Por ejemplo, si yo me entero que mi Mac OS X hoy tiene una vulnerabilidad, estoy seguro de que Apple me dará el parche en no menos de un mes. Y tambien estoy seguro de que si instalo Red Hat, una gran cantidad de paquetes que estén en mi equipo apenas instalados corresponderán a versiones "viejas" con vulnerabilidades que serán necesario actualizar inmediatamente. Aún así, hay algunos factores que quiero se tengan en cuenta antes de leer estos números y tratar de emitir una opinion final:
El primero es la relación vulnerabilidad-funcionalidad. Digo, a mayor cantidad de funcionalidades y herramientas incluidas en el sistema operativo, mayor es la probabilidad de que dichas herramientas tengan vulnerabilidades ¿no? Entonces, ¿Windows tiene menos vulnerabilidades que Red Hat? Puede ser... ya que por cada 100 funcionalidades y herramientas de red que ofrece Red Hat para el usuario (muchas de ellas ayudan a asegurar el sistema), Windows incluye solo 10.
El segundo factor que quiero plantear (y que no está detallado en el informe) es si a la hora de analizar el tiempo de respuesta para las vulnerabilidades de Red Hat/Solaris/HP-UX/Mac OS X lo hacen teniendo en cuenta los "parches oficiales" que ofrece el productor del sistema operativo o los parches individuales emitidos por los grupos de desarrolladores de paquetes que conforman al mismo. Como dije anteriormente, si yo instalo Red Hat Linux hoy, lo más probable es que 208 de sus paquetes tengan vulnerabilidades. Pero lo más probable tambien es que esas 208 vulnerabilidades ya estén solucionadas por parte de los grupos de desarrollo independiente y que Red Hat aún no haya actualizado todos esos paquetes "parcheados" en sus repositorios de actualizaciones. Esta demostrado con infinidad de experiencias que los grupos Open Source son más agiles y dinámicos para solucionar este tipo de problemas.
Finalmente, pongamonos en una postura "ingenua" quizás, y compremos la idea de que dichos números son 100% reales. ¿Hace esto a Windows el sistema operativo mas seguro? Personalmente, creo que no. No todo en el mundo de la seguridad son las vulnerabilidades. Hay otros factores que pueden poner en riesgo el sistema y afectan a Windows más que a cualquier otro sistema operativo. Por ejemplo los virus, el spyware, el sistema de protección de datos personales, la facilidad para romper el sistema de auntentificación del sistema. La porquería de NTFS. La implementación del stack TCP/IP, el sistema para compartir archivos y carpetas y la lista podría seguir y seguir... todos esos "puntos flojos de seguridad" afectan principalmente a Windows más que a cualquier otro sistema operativo, y no tienen nada que ver con la vulnerabilidad.
¿Es entonces Red Hat Linux/Solaris/HP-UX/Mac OS X el sistema operativo mas inseguro? ¡Claro que no! Si poseen una mejor implementación de servicios de red, mayores herramientas de control, inmunidad total ante los virus de Windows, mejores sistemas de encriptación para la información personal de los usuarios y un sistema de archivos diezmil-veces más seguro y poderoso. Con todas estas herramientas, los administradores tienen mayores posibilidades de gestionar de mejor forma la seguridad.
Como conclusión, hacer una lectura de esos numeros y llegar a la conclusión de que Windows es el sistema operativo mas seguro me parece totalmente impropio para una compañía que se dice experta en seguridad informática. Windows no es el sistema operativo más seguro: me lo dice mi experiencia trabajando con Linux y Mac OS X y lo dice la experiencia de millones de usuarios de Windows de todo el mundo que día tras día sufren infecciones, ataques, intrusiones y cualquier otra amenaza de seguridad. He dicho.