¿Estamos de Broma (y2)?

Después de haber escrito el post ¿Estamos de Broma? en el que contaba mi experiencia de usuario casero con OpenOffice 3.0, me quedé con ganas de profundizar un poco más y la verdad es que he pasado de la estupefacción a la estupefacción, pasando por la más estricta estupefacción. El post debería haberse llamado ¿Estamos de Coña? pero opté por el (y2) en su lugar. Los tacos bien utilizados suman desahogo, pero restan credibilidad ;-)

Habitualmente los discursos competitivos planteados desde Microsoft han tenido mucho que ver con las tremendas diferencias en productividad ofrecidas por las herramientas y utilidades de MS Office en comparación con las de OpenOffice 3.0, así como en las posibilidades para el Information Worker con MS Office como plataforma de desarrollo (en breve anunciaremos un espectacular ejemplo de esto sobre “facturae”), pero nunca nos habíamos centrado en analizar otro tipo de aspectos mas relacionados con la gestión IT de un entorno corporativo desplegado de OpenOffice vs uno sobre MS Office 2007. Y es aquí donde la sorpresa recogida en el primer post, pasó a la “estupefacción” que comento en este segundo. Y si. realmente esto es de flipar.

1ª Sorpresa: Comparar MS Office System con OpenOffice 3.0 es como comparar “La charanga del Tio Honorio” con “La Traviata” (venga, que nadie se enfade. Un poquito de humor ;.). 2 imágenes, o su equivalente: 2.000 palabras:

image image

2ª Sorpresa: 13 releases de OpenOffice.org, en 38 meses. Es decir, una nueva versión cada 3 meses de media (¿Escuché alguna vez alguna queja sobre la frecuenca de las versiones de Ms Office? ;-)

imageClaro, claro. No tienes porque cambiar de versión. Estupendo. Pues te quedas sin actualizaciones de seguridad. Ahh ¿Que no lo sabías? Si hombre si. En OpenOffice los parches de seguridad no se instalan de forma individual. Cuando se encuentra una vulnerabilidad y se corrige, se incluye en la siguiente versión… COMPLETITA.  Así que si quieres tenerlo medianamente seguro, prepárate a desplegar una nueva versión completa cada tres meses. Y mientras eso ocurre (si es que finalmente ocurre), reza porque nadie ataque esa vulnerabilidad conocida porque no tendrás defensa ¿Acoj… Asusta verdad?

3ª Sorpresa: Tamaño del ejecutable (Actualización: ojo, del instalable. De ese que hay que distribuir con cada minor release).

Una imagen vale mas que mil palabras. Sin comentarios:

image

4ª Sorpresa: Lo que ocupa en Memoria. Así se arrastra el animalito … 46Mb vs 2Mb que te ocupa un PowerPoint. Es decir, 23 veces más.

image

5ª Sorpresa: Rendimiento. 10 presentaciones PowerPoint en Ms Office 2007 simultaneas tardan 15 segundos en abrirse y ocupan 9Mb en RAM. Bien. 10 Presentaciones al mismo tiempo en OpenOffice tardan 90 segundos en abrirse y ocupan …… 135Mb de RAM !!!!! Es decir… 15 veces mas

image image

Pero no solo eso. openOffice tarda 30 segundos en abrir 10 odts y ocupa 120 Mb de RAM. Microsoft hace lo equivalente con documentos OpenXML en 10 segundos y ocupa 25MB de RAM. Es decir, 3 veces más rápido, ocupando 5 veces menos de memoria.

6ª Sorpresa: Roadmap… ¿Perdón? ¿Eso que es lo que es? Pues no es mas que poder contar a un cliente cual es la evolución inmediata y futura del producto que ha adquirido, darle la opción de opinar, influir, y sobre todo, asegurar que detrás de esa tecnología hay alguien a quien reclamar, felicitar, protestar, exigir y visualizar con garantías una escala de tiempo que me permita planificar. A modo de ejemplo, este es un pantallazo de la siguiente release de Office (Office 14).

image

Bien.

- Y que pinta tiene esto en openOffice.

- Bueno, ejem, pues … ¿Mira que refresca por las mañanas ehh?

- Mejor pregúntale a Michael Meeks (programador a tiempo completo de openOffice.org)image a ver que opina. ¿Que opinas Michael?

- ¿Que qué opino? Pues que “Las estadísticas muestran un lento desentendimiento por parte de SUN, combinado con una espectacular falta de crecimiento en la comunidad de desarrolladores en OO.o desde que se lleva registro: 24, esto contrasta negativamente con la reciente baja en Linux de 160+. Aun visto de la manera mas positiva, OO.o está aletargándose desde la perspectiva de su desarrollo”

image

- bueno vale Michael, algo mas que añadir?

- YESSS: “Why is my bug not fixed ? why is the UI still so unpleasant ? why is performance still poor ? why does it consume more memory than necessary ? why is it getting slower to start ? why ? why ? - the answer lies with developers: Will you help us make OpenOffice.org better ?”

Bueno, esto es todo un extracto "recreado" ;-). Aquí teneis el original.

7ª Sorpresa: Seguridad. ¿Y que sea este un tema que algunos posicionan como valor de openOffice? Como dijo Trillo …MH ;.)  A alguien le suena esto de Information Right Management ? Se a quien NO le suena.

Esto no es mas que aplicar criptografía avanzada de cifrado a la información almacenada en un documento, y acercar su uso al usuario de Ms Office2007 para que de forma MUY sencilla, proteja la información de la forma mas robusta que la tecnología puede ofrecer hoy en día. Un par de clicks y proteges un documento para que no pueda ser copiado, pegado, reenviado, impreso, abierto antes o después de tal fecha etc, etc ..

image

Pero no solo eso, esto es lo que Eric Filiol, ponente en las conferencias de Seguridad BlackHat ha dicho este mismo año: At the present time, it seems far easier to develop sophisticated document malware for OpenOffice than for Microsoft Office”, It is worth mentionning that the attacks we present are NOT based on software (implementation) flaws but on conceptual weaknesses that urge a redesign of the whole software concept. Eric Filiol at BH EU 2k9

Es decir, mas o menos dice esto: "En el momento actual, parece mucho mas facil desarrollar un documento sofisticado con Malware para OpenOffice que para Microsoft Office. Merece la pena mencionar que los ataques que presentamos NO están basados en errores de software (implementaciones), sino en debilidades conceptuales que urgen un rediseño de todo el concepto del software. Eric Filiol at BH EU 2k9 "  

O sea, que ahora mismo es mas fácil desarrollar Malware para openOffice que para MS Office.

Si a eso le sumas que no existen los parches de seguridad (tan solo las releases completas), optar por openOffice en un entorno corporativo es jugársela demasiado en seguridad.

8ª Sorpresa: Gestión. ¿Tienes  un Directorio Activo? Pues ya puedes gestionar muy granularmente tu despliegue corporativo de Office. Nada mas.

image image image image

Tienes un despliegue de OpenOffice ? Pues tendrás que adquirir el Sun Java DEsktop Configuration Manager, incluido en Solaris, y licenciado por servidor. Pero vamos, olvídate de gestionar parches de seguridad. No se puede gestionar lo que no existe ;.)

9ª Sorpresa. Metadatos. Ante esto se puede saber lo que es un metadato, o no saberlo. Si no se sabe, la preocupación desaparece, y en ese sentido nos da igual MS Office que OpenOffice. Si se sabe, entonces ya no da lo mismo. Y creedme que merece muy mucho la pena “saberlo”.

Los metadatos en un documento ofimático pueden contener información de contexto que probablemente no queramos que viaje con el documento. Todos recordaremos algún famoso caso ocurrido en el Reino Unido al respecto de los metadatos “indiscretos” de un documento de Blair sobre Iraq. MS Office 2007 contempla este tema de forma muy expresa y sencilla:

image image

además de alguna herramienta específica para la limpieza de metadatos de los documentos generados por Office 2003 y XP.

¿Y la limpieza de metadatos en OpenOffice?  Pues encontraremos que no borra datos ni impresoras de red, rutas de plantillas. Os sorprenderíais de la información que mi colega “El Maligno” es capaz de extraer sobre la red de una empresa que no haya limpiado los metadatos de sus documentos expuestos en internet. Un auténtico mapa del tesoro expuesto, para cualquiera que vaya buscando algo.

ACTUALIZACIÓN 22/04/09:--------------- 

10ª SorpresaFirma Digital. Tras las conferencias de Blackhat de la semana pasada, tengo que añadir una 10ª Sorpresa que perfectamente ha recogido "El Maligno" en su blog del cual extraigo estos párrafos, así como el disclaimer del ponente de Blackhat:

....

Documentsignatures.xml no firmado ni cifrado
Otra de las debilidades que aprovecha este trabajo de investigación es que el fichero que almacena las firmas de los ficheros no está firmado, es decir, documentsignatures.xml puede ser modificado porque no se comprueba su firma. Además, en caso de cifrarse el documento, de nuevo éste, al igual que manifest.xml, queda sin cifrar.

....

Inyectando malware en ficheros firmados
La idea es tan simple que asusta. El problema es que OpenOffice no comprueba contra ningún certificado que la entidad que ha firmado el documento es una entidad de confianza. Es decir, cuando Alice manda un certificado a Bob firmado por la EntidadCertificadora, el programa de BOB debe comprobar que la el documento enviado por Alice ha sido firmado por EntidadCertificadora y no por otra. OpenOffice no lo hace, así que basta copiar los datos de la firma de Alice y crear una nueva falsa que OpenOffice no lo va a detectar, el resto es… trivial.

....
Conclusiones
El firmado de documentos es inseguro en cualquier situació e incluso ni el cifrado del mismo protege contra la inyección de malware en un documento firmado.

Añado yo esta otra conclusión. España es un pais en el que la firma electrónica está especialmente avanzada (una ley de firma, diferentes proveedores legales de servicios de firma... incluido un eID como el DNI electrónico etc..), y en el que muchas de las iniciativas de modernización de la administación en su relación con los ciudadanos pivotan en torno a este concepto (Ley 11 fundamentalmente). Es por tanto especialmente importante conocer este tipo de realidades para que cualquier decisión tecnológica, se fundamente en el conocimiento, los datos y la información y no en el "ruido" de fondo. 

FIN ACTUALIZACIÓN 22/04/09:---------------  

No pretendo ser exhaustivo. Pero si he entendido una vez mas que nadie da duros a pesetas, y que el "good enough" puede no ser ni "good" ni "enough", además de poder ser una trampa de costoso, pero seguro retorno. Me reafirmo en mi opinión de que cualquier viaje de Ms Office a OpenOffice, en el estado actual del arte, es un viaje de retorno seguro. Pero añado además que podría ser una pesadilla para los responsables de sistemas y seguridad.

En fin…. tan solo agradecer una vez mas a Chema, que me ha aportado un contenido de un tremendo valor, y que aunque le mole eso de ir de Maligno, es el uno de los tipos mas generosos que conozco.