Barrapunto

¿puede ser esta una razón suficiente como para argumentar la NO necesidad de parchear y actualizar las aplicaciones de escritorio?

¿Quién ha dicho algo así? El apt-get dist-upgrade semanal es mandato divino. Ya lo dice el Cuarto Mandamiento: "apetegetearás todas las fiestas" ("los festivos", se entiende).

Pues hombre, está claro que los privilegios de usuario son una barrera, pero más dirigida a protegetr la integridad del sistema que a proteger al usaurio en sí. El problema, como bien apunta en el artículo, es que un usuario vulnerable (debido a programas no actualizados o con vulnerabilidades no corregidas) puede ser víctima de phising, robo de contraseñas, malware que forme botnets, envíe spam o simplemente robe potencia de cálculo al huésped sin necesidad de afectar a la integridad del sistema. Vamos, un simple virus que borre todos sus archivos de usuario ya es suficiente faena.

Desde el punto de vista técnico es un disparate, una vez que has conseguido el acceso a un equipo hacer una escala de privilegios es "relativamente" sencillo.

Por otro lado aunque no se comprometa el sistema por completo, damos por hecho que los datos de ese usuario importan una m..rd., posiblemente que el individuo en cuestión tendría algo q objetar.

Otra cosa es el día a día, mantener todo el software instalado (no solo el S.O.) en una oficina de 100 pcs son muchas horas de trabajo, además muy ingrato pq si lo haces bien no se nota (no hay problemas de seguridad por lo que la gente no habla de ello).

Al final pasa lo de siempre, pocas empresas están dispuestas a invertir los recursos necesarios para hacerlo.

Si se apoderan de un usuario sin privilegios es cuestión de tiempo que se esnife el password de root la próxima vez que el usuario haga un sudo o lo que sea. Siempre se puede limitar el logueo de root a un par de consolas y quitar sudo pero es una tocada de huevos. Y de todos modos si se me cargan la /home me da un poco igual que hagan lo mismo con /etc la verdad.

La cuestión es que lo de la seguridad inherente de linux es una gilipollez, si algún día se hace mayoritario y la gente empieza a bajarse paquetes .deb de todo-juegos-guarros.com ésto parecerá el coño de la bernarda igual que windows. Se pueden tomar medidas pero eso supone capar mucho la funcionalidad y la mayoría de gente desactivaría estas medidas. Al fin y al cabo el sentido común no puede sustituirse por ningún software de momento.

La cuestión es que hoy en día gran parte de los virus que hay un windows se deben a usuarios que los instalan directamente. Vale que el IE6 sigue siendo un colador, pero conozco gente que usa el firefox y con su antivirus instalado y igual está repleta de virus bajados del emule. Además que hoy en día la mayoría de gente está detrás de un router con NAT.

Los usuarios con permisos restringidos dan mucha seguridad en un servidor, o en una empresa o centro de enseñanza donde los usuarios están totalmente capados. En el escritorio casero suponen una pequeña barrera pero ni mucho menos la más importante.

El artículo tiene la buena intención de abrir los ojos a todo aquél que piensa "con usuarios sin privilegios, todo está arreglado".

La segregación de privilegios y el control de acceso a recursos son fundamentales, pero no lo son todo en seguridad. Ya lo han dicho arriba: si puedes ejecutar código arbitrario en una máquina, es cuestión de tiempo que controles la máquina como usuario privilegiado.

El problema es que luego el artículo se centra en la actualización de software como única medida preventiva, y mezcla conceptos que nada tienen que ver: por ejemplo, el 99% de los ataques CSRF se deben a errores en el código proporcionado por las aplicaciones web, los ataques de MITM suelen ser factibles debido a implementaciones débiles de control de acceso a la red (uso de WEP en redes inalámbricas, no uso de SSL o uso de certificados autofirmados, etc.), los ataques de phishing son ingeniería social en un 99% de las veces... Todo esto no se arregla actualizando el software de cliente. (Salvo que consideremos que la mente del departamento de TI y de los usuarios son también software :P)

A bote pronto supongo que S21Sec querrá vendernos algo (un sistema de gestión de vulnerabilidades de software?). Eso no significa que el artículo sea muy malo, pero no es todo lo riguroso que debiera, en mi opinión. ¿Qué pasa con la formación del usuario? ¿Qué ocurre con la configuración segura de los sistemas? ¿Dónde nos dejamos el control de acceso a la red? Y mil cosas más como copias de seguridad, control de acceso físico, etc. Todo ello, por supuesto, realizando un buen análisis del riesgo que incluya identificar qué es lo que queremos proteger, cuánto vale y cuánto nos va a costar protegerlo, no nos volvamos locos...

En definitiva, parafraseando al editor, yo diría: ¿Todavía te crees a salvo sólo actualizando tu software?

Ah y una postdata para Defero... yo no haría un dist-upgrade diario ni de coña, especialmente en servidores en producción. Para actualizar vulnerabilidades de software están los repositorios security de Debian y Ubuntu. :)

Pocas veces uso Firefox desde Windows pero suelo hacerlo desde una cuenta de XP no administrador. El problema es que se descarga las actualizaciones pero al no ser administrador no puede instalarlas. Supongo que de vez en cuando tendría que lanzar la cuenta de administrador, pero no deja de ser lioso que el querer disminuir el riesgo de una cuenta poderosa no te permita disminuir el riesgo de una versión vieja.

El artículo menciona como uno de los problemas la heterogeneidad de las aplicaciones cliente, pero es evidente que estaba hablando de Windows.

Como ya han comentado más arriba, en sistemas Linux puedes actualizar todas las aplicaciones instaladas de forma centralizada, ya que comúnmente todas ellas se instalan utilizando un mismo sistema de paquetes, algo que no sucede en Windows.

Obviamente, esto tiene sus ventajas y sus inconvenientes, pero esta característica siempre ha sido un punto a favor de los sistemas Linux actuales. Puede que Linux sea en general un sistema más seguro y estable para el usuario porque todo el malware está focalizado en la plataforma más utilizada, pero no hay duda de que este tipo de cuestiones también incrementan la seguridad del sistema.