Barrapunto

Este lo publicó fernand0 en su mi barrapunto, donde Gene Spafford.

El problema de ir a cazar fallos y meter bugfixes es que siempre es mucho más aburrido que meter cosas nuevas en los programas :( (y esto va por todo tipo de software).

La conclusión es clara: el código abierto se puede mirar, y se puede arreglar en casa pero: no todo el mundo puede/sabe.
Además el hecho de que pueda haber más ojos mirando no quiere decir que los haya. Incluso cuando los hay, se equivocan (véase el lío del openssh de este verano).
Cuando se habla de código propietario (y el propietario es otro) dependes del otro para todo (reconocer que el fallo existe, dar una solución, etc,... ).
Los expertos parecen estar más o menos de acuerdo en que nada garantiza nada ;)
La vida es dura.

Estoy de acuerdo con tu comentario, y creo que has tocado el tema fundamental:

reconociendo que "nada garantiza nada"... elijo la libertad... aunque también sea dura. ;-)

Esto que dices es cierto hasta cierto punto. El código de un proyecto libre no está tan sujeto a los intereses de una compañía y puede ser manipulado mucho más rápidamente. Aunque esto no sea siempre así no suele pasar lo que pasa con empresas que tardan incluso días en tan sólo reconocer un bug evidente.

resulta penoso que demos credibilidad a estas compañias perdidas y vendidas al vil metal que las
mancilla........
Es por ello que yo las digo, que la fuerza vuelva a vosotras y redescubrais el camino del bien hacer y la logica que es la base de la informatica......

Tonterias las minimas.
un saludo.

Creo que los (ir)responsables de las distribuciones de Linux han cometido un error garrafal: jugar al "yo meto más cosas que tú" en las distribuciones.
¿El resultado? Aparece un bug en un programa de simulación de reacciones nucleares en un plasma de gluones, y Debian, Red Hat, Mandrake, etc, tienen que emitir un aviso de fallo de seguridad. Los usuarios, claro está, percibirán que "Linux" ha tenido otro fallo de seguridad.
Ya va siendo hora de que empiece a haber un poco de orden en las distribuciones de Linux. ¡Aunque solamente sea por evitar estos malentendidos!

yo no tengo claro si han salido mas o menos vulnerabilidades que en guindous, la verdad es
que no me creo demasiado esos estudios sabiendo
como se el como se hacen ciertos estudios, pero
dejando eso aun lado, lo que esta claro es con
el software libre se tienden a solucionar bastante
rapido y con guindous se de fallas que se detectan
pero no se nada de las soluciones. ej: las zlib.

Lamentablemete también está sujeto a intereses de otro tipo (ego, prisas, entorno,....)

La vida se empeña en mostrarnos una y otra vez que todos cometemos errores (comerciales y no comerciales) asi que la mejor aproximación seguramente sea la humildad y la honestidad.

Y de los buenos.

Los argumentos de Aberdeen Group y sus conclusiones son inverosímiles.

Tenemos los tópicos de siempre: there is no single entity responsible for quality assurance or for addressing security issues, a popular misconception: that Microsoft software suffers the most security problems, decreased number of Microsoft security problems (!).

Eso no hay quien se lo crea. only seven security problems were documented in Microsoft products es un punto importante. En los desarrollos Open Source no se tiende a ocultar los fallos de seguridad.

Parece ser que los virus no son fallos de seguridad, y que los incidentes tipo Code Red, Nimda (IIS exploit), Badtrans, Klez, Nimda (IFrame Exploit), y lo que queda por venir. Un gusano que explote el recientemente anunciado bug en el MDAC de M$ será desastroso. Aunque seguro que el problema serán entonces los usuarios, que no se actualizan a XP (¿casualidad que esté afectado por el fallo?).

Por otra parte esta gente entiende como soft de Linux todo el Open Source (osea, cualquier soft que de fallo corriendo en Linux), mientras que los bugs de soft que corre en m$ windows no es responsabilidad de m$...

¿Qué credibilidad tiene este informe? Desde mi punto de vista muy poca o ninguna. Ahora bien, hay que entender que mucha gente lo leerá y lo creerá (como buen FUD que es). A ver si no se hace esperar la contramedida por parte de la comunidad Open Source.

Un saludo.

A ver:

Primero lo de siempre, la gente de barrapunto: "Linux ha tenido más vulnerabilidades (dos) que Windows (ninguna)". Pues bien, para que la gente se entere, que sepais que habla de TROYANOS. No penseis que se trata del sistema operativo en si, como a entender a primera vista.

Segundo: Vamos a creer a hispasec y medios patrañosos y demas. Quedemonos con lo fabuloso de que no se detecto ningun fallo en el software de microsoft en estos 10 meses. Claro, las listas de correo de microsoft que mandan fallos de seguridad sus productos deben mentir. ¡AAAH!. Es que es de virus y troyanos. se ve a que a M$ le sobra dinero para comprar estos estudios.

Luego es lomejor, el concepto Windows-Linux. Cuando se habla de fallos de seguridad
de Linux, se habla de *miles* de paquetes de software. En mi debian sid a dia de hoy puedobajarme 11 mil y pico paquetes. Ahora, son muy cuidadosos en comparar eso con el software de
*Microsoft*, que son el XP, el office, el IE y 4 chorradas mas como el sql server y familia. Estan comparando todo el software de un sistema operativo (y eso sin considerar que muchos de
ellos son portables a multiples sistemas operativos) con el de una sola empresa.
Todo iria de perlas si la gente tuviera dos dedos de frente antes de escribir articulos como este (y como este un par que ya he visto -y comentado en sus foros- en internet)

No hay mas que ver lo que dice para ver de quien va todo esto: Dice que el software libre seguira aumentando sus vulnerabilidades, mientras que el de M$ continuara con los mismos errores o descendiendo, debido al cambio de politica de microsoft que se ha preocupado por la seguridad y debido a su preocupacion que ha hecho que sus
esfuerzos den frutos etc etc. No se les ve el pelo, que va.

Cierto, la carrera que están teniendo diversas distribuciones de Linux por obtener la mayor cuota de mercado a base de tener lo último de lo último (por lo general, con cosas poco probadas/inestables) dan lugar a noticias como esta. Llegué a usar RedHat hasta la versión 4.2, posteriormente me pasaron la 5.0, aparentemente mucho mejor pero que demostró tener muchos fallos. Probé entonces Debian, distribución que uso hasta el día de hoy, y el resultado ha sido mucho mejor. Con esto no pretendo decir que la distribución que uso es mejor que la tuya ni chiquilladas por el estilo, tan solo quiero dar un toque de atención a aquellos que están siguiendo el juego a estas compañías que sacan una distribución nueva cada tres meses, sin preocuparse de si lo que están poniendo en el mercado está lo suficientemente probado o no.

Tengo un grupo de compañeros en el trabajo que tienen el gusanillo de probar Linux. Llevo trabajando con ellos poco mas de un año y desde que empezaron han cambiado de versión poco mas o menos cuatro veces cada uno. No se les puede considerar verdaderos usuarios de Linux, mas bien me dan la impresión (como mucha gente) de que son de los que luego van comentando por ahí que tienen instalada la versión X.Y.Z de FooBar Linux que está chulísima y poco mas. Es mas, como lo tienen instalado en portátiles y los van enseñando por todos sitios, creo que los usan para :-D ligar.

¿El resultado? Aparece un bug en un programa de simulación de reacciones nucleares en un plasma de gluones, y Debian, Red Hat, Mandrake, etc, tienen que emitir un aviso de fallo de seguridad. Los usuarios, claro está, percibirán que "Linux" ha tenido otro fallo de seguridad.

es un buen razonamiento.. quién culpa a FreeBSD cuando uno de sus ports es vulnerable? pero olvídate de eso, en Linux la instalación de paquetes "extra" es opcional; por ejemplo, una Debian stable recién instalada (solo con base) puede considerarse bastante segura.. entonces, que sugieres, que para que la gente no perciba que "Linux es inseguro" se eliminen los advisories de todo lo que no sea el sistema básico? eso no soluciona nada y no creo que deba cambiarse el funcionamiento en ese sentido.. y después está la dudosa metodología del estudio, imagínate que Microsoft generara advisories para todos los productos que puedan correr en su plataforma..

1.- preguntaría si los fallos son del núcleo, de programas que acompañan al sistema operativo, o de qué
2.- si son de los programas que acompañan al sistema operativo, preguntaría si todas las distribuciones están afectadas o sólo una o algunas (no queramos hacer de la parte el todo ya que todas las distribuciones no son iguales)
3.- de nuevo, si los fallos son de programas, preguntaría si esos programas son exclusivos de Linux (no vaya a ser que también existan en otros sistemas operativos)
4.- preguntaría por lo ocurrido en los últimos 5 años, porque, si no, podría mirar lo que ha ocurrido en la última semana o dos semanas y claro, el nuevo fallo de Windows contaría, y Linux no tendría fallos, y entonces Windows es mucho más inseguro.
5.- preguntaría por el tipo de error y su gravedad. También por la rapidez con la que se puede resolver
6.- y no sigo porque es suficiente :-)
Un saludo.

  Diseñamos el soft en base a su utilidad, sea el desarrollo libre o no, los fallos de seguridad aparecerán tarde o temprano. Si diseñaramos el soft en base a la seguridad, estos fallos se atenuarian siendo casi inexistentes, contando siempre con un desarrollo razonable, con sus respectivas pruebas.
  Resumiendo, da lo mismo que el soft sea libre o no, si usamos un sistema de desarrollo NO basado en la seguridad SIEMPRE habrá fallos de seguridad. Si a esto le añadimos que las pruebas del software suelen ser insuficientes, los fallos aparecen, siendo fallos de desarrollo, sin influir si el desarrollo es libre o no.

Si no fuésemos completamente idiotas los que por desgracia tenemos equipos con Linux y soft libre pensaríamos que el informe de marras lo paga M$

Tengo servidores con linux(RH 6) con mas de 4 años sin parar y servidores Windows NT 4(SP6) que cada dos o tres meses X h o X b tengo que reiniciar.

“”Durante el año 2001 se publicaron seis avisos con relación a virus y troyanos que afectaban a los productos de Microsoft. En los diez primeros meses del 2002, no se ha publicado ninguno. “”

Joder.. ¿los de Panda Antivirus y demás no cierran? si no tienen curro, con la versión del año pasado te sobra

“”Con estos datos, para Aberdeen Group algunos mitos de la seguridad quedan en entredicho. Los productos de Microsoft no son los más vulnerables que existen y sistemas Unix y Linux, así como los proyectos de código abierto, son también vulnerables a los efectos de los virus, gusanos y troyanos.””

¿quien firma el estudio le chofer de Bill? Por que el propio Bill diría semejante tontería “Los productos de Microsoft no son los más vulnerables” que risa y lo de que proyectos de código abierto, son también vulnerables a los efectos de los virus, gusanos y troyanos los sabe todo el mundo.

Pues por decir tal cumulo de sandeces. Que les den por donde amargan los pepinos :)

No me meto con que lo que dicen sea verdad o mentira, pero partiendo del hecho de que tener éxito probando un sistema es encontrar la mayor cantidad de errores posible (lo que indica que las pruebas al sistema han estado bien planteadas), entonces una de dos: o Windows es invulnerable, o en el departamento de pruebas SW de M$ tienen a una panda de inútiles que han estado un año cobrando por no hacer nada. Sabiendo que cualquier SW hoy en día tiene agujeros, el ir vanagloriándose de que no se ha encontrado ninguno quedará muy bien a nivel de márketing pero cualquiera que haya tirado 10 líneas de código sabe que es una soplapollez.

Encontrar fallos no es malo, si luego los corriges. Lo que sí es malo es no buscarlos, o negar que los hay. Porque (de momento) siempre los hay, y curiosamente tienden a aparecer cuando estás presentando W98 a la prensa o situaciones parecidas...

Con mucho gusto te explico un par de cosas.
        En un servidor es recomendable tener un S.A.I.. pues cuando la tensión se peta manda una señal por el puerto serie al servidor para que se cierre ordenadamente. Pero eso yo no lo considero un ataque DOS.
        Cualquier administrador con mas de dos días de experiencia, apaga sus servidores para: limpieza de rendijas de ventilación, cambio de ventiladores, etc. En la empresa donde trabajo (6 años) hay equipos IBM RS/6000 (AIX-4) con mas de cinco años de funcionamiento pero no seguido descontando apagones y mantenimiento preventivo etc.
        Y por ultimo el servidor de Linux que mencionó sirve: Ftp (conexión con nuestra delegación en Sevilla por RDSI) servidor web (Apache) de una intranet con cgi para recuperación de archivos por parte de los usuario y respaldo entradas y salidas de modelos Catia (software de diseño asistido CAD /CAM).

De todas formas si tienes alguna duda me mandas un emilio y lo comentamos pero te recomiendo que no afirmes cosas sin saber