Friday, March 2, 2007

¿QUIÉN ES MÁS SEGURO?

DISCLAIMER: Este no es un post para Técnicos-Less.

Queridos todos y todas: el amigo Jeff Jones informa en su blog de CSO Online que publicará un ranking mensual sobre Vulnerabilidades de Sistemas Operativos.
Dicho Ranking tendrá diferentes secciones, una para workstations (Vista, Windows XP SP2, RHEL4 Workstation, Ubuntu 6.60 LTS, and Mac OS X) y otra para servers (Windows Server 2003, RHEL 4 AS, and Sun Solaris 10).

Pues bien queridos amigos, los resultados para lo que llevamos de este año 2007 (las estadísticas son de Enero y Febrero, aunque en el dibujito ponga Enero sólo), asombrosamente son los siguientes:



Imagen 1. Vulnerabilidades en sistemas operativos cliente.




Imagen 2. Vulnerabilidades en sistemas operativos servidor.



Vale, ahora diréis que “Nivel de riesgo” no es lo mismo que “Número de vulnerabilidades”. Yo ya paso de discutir. La respuesta del amigo Jeff es esta:

“Security professionals will correctly note that vulnerabilities represent only
part of the security picture, with the risk equation also needing an
understanding of the potential threats and value of the information at risk.
However, number and quality of attackers are elements largely orthogonal to
factors that vendors have ability to influence. Vulnerabilities, on the other
hand, are a factor that vendors can influence directly by investing in process,
testing and other best practice Q&A techniques to reduce bugs and raise
quality of shipping products.”

Para más información, podéis leer el artículo de su blog “Exactly how biased am I?”, donde explica las diferencias entre Windows y Linux.
¿VOSOTROS QUE PENSÁIS?

Pues nada nada…..Ahí queda eso…

Buen finde!!
;)

8 comments:

Anonymous said...

Una pregunta muy sencilla; ¿esa encuesta tiene en cuenta el numero de servidores con cada sistema operativo? Lo digo porque siempre es mas facil encontrar vulnerabilidades cuando el sistema lo utiliza mas gente...

El Elegido said...

mmm... creo que no te entiendo bien tu pregunta...

Para empezar no es ninguna encuesta, son unos resultados de lo que han probado.

¿Quieres decir que como hay más servidores Linux (según tú) es más fácil encontrar vulnerabilidades?

¿Quieres decir por el contrario que como hay más gente que utiliza Windows es más fácil encontrar vulnerabilidades? Entonces, más a mi favor ¿no? Por más que pruebas, no salen más que en Linux, lo cual indica su altísima seguridad....

Básicamente dos cosas: las pruebas de búsqueda de vulnerabilidades sobre los sistemas no hace falta hacerla millones de veces, se hacen sobre un sistema estándar, es decir, Windows Server 2003 SP1, básico, y punto, a putearle, y ver sus resultados. No por probar 2 millones más, saldrán resultados diferentes, porque los dos millones son iguales. Es decir que no por probar 2 millones de Linux va a ser más fácil encontrar vulnerabilidades que en Windows....Entiendes?

En fin....

El 64 said...

Simplemente mirando las gráficas veo que pone "vulnerabilidades CORREGIDAS", cosa que es totalmente distinta del total de vulnerabilidades existente. Si tengo 5000 y arreglo 1, en la gráfica solo sale 1 y ¿soy mejor por eso?
A ver si interpretamos bien los resultados, que ya te lo dije respondiendo a tus comentarios agresivos y ni caso.

Gura said...

Iluminanos "el64", cuantas tiene W2003, por ejemplo, sin corregir.

Por otro lado, como comentas, la facilidad de explotación. También, que no es lo mismo un W2003 que 5 CD's de RedHat (El número de paquetes). También hay que evaluar la facilidad de explotación.

No se cual es la política de actualizaciones de RedHat y SuSE, supongo que como el resto, que en cuanto se descubre se intenta parchear (Si, intenta, porque mira firefox...). En cambio en Windows te lo tomas con calma, yo solo estaría acojonado si fuese un 0 day. A primeros de mes llegan los boletines, una semana después las actualizaciones... puedes planificarlo.

Quizá hable sin criterio, como siempre me dicen cuando menciono alguna verdad de Spectra, o quizá realmente esté equivocado, pero como siempre, corregidme si me equivoco, que a ostias aprende la mula. Eso si, antes de frotarte las manos, el64, quiero datos.

El Elegido said...

eso teniendo en cuenta que "el64" sepa que es eso de un "0 day"....

en fin...

El 64 said...

Sólo he hecho un apunte como respuesta al desafío del dueño del blog, y es más que suficiente para quien no esté cegado. Se están poniendo unos resultados y diciendo que son los otros. Otra cosa: que "el admirado" Jeff Jones trabaje en Microsoft también tiene su puntito.

Existe una expresión castellana, que no conoceréis porque os va más el inglés, que dice: "Dos contra uno, mierda para cada uno".

Menos ir de sobrados y más humildad.

Por cierto, "el elegido", creo que debes tener mejores cosas que hacer que crear mensajes basura, que ya me has hecho más de 50.

El Elegido said...

Jajaja... es evidente que tú más que informático debías haber sido pastor, a tenor de tu forma de expresarte y tu conocimiento del refranero popular....

Mejor mira a ver si aprendes algo de informática, y dejas los apuntes para los blogs de Técnicos-Less.

¿Tú tampoco tienes nada mejor que hacer que CENSURAR MIS COMENTARIOS?


Empieza por aquí:

http:// www.securityfocus.com/
vulnerabilities

PD.: Mal que te pese, el inglés es el idioma de la informática, y se nota que tipo de informático eres tú....De los de la España profunda... De se ponen ciscos y se instalan redes nt...

El 64 said...

Los viernes tengo poco trabajo, así que me das entretenimiento. Hombre, con poner que borre todo ocupo bastante poco tiempo, pero tu tienes que hacerlo uno a uno. ¿Te pongo la imagen otra vez? Con más de 70 mensajes basura... creo que necesitas unas vacaciones. ¿Estrés quizá?

Que los anglosajones usen su idioma no significa que tu estés obligado a usarlo y obligues a otros a hacerlo. Así puedes demostrar incultura, falta de conocimiento en idiomas, dejadez, esnobismo o debilidad mental, así como ciertos matices de renegado.

Ah, una cosita. Informática != Microsoft.