-----Mensaje reenviado-----
From: [EMAIL PROTECTED]
To: [EMAIL PROTECTED]
Subject: una-al-dia (24/10/2004) Informe: comparando la seguridad de Windows y Linux
Date: Mon, 25 Oct 2004 10:35:01 +0200


-----BEGIN PGP SIGNED MESSAGE-----

 -------------------------------------------------------------------
  Hispasec - una-al-d�a                                  24/10/2004
  Todos los d�as una noticia de seguridad          www.hispasec.com
 -------------------------------------------------------------------
 
 Informe: comparando la seguridad de Windows y Linux
 ---------------------------------------------------

La publicaci�n inglesa "The Register" publica un informe donde se
analiza el modelo de seguridad utilizado por Windows y Linux,
intentando determinar las diferencias entre ambos. Se trata de un
intento de sistematizar los puntos fuertes y d�biles de cada
entorno y, con esta informaci�n, intentar extraer unas
conclusiones.

Una discusi�n recurrente en los �ltimos meses trata sobre que es
m�s seguro, si el software propietario o el software de c�digo
abierto. Los defensores del primero defienden que la
disponibilidad del c�digo fuente abre la posibilidad que los
atacantes descubran nuevas vulnerabilidades. Por su parte, los
defensores del software de c�digo abierto afirman que justamente
la disponibilidad del c�digo es la mejor receta para evitar los
problemas de seguridad.

Se trata de una discusi�n en la que habitualmente se suelen
utilizar, por ambos lados, argumentos que huyen de los datos
emp�ricos y demostrables. Generalmente se utilizan 
argumentaciones de car�cter sentimental y apreciaciones
subjetivas, que poco ayudan a mantener un debate sosegado 
y que realmente permita extraer conclusiones.

El informe, "Security Report: Windows vs Linux" empieza con 
el an�lisis de tres mitos frecuentemente utilizados en cualquier
discusi�n donde se compara la seguridad de Windows y Linux.

El primer mito es que Windows es objeto de m�s ataques y es
v�ctima de la acci�n de m�s virus y gusanos debido a su posici�n
dominante en el mercado. Dado que Windows es la plataforma
dominante, los autores de ataques y virus tienen preferencia por
esta plataforma. El informe rebate este mito a partir de dos
datos emp�ricos: Linux es una plataforma muy popular a nivel de
servidor Web y los datos recogidos por Netcraft demuestran que
m�quinas ejecutando software de c�digo abierto no son reiniciadas
con frecuencia.

El segundo mito se refiere a que la disponibilidad del c�digo
fuente abre la posibilidad a descubrir m�s f�cilmente las
vulnerabilidades. Este argumento se rebate a partir de la 
enorme cantidad de gusanos y virus que sacan provecho de
vulnerabilidades de Windows, lo que viene a demostrar que la
disponibilidad del c�digo fuente no es un factor clave para
detectar la existencia de problemas de seguridad.

El tercer mito rebatido son las estad�sticas que demuestran la
existencia de menos problemas de seguridad cr�ticos en la
plataforma Windows con respecto a Linux. En el informe se
facilitan datos que demuestran como muchas de estas estad�sticas
son confeccionadas a medida y se basan en datos parciales, que
dif�cilmente se pueden extrapolar a las conclusiones que a veces
se extraen de los mismos.

La segunda parte del estudio compara el dise�o de Linux y
Windows, analizando las implicaciones que tienen las mismas en 
lo relativo a la seguridad. As� se compara el dise�o monol�tico 
de Windows contra el dise�o modular de Linux (no se refiere al
n�cleo del sistema operativo, sino al conjunto del sistema
operativo), el origen del c�digo, las limitaciones del modelo de
llamadas de procedimiento remoto y la diferencia de orientaci�n
de los ambos productos.

En la tercera parte se analizan las m�tricas utilizadas para la
medici�n del nivel de seguridad y la dificultad que supone la
interpretaci�n de los datos reflejados por las mismas.

Cuando se mide el nivel de seguridad no s�lo deben considerarse
factores puramente num�ricos, como son el n�mero de
vulnerabilidades sino que otros elementos tienen una importancia
igual o superior: la exposici�n potencial a la vulnerabilidad, la
facilidad con la que las vulnerabilidades pueden ser utilizadas
en ataques, el da�o provocado como consecuencia de un ataque. La
uni�n de estos factores permite identificar un nivel de riesgo.

Con todas estas consideraciones, el informe realiza una
comparativa de los �ltimos cuarenta parches y actualizaciones 
de Windows Server 2003 y Red Hat Enterprirse Linux AS v3.0. 
Se realiza una tabulaci�n en la que se aplican las m�tricas
definidas, de forma que para cada vulnerabilidad se puede
identificar el nivel de riesgo global.

Tambi�n se facilitan datos obtenidos a partir de la valoraci�n
global de impacto que aplica el CERT a cada una de las
vulnerabilidades que se publican.

Conclusiones

Aplican las m�tricas definidas por "The Register", el impacto de
las vulnerabilidades y actualizaciones es mucho m�s importante en
Windows Server 2003. Aproximadamente la mitad de las 
actualizaciones de Microsoft son consideradas como cr�ticas (y
muchas de las que no tienen esta consideraci�n es debido a la
configuraci�n particular de Internet Explorer y Outlook Express,
que son dif�cilmente utilizables en su configuraci�n por
defecto).

En cambio, aplicando la valoraci�n que a�ade el CERT en sus
estad�sticas se puede considerar la existencia de un "empate
t�cito" en el nivel de seguridad de Windows Server 2003 y Red Hat
Linux Enterprise Linux AS v3.0, con una valoraci�n ligeramente
favorable a Windows.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2192/comentar

M�s informaci�n:

Windows vs Linux: The Real Facts
http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/
http://www.theregister.co.uk/security/security_report_windows_vs_linux/
http://www.theregister.co.uk/2004/10/22/security_report_windows_vs_linux.pdf

una-al-d�a (01/07/02): La seguridad del modelo de c�digo abierto
http://www.hispasec.com/unaaldia/1345


Xavier Caball�
[EMAIL PROTECTED]


 Tal d�a como hoy:
 -----------------

24/10/2003: Fallos en los parches de Microsoft
    http://www.hispasec.com/unaaldia/1825

24/10/2002: Nueve (9) nuevas vulnerabilidades en Internet Explorer 5.x y 6.0
    http://www.hispasec.com/unaaldia/1460

24/10/2001: Publicaci�n de un interesante "CheckList" de seguridad para Unix
    http://www.hispasec.com/unaaldia/1095

24/10/2000: Vulnerabilidad en los servidores seguros basados en Windows
    http://www.hispasec.com/unaaldia/730

24/10/1999: Aprobaci�n del Congreso de los Diputados a la Firma Digital
    http://www.hispasec.com/unaaldia/362


 -------------------------------------------------------------------
  Claves PGP en http://www.hispasec.com/directorio/contacto
 -------------------------------------------------------------------
  Bajas:   mailto:[EMAIL PROTECTED] 
  Altas:   mailto:[EMAIL PROTECTED]
 -------------------------------------------------------------------
  (c) 2004 Hispasec               http://www.hispasec.com/copyright
 -------------------------------------------------------------------


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQEVAwUBQXytN3hEfcD7VnHhAQEKwAf+N4KST0cFkQgGOrPqJKkgtWo+iBOjyNcg
e63x95TRU1SL3GF6asCx5gDOxqxrVmyl9P4c6onF7/RgIaB0YYMAHEfsgs8qlSKS
Ri+UOvQhsv0UD+guwxDZBZQd2wmBS4FViO+pxu47tvqWIRwAYl1znlRduDqmtrA7
AXcTkS9qinWJ40SM4nF84hmK4sTgRdWQ3YlRPcpMpTSEpIaIk8ax/y9Mgk12M0VS
ZQ6+WbtJWeUuVETSbpqZKLpHp+MhvRBquAuUBPFbqIqm2n4u5D/lt78i173QDrMv
jSHLfmrata17318W1mElILQZk8cGd2Dt26HRF0fPBjwFpApLSGPdmg==
=p8YF
-----END PGP SIGNATURE-----
-- 
"Freedom is nothing else but a chance to be better."

--Albert Camus 

http://www.unicauca.edu.co/~santiago/llaves/santiago_pub.asc

Attachment: signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente

_______________________________________________
GLUC mailing list
[EMAIL PROTECTED]
http://listas.unicauca.edu.co/mailman/listinfo/gluc

Responder a