-----Mensaje reenviado----- From: [EMAIL PROTECTED] To: [EMAIL PROTECTED] Subject: una-al-dia (24/10/2004) Informe: comparando la seguridad de Windows y Linux Date: Mon, 25 Oct 2004 10:35:01 +0200
-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------- Hispasec - una-al-d�a 24/10/2004 Todos los d�as una noticia de seguridad www.hispasec.com ------------------------------------------------------------------- Informe: comparando la seguridad de Windows y Linux --------------------------------------------------- La publicaci�n inglesa "The Register" publica un informe donde se analiza el modelo de seguridad utilizado por Windows y Linux, intentando determinar las diferencias entre ambos. Se trata de un intento de sistematizar los puntos fuertes y d�biles de cada entorno y, con esta informaci�n, intentar extraer unas conclusiones. Una discusi�n recurrente en los �ltimos meses trata sobre que es m�s seguro, si el software propietario o el software de c�digo abierto. Los defensores del primero defienden que la disponibilidad del c�digo fuente abre la posibilidad que los atacantes descubran nuevas vulnerabilidades. Por su parte, los defensores del software de c�digo abierto afirman que justamente la disponibilidad del c�digo es la mejor receta para evitar los problemas de seguridad. Se trata de una discusi�n en la que habitualmente se suelen utilizar, por ambos lados, argumentos que huyen de los datos emp�ricos y demostrables. Generalmente se utilizan argumentaciones de car�cter sentimental y apreciaciones subjetivas, que poco ayudan a mantener un debate sosegado y que realmente permita extraer conclusiones. El informe, "Security Report: Windows vs Linux" empieza con el an�lisis de tres mitos frecuentemente utilizados en cualquier discusi�n donde se compara la seguridad de Windows y Linux. El primer mito es que Windows es objeto de m�s ataques y es v�ctima de la acci�n de m�s virus y gusanos debido a su posici�n dominante en el mercado. Dado que Windows es la plataforma dominante, los autores de ataques y virus tienen preferencia por esta plataforma. El informe rebate este mito a partir de dos datos emp�ricos: Linux es una plataforma muy popular a nivel de servidor Web y los datos recogidos por Netcraft demuestran que m�quinas ejecutando software de c�digo abierto no son reiniciadas con frecuencia. El segundo mito se refiere a que la disponibilidad del c�digo fuente abre la posibilidad a descubrir m�s f�cilmente las vulnerabilidades. Este argumento se rebate a partir de la enorme cantidad de gusanos y virus que sacan provecho de vulnerabilidades de Windows, lo que viene a demostrar que la disponibilidad del c�digo fuente no es un factor clave para detectar la existencia de problemas de seguridad. El tercer mito rebatido son las estad�sticas que demuestran la existencia de menos problemas de seguridad cr�ticos en la plataforma Windows con respecto a Linux. En el informe se facilitan datos que demuestran como muchas de estas estad�sticas son confeccionadas a medida y se basan en datos parciales, que dif�cilmente se pueden extrapolar a las conclusiones que a veces se extraen de los mismos. La segunda parte del estudio compara el dise�o de Linux y Windows, analizando las implicaciones que tienen las mismas en lo relativo a la seguridad. As� se compara el dise�o monol�tico de Windows contra el dise�o modular de Linux (no se refiere al n�cleo del sistema operativo, sino al conjunto del sistema operativo), el origen del c�digo, las limitaciones del modelo de llamadas de procedimiento remoto y la diferencia de orientaci�n de los ambos productos. En la tercera parte se analizan las m�tricas utilizadas para la medici�n del nivel de seguridad y la dificultad que supone la interpretaci�n de los datos reflejados por las mismas. Cuando se mide el nivel de seguridad no s�lo deben considerarse factores puramente num�ricos, como son el n�mero de vulnerabilidades sino que otros elementos tienen una importancia igual o superior: la exposici�n potencial a la vulnerabilidad, la facilidad con la que las vulnerabilidades pueden ser utilizadas en ataques, el da�o provocado como consecuencia de un ataque. La uni�n de estos factores permite identificar un nivel de riesgo. Con todas estas consideraciones, el informe realiza una comparativa de los �ltimos cuarenta parches y actualizaciones de Windows Server 2003 y Red Hat Enterprirse Linux AS v3.0. Se realiza una tabulaci�n en la que se aplican las m�tricas definidas, de forma que para cada vulnerabilidad se puede identificar el nivel de riesgo global. Tambi�n se facilitan datos obtenidos a partir de la valoraci�n global de impacto que aplica el CERT a cada una de las vulnerabilidades que se publican. Conclusiones Aplican las m�tricas definidas por "The Register", el impacto de las vulnerabilidades y actualizaciones es mucho m�s importante en Windows Server 2003. Aproximadamente la mitad de las actualizaciones de Microsoft son consideradas como cr�ticas (y muchas de las que no tienen esta consideraci�n es debido a la configuraci�n particular de Internet Explorer y Outlook Express, que son dif�cilmente utilizables en su configuraci�n por defecto). En cambio, aplicando la valoraci�n que a�ade el CERT en sus estad�sticas se puede considerar la existencia de un "empate t�cito" en el nivel de seguridad de Windows Server 2003 y Red Hat Linux Enterprise Linux AS v3.0, con una valoraci�n ligeramente favorable a Windows. Opina sobre esta noticia: http://www.hispasec.com/unaaldia/2192/comentar M�s informaci�n: Windows vs Linux: The Real Facts http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/ http://www.theregister.co.uk/security/security_report_windows_vs_linux/ http://www.theregister.co.uk/2004/10/22/security_report_windows_vs_linux.pdf una-al-d�a (01/07/02): La seguridad del modelo de c�digo abierto http://www.hispasec.com/unaaldia/1345 Xavier Caball� [EMAIL PROTECTED] Tal d�a como hoy: ----------------- 24/10/2003: Fallos en los parches de Microsoft http://www.hispasec.com/unaaldia/1825 24/10/2002: Nueve (9) nuevas vulnerabilidades en Internet Explorer 5.x y 6.0 http://www.hispasec.com/unaaldia/1460 24/10/2001: Publicaci�n de un interesante "CheckList" de seguridad para Unix http://www.hispasec.com/unaaldia/1095 24/10/2000: Vulnerabilidad en los servidores seguros basados en Windows http://www.hispasec.com/unaaldia/730 24/10/1999: Aprobaci�n del Congreso de los Diputados a la Firma Digital http://www.hispasec.com/unaaldia/362 ------------------------------------------------------------------- Claves PGP en http://www.hispasec.com/directorio/contacto ------------------------------------------------------------------- Bajas: mailto:[EMAIL PROTECTED] Altas: mailto:[EMAIL PROTECTED] ------------------------------------------------------------------- (c) 2004 Hispasec http://www.hispasec.com/copyright ------------------------------------------------------------------- -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQXytN3hEfcD7VnHhAQEKwAf+N4KST0cFkQgGOrPqJKkgtWo+iBOjyNcg e63x95TRU1SL3GF6asCx5gDOxqxrVmyl9P4c6onF7/RgIaB0YYMAHEfsgs8qlSKS Ri+UOvQhsv0UD+guwxDZBZQd2wmBS4FViO+pxu47tvqWIRwAYl1znlRduDqmtrA7 AXcTkS9qinWJ40SM4nF84hmK4sTgRdWQ3YlRPcpMpTSEpIaIk8ax/y9Mgk12M0VS ZQ6+WbtJWeUuVETSbpqZKLpHp+MhvRBquAuUBPFbqIqm2n4u5D/lt78i173QDrMv jSHLfmrata17318W1mElILQZk8cGd2Dt26HRF0fPBjwFpApLSGPdmg== =p8YF -----END PGP SIGNATURE----- -- "Freedom is nothing else but a chance to be better." --Albert Camus http://www.unicauca.edu.co/~santiago/llaves/santiago_pub.asc
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente
_______________________________________________ GLUC mailing list [EMAIL PROTECTED] http://listas.unicauca.edu.co/mailman/listinfo/gluc
