Club.NET Almería

Hola:

 
Sobre la charla de Chema del viernes, quiero dar unas opiniones:

 

 

 
No creo en teorías de conspiración, en que bill nos esté vigilando, pero este articulo tiene su gracia:

http://arstechnica.com/news.ars/post/20080411-vistas-uac-security-prompt-was-designed-to-annoy-you.html

 

 

 
Para terminar quiero agradecer el esfuerzo hecho para organizar el evento, y en general la charla me gustó mucho. Otra vez un lleno en la sala.

Un saludo.

 

PD: Que conste, que soy usuario de Windows XP y Vista, con los que estoy satisfecho.
Post ditado por el autor

Buenas, 

Yo habría sido incapaz de expresarlo mejor. A mi me sentó especialmente mal las descalificaciones a las alternativas. Que cariturizara a las opiniones contrapuestas, entre las que me cuento. Cuando comenzó a comprar el kernel de linux con el kernel de vista y le dije que esa comparación no es posible, porque entre otras cosas el kernel de linux es público y dentro para la misma cosa puedes elegir muchas alternativas, frente al de vista -que NO LO TIENE EL GOBIERNO por temas de patente-, si es cierto que el gobierno por cuestiones de seguridad tiene más detalles de vista que el resto de la gente pero de ahí a decir que poseen el código, y si lo poseen por qué entonces es necesario llamar a un técnico de MS para que le explique qué hace el código. No puedo defender la seguridad del kernel de vista sin que la comparación con el de linux se haga en los mismos términos. Es muy pobre argumentar que vista es más seguro que linux porque tiene menos bugs detectados (claro hay dos cosas que se suma : 1.- la plataforma .NET y 2.- El desconocimiento ABSOLUTO de cómo trabaja el kernel de vista)

 Parafraseando a Chema (que personalmente creo que el mismo se tiene sobre dimensionado) para "testear" al kernel de linux se pueden usar la caja negra  y las pruebas de caja blanca (caja negra : cada parámetro se le hace tomar todos los valores posibles e imposibles y  caja blanca:.el código fuente a examen) al kernel de vista sólo se le puede aplicar la caja negra, y bastante cercenada porque NO ESTAN DOCUMENTADOS TODOS LOS PARÁMETROS (ni las APIS están todas las que son y esto chema lo debería saber mejor que nadie) Si dejams que toda la comunidad posea el código ¿EL KERNEL DE VISTA ES MAS SEGURO QUE EL KERNEL DE LINUX ? Apelando a que somos ingenieros ESTA AFIRMACION ES TOTALMENTE ARRIESGADA Y EL LA HIZO PARA NEGAR LA OPUESTA Y ADEMAS ME LO DIJO DELANTE DE TODOS (evidentemente yo quedé mal, pero eso me importa poco porque quien tenga criterio se dió cuenta que evidentemente : VENDIÓ LA MOTO).

 Respecto a USABILIDAD de VISTA : Dijo que le jodían los programas como firefox que "fastidiaban" al usuario con tonterias como :" HAY UN UPDATE DISPNIBLE" bien, le recomiendo dos cosas :

 1.-  Que se lea esto (tanto que lee) http://www.crn.com/software/207100934 y esto http://www.pcworld.com/businesscenter/blogs/mcallister_on_software/144500/vista_security_is_annoying_by_design.html 

2.- Debería ser menos categórico, ofender menos e ir menos de estrella, el aseo personal es una seña de respeto para el resto y eso de sentarse delante de un auditorio con las piernas cruzadas encima de la mesa me pareció de una falta de respeto leviatánica.

 En fin, que si alguna vez lee esto, seguro que me tildará de "TECNICOLESS", pero me da un poco igual. 

 Respecto a lo que dijo : Un gran porcentaje de servidores web corren linux y apache, es la única verdad que me pareció oir, pero a medias, no dijo que ocurre con windows e IIS  que se puede leer aqui  : http://jaberme.wordpress.com/2007/12/29/linux-estable-windows-%c2%bfimpredecible/

En fin, el balance fue positivo (por esto de las webs que "mostró" las herramientas lo de robots.txt ...)  que es en lo que se debería haber centrado.

 

 

---

José Antonio Álvarez Bermejo.
- - - disclaimer - - -
Las opiniones son como el olor corporal, a cada uno le gusta el suyo. No te esfuerces en oponerte a mi opinión por que esa es tú opinión y a mi me trae sin cuidado.

Aprovechando este hilo de discusión, voy a dejar un enlace (ya que estamos a 19 de abril, no creo que nadie se vaya a molestar porque lo haga) de un artículo que este mes he publicado en PC-Actual -junto con mi hermano que es un desarrollador Java en un banco. Espero que os sea de utiilidad :

 http://www.ace.ual.es/~jaberme/pca/pcactual.pdf

---

José Antonio Álvarez Bermejo.
- - - disclaimer - - -
Las opiniones son como el olor corporal, a cada uno le gusta el suyo. No te esfuerces en oponerte a mi opinión por que esa es tú opinión y a mi me trae sin cuidado.

Parece que hay polémica JeJeJe. Creo que de todas formas hay que puntualizar un par de cosas:

Primero: En todo momento habló del kernel de Vista y supongo que por ahí viene la verdad sesgada ya que un sistema operativo no es solo el kernel. Me gustaría que me aclaraseis si voy por buen camino.

Segundo: Aunque parece que el tema de las Vulnerabilidades si existen, creo que es justo decir que para que se pueda aprovechar una vulnerabilidad primero hay que encontrarla. Por esto se podría presuponer que un sistema con menor número de vulnerabilidades es más seguro. Esto no quita que si existe una vulnerabilidad en Linux sea más fácil de detectar gracias a poseer el código fuente.

Tercero: Una cosa si hay que reconocer, en seguridad Vista ha avanzado claramente, porque mejor no recordar los inicios de XP.

Por último decir que estoy de acuerdo con vosotros en que podía haber utilizado un tono menos sarcástico a la hora de hablar de otros sitemas que además tienen trayectorias muy positivas en cuanto a seguridad. Solo hay que recordar cuando el Saser atacó a Windows y Microsoft tuvo que habilitar un Apache para distribuir los parches.

 Espero más opiniones. ¡¡Animo!!

---

Come to the dark side, we have cookies.

“El Canon Digital te afecta, tu firma cuenta www.todoscontraelcanon.es”

Por cierto, no creéis que el tema del código fuente no se debería de utilizar en estos temas. A un usuario le da igual como se hayan encontrado las vulnerabilidades, le importa si le afecta o no. Es decir, si es más costoso encontrar una vulnerabilidad en Windows mejor para los usuarios. Eso no es precisamente un defecto. Otra cosa es a la hora de corregirlas que ahí viene la ventaja para linux.

---

Come to the dark side, we have cookies.

“El Canon Digital te afecta, tu firma cuenta www.todoscontraelcanon.es”

Hola Manu,

 esto es la pescadila que se muerde la cola, si no estamos de acuerdo en las bases de un sistema inseguro, jamas podremos comparar dos. En definitiva, con cosas como bitlocker es justo decir que vista es mas seguro que xp, pero si se publica el codigo fuente de vista, ¿tendriamos mas o menos vulnerabilidades detectadas que con linux?

 

LA DISCUSION WENO - MALO

 

 
saludos!!!
 

---

José Antonio Álvarez Bermejo.
- - - disclaimer - - -
Las opiniones son como el olor corporal, a cada uno le gusta el suyo. No te esfuerces en oponerte a mi opinión por que esa es tú opinión y a mi me trae sin cuidado.

Como dice Manu, la comparativa se hizo Kernel Linux vs. Kernel Vista, si nos centramos en el Sistema Operativo en conjunto, es normal que no sólo aparezcan bastantes vulnerabilidades en Vista, sino que también aumenten considerablemente las vulnerabilidades para una Distro Linux (sea cual sea), y si seguimos ampliando el ecosistema a todas las aplicaciones disponibles para cualquier sistema operativo, las vulnerabilidades no harán más que aumentar.

Escaladas de privilegios, modificación de archivos del sistema, etc son sólo algunos de los ejemplos más frecuentes. Y considerando el conjunto de aplicaciones+SO el número de vulnerabilidades sólo incrementará par windows. ¿Por qué? Porque hay mucho más aficionado haciendo aplicaciones, minijuegos, microutilidades, etc para Windows de los que puedan aparecer en cualquier repositorio Linux. Porque en windows es relativamente más fácil adquirir privilegios de administración que en Linux. Pero si nos atenemos a una comparativa exclusivamente a nivel de kernel, los números están ahí.

Pensemos de otra forma: Si no se tuviese acceso al código del Kernel de Linux de forma pública... ¿cuál de los dos sería más seguro, Linux o Windows? O ya que MacOS-X es un sistema tipo UNIX... cuál es más seguro, ¿el kernel de Vista o el kernel de MacOS?

Y en cuanto al sarcasmo, yo creo que lo utilizó como herramienta para captar la atención del público. Es fácil: Siembra la polémica y tendrás audiencia. Habla de cosas mundanas y cotidianas y la pierdes. Y una vez tienes a la audiencia en tu mano, es más fácil manipularla y moldearla a placer, dando los datos que te has estado preparando, mostrando una visión particular de los hechos que se ajuste a tus argumentos, etc.

De acuerdo que el ejemplo del taller es un tanto manipulador, fundamentalmente porque es más probable llevar al taller a un coche que lleva ya un tiempo andando y cuyos interiores conoces perfectamente (de forma que sabes de un vistazo cuándo falla algo), que un coche moderno, recién salido del taller, y que nadie conoce todavía porque va todo sellado herméticamente.

Y en cuanto a reírse de gente no-informática que habla de informática... bueno, no me gusta generalizar, pero hay casos que realmente se lo ganan a pulso. Es un caso de intrusismo, gente que adquiere conocimientos de alto nivel, y el desconocimiento de las bases sobre las que se asientan esos conocimientos les lleva a cometer errores garrafales, y en ocasiones incluso risibles, consecuencia clara del creciente intrusismo profesional al que los miembros de cualquier variente de ingeniería/ingeniería técnica informática nos vemos sometidos.

---

Fullbyte Alchemist

Efectivamente, Antonio, la comparativa se hizo Kernel Linux vs. Kernel Vista. Por este motivo no se puede aseverar NADA, ni en un sentido ni en otro, que es lo que dije en la sala. Y menos cuando las condiciones de comparacion son tan injustas, chema dijo que hay que usar la presuncion de inocencia:

(1) Como Vista no se conoce, no se puede decir que "la ausencia" de errores sea por eso.

Yo digo lo contrario:

(2) Como Linux se conoce, no se puede decir que la presencia de errores aqui sea por que es mas vulnerable que Vista.

Pero que vamos, que eso ya lo dije en el post anterior, nos podemos estar con esto dias, meses y años, porque unos adoptaran al opcion (1) y otros la (2) y cuando uno argumente la (1) el otro respondera : la (2) y viceversa.

 

 

---

José Antonio Álvarez Bermejo.
- - - disclaimer - - -
Las opiniones son como el olor corporal, a cada uno le gusta el suyo. No te esfuerces en oponerte a mi opinión por que esa es tú opinión y a mi me trae sin cuidado.

Buf, ¿por dónde empiezo? Aquí se ha hablado de mucho. Iré por partes:

jmlero:

Primero, creo recordar que dijo que el número de vulnerabilidades de Windows Vista era 0, pero en la página que usó pone otra cosa:
http://secunia.com/product/13223/?task=statistics

Así que, o dio otro dato, o lo miró en otra página. A ver si podéis solucionar mí duda.

No. 0 era el número de vulnerabilidades de SQL Server 2005. Windows Vista tenía algunas, pero no tantas como Linux.

En cuanto a la discusión general, me reitero en lo que dije a la salida de la charla. Entiendo perfectamente la posición de jaberme: el kernel de Linux es código abierto y tiene miles de ojos encima en una constante batalla por encontrar vulnerabilidades y corregirlas, de forma que podríamos decir que esta muy "curtido". Windows Vista en cambio es un kernel cerrado que sólo conocen algunas instituciones (los gobiernos por ejemplo).

Ahora bien, he estado leyendo los mensajes del hilo he visto demasiadas veces expresiones del tipo "y si", "podría", etc... Para no caer en teorías y especulaciones sobre la seguridad de Windows Vista, hay que basarse en métricas y datos contrastados; y el dato actual, sea por una razón o por otra, es que e kernel de Vista tiene bastantes menos agujeros de seguridad descubiertos que el de Linux. Quizá el día de mañana esto cambie y se pueda decir lo contrario, pero ya estoy usando la palabra "quizás" :P

 

A lo largo de su vida, Windows XP ha tenido agujeros de seguridad bastante graves, cosa que los Service Pack han ido ayudando a solventar. Es por ello que Windows Vista se programó desde el principio con la seguridad en mente, a costa de sacrificar en ocasiones la comodidad del usuario final (véase el UAC). Lo mismo va para SQL Server 2000 y SQL Server 2005: es histórico que un sistema de gestión de bases de datos no tenga vulnerabilidades conocidas, y quizá esto venga bastante motivado porque la versión 2000 era un desastre en este sentido.

 

Las empresas, al igual que las personas, también tienden a aprender de los errores, y si una de las carencias de Windows XP era la seguridad, es totalmente lógico que Microsoft se haya esforzado en hacer Windows Vista lo más seguro posible.

 

Quién es realmente el más seguro sólo nos lo dirá el tiempo, pero a día de hoy, los datos son esos.

karloch:

 

No. 0 era el número de vulnerabilidades de SQL Server 2005. Windows Vista tenía algunas, pero no tantas como Linux.

 

Bien, ya está mi duda solucionada. Sabia que habia confundido los datos. 

 

karloch:

Ahora bien, he estado leyendo los mensajes del hilo he visto demasiadas veces expresiones del tipo "y si", "podría", etc...

 

Puedes hacer la prueba, si usas Firefox pulsa Ctrl+F y busca esas palabras.   

 

Post editado por el autor

jmlero:

Puedes hacer la prueba, si usas Firefox pulsa Ctrl+F y busca esas palabras.

Lo cierto es que así es. Vaya cosas ¿no? :P