Microsoft y la Seguridad ¿Buenos amigos? (y 2)


Segunda parte de un post que hace algún tiempo puse a este respecto y que titulé: Microsoft y la Seguridad ¿Buenos amigos?


Sin grandes alharacas, sin grandes anuncios, sin grandes campañas…


Desde que Microsoft puso la seguridad como pilar allá por el 2002 con la “disruptiva” iniciativa llamada TrustWorthy Computing, se comenzó una andadura que 7 años después es muy reconocida por el sector profesional.


 


Es especialmente destacable el Secure Development Lifecycle que afecta a todo producto de Microsoft, y como fruto de ello, por primea vez en la historia, SDTimes posiciona a Microsoft como uno de los grandes en Seguridad, en una lista corta junto a Coverity, Fortify, Klocwork, Progress, Safenet, Selenium, Veracode.


 


Con esta frase se introduce el galardón a los premiados:


 


Security vulnerabilities can be introduced at any stage of the application life cycle, perhaps because of simple coding errors, or because sophisticated enemies found and exploited a flaw that you never knew existed. There are many techniques for detecting security vulnerabilities, and the innovative companies recognized in this category have demonstrated that their products and services make a real difference.


 


Es decir, algo así como:


 


Las vulnerabilidades de seguridad pueden ser introducidas en cualquier fase del ciclo de vida de la aplicación, quizá a causa de errores de codificación, o por enemigos sofisticados quye explotan una vulnerabilidad desconocida. Hay muchas técnicas para detectar vulnerabilidades de Software, y las innovadoras compañías reconocidas en esta categoría han demostrado que sus productos y servicios realmente marcan la diferencia.


 


Para alguien que ha llevado la seguridad de esta casa en sus tiempos “duros” y siendo testigo del enorme esfuerzo interno que los grupos de producto desarrollan de forma seria, constante y silenciosa, leer este reconocimiento a la seguridad de Microsoft por un SDTimes, en un capítulo donde Microsoft es la única empresa galardonada no dedicada unicamente a la seguridad, es realmente muy gratificante.


Me sigue sorprendiendo mucho que en el mundo de competencia Software Libre vs Microsoft, se pretenda poner la seguridad en su haber, cuando la disciplina de desarrollo, predictibilidad, y ciclo permanente de revisión constituyen la base del desarrollo seguro. Curioso.

Comments (46)

  1. @Luis, Iván, me alegro que hayas descubierto el por qué te borraba tu comentario. El que has puesto está bastante mejor ¿no crees?

    En cualquier caso, me da la sensación (a lo mejor me equivoco) de que eres bastante joven (eso de "por fin habla" delata la impaciencia del que parece tiene el tiempo suficiente para "guerrear" en un blog a las 21:30, a la espera de respuesta inmediata).

    Te recomiendo que te alejes de los extremismos de cualquier signo, porque entre otras cosas solo te impiden reconocer nada positivo en tu adversario, y la falta de conocimiento solo va en tu contra. No en la mia.

    Lo que he puesto en este blog, son verdades que tu mismo podrías contrastar tan pronto seas lo suficientemente libre como para indagar por ti mismo, te alejes de tópico facil de MS inseguro y tengas tu propio juicio. Ya aunque te lo creas, aun no lo eres.

    En el sector de la SEGURIDAD (con mayusculas), lo que he puesto aquí es una verdad reconocida, pero te invito a que saques tus propias conclusiones. Indaga por ejemplo en secunia.com. Compara vulnerabiliades de MS SQL Server con ORACLE por ejemplo, o de Apache con IIS etc.. Quizá descubras algo muy diferente a lo que esperas. Y aunque no lo hagas, te sugiero que en cualquiera de los casos, te relajes. Esto es solo tecnología aunque algunos pretandan crear una religión.

    Saludos

  2. @Alguien, yo no pongo un blog para restringir los comentarios de los que no opinan como yo. Para eso me ahorro el esfuerzo. Me gusta debatir. Pero tampoco pongo un blog para tragarme insultos de nadie. No hay mas condiciones. No creo que sea una norma muy estricta, verdad?

  3. @Luis Iván, “No te hagas el Detective” 🙂 Me encanta tú comentario. Creeme que no he indagado sobre tí. Lo que escribes te delata.

    Pero anécdotas aparte, seguro que tienes un talentazo y que ojalá encuentres el camino para desarrollarlo. Y como ya se que tienes 13 años, me permito darte un consejo: “No abandones nunca el espíritu crítico que tienes, y libérate de todo prejuicio de cualquier color. No hacen mas que empobrecer al que los tiene.”

  4. @CXO, gracias por tu comentarios.

    Coincido en parte con tu visión. Aunque piensa sin embargo lo que ocurriría si los "investigadores de vulnerabilidades" de todo tipo (particulares, empresas de seguridad, etc ..) trasladaran idéntica "presión investigadora" que tienen sobre Microsoft,  a otro tipo de software menos usado como Linux, MAC etc ..

    Es decir, con un simil Físico, supongamos que esa presión hacia Microsoft es actualmente 100, y que hacia otros entornos es 15. Aun así, en esas condiciones, Microsoft tiene en este momento menos vulnerabilidades que muuuchos sometidos sin embargo a presión 15.

    Como un día les aumente la presión, y les pase de 15 a por ejemplo … ¿50?, muchos se iban a descolgar de la carrera.

    Pero si se igualasen a los 100 que recibe Microsoft, muy pocos serian capaces de resitirlo (sin cambios profundos en su concepción de desarrollo de software)

    ¿Que significa esto? Pues que un sistema Microsoft bien configurado y parcheado está en un nivel de seguridad capaz de soportar como mínimo ese 100 de presión que nos hemos inventado y que sabemos es el máximo que cualquiera soporta. No es nada facil tener es nivel en ningún otro entorno (es un ejercicio puramente teórico. Ya sabemos que son muchos mas los factores que influyen en la seguridad de un entorno como configuración, operación etc ..)

    La "seguridad por desconocimiento" es un riesgo dificil de asumir. Esos ORACLES, Solais y Apaches que tienes sin parchear, lo harás en la esperanza de que no sean atacados. Por que si se convirtieran en objetivo por cualquier motivo, caerian en segundos.

    En mi opinión es una política de un riesgo extremo.

    Por supuesto que pueden haber vulnerabilidades no conocidas etc.. Pero como eso es aplicacble a cualquier fabricante, no lo he mecionado en este ejemplo comparativo.

    Otro simil respecto a esto que me resulta facil imaginar es: "Hay mas accidentes de coches que de carretillas. Conclusión: las carretillas son más seguras". Suena absurdo, lo se. Pero es muy parecido a algunos argumentos que se escuchan relacionados con las vulnerabiliades de seguridad.

  5. @David !!! Que gusto ver gente "cachas" en seguridad pulular por el blog (entiéndaseme bien lo de cachas… ya lo que me faltaba :-))

    Bromas aparte, estoy muy de acuerdo contigo en que el trabajo que queda por hacer es muy importante, y dudo mucho que algún día, ni Microsoft ni nadie, llegue a considerar los problemas de seguridad como algo del pasado.

    Pero hay algo que tengo comprobado desde hace mucho tiempo y es que los que mas respetan a Microsoft en materia de Seguridad, son precisamente los que mas saben se seguridad. Los profesionales de la SEGURIDAD.

    Y los que mas la desprecian, son los que menos saben, suelen hablar de oídas y se alimentan de tópicos.

    El ver por primera vez a Microsoft en la corta lista del SDTimes, de forma inesperada y por primera vez en Seguridad, y ver la alegría interna de la gente de Corp que lidera esto (Steve Lipnner et all), pues me lleva a contarlo con este post.

    Te agradezco además tu comentario sobre la gestión de comentarios. Pero ten en cuenta que el tema OpenXML fue una auténtica escuela 🙂

    Un abrazo

    PD. @Luis Ivan, como tienes 13 años, ahí te va otro consejito 🙂 (no te molestes). Pégate a gente como David y a empresas como S21SEC. Si tienes talento, ahí brillarás.

  6. @cramirpe: “Me parece que tiene razón eh, cuanto te han pagado. Encima lo pene bien en grande (Microsoft Ibéria). Madre mía.”

    Dudaba si responder o no, pero se ve que tengo el día peleón 😉 Pues si, trabajo en Microsoft, no lo oculto desde el propio título del blog, sino mas bien todo lo contrario.

    Me pagan un sueldo como a todo hijo de vecino, porque es aquí donde dedico mucho tiempo, mi mejor trabajo y esfuerzo, y pongo un blog porque ….quiero y lo quitaré cuando me apetezca. ¿QuÉ cosas, verdad? … Tan normales y cotidianas para mí, y que a tí te causan tanta indignación. Madre mía !!!!

    HÁztelo mirar porque no es normal que al margen de que te guste Windows o Ubuntu u Openloquetedelagana, te cause tanta indignación que alguien de Microsoft, se identifique como tal, y en el ejercicio de su LIBERTAD, opine lo que quiera en un blog.

    A ver si es que lo único que te gusta de la palabra “Libre”, es que vaya precedida de la palabra “Software”.

    Algo no va bien myfriend.

  7. Mensaje para Luis Ivan, al que le he borrado el comentario 6 veces. A ver si soy capaz de explicarme clarito y tú entenderme.

    1.- Este es MI blog, y borro los comentarios que me da la real gana. Así de clarito.

    2.- Este blog admito TODO. La discrepancia es mas que bienvenida (solo tienes que ver los comentarios tan "amigables" que sin embargo no he borrado). Lo único que no permito es la falta de respeto, y considero que, bajo MI criterio, tu comentario no cumple MIS criterios.

    3.- Así que si no tienes nada mas interesante que aportar a este blog, mas que repetir por enésima vez un comentario que sabes te voy a borrar, te invito a que busques por ahí otros sitios mas mejores en la blogosfera que seguro los encuentras y les encantan tus comentarios

  8. Ojalá tuvieramos en España muchos más "LuisIvanes".

    Este chaval tiene un espíritu emprendedor que debería ser aplaudido e incentivado. Aplaudamos a personas como Ivan, que mas allá de estar de acuerdo o en desacuerdo con lo que diga, o ver la lógica falta de experiencia, prefieren indagar, aprender tecnologia y discutir con su criterio, en lugar de "agilipollarse" con Hanna Montana.

  9. albandy dice:

    ¿seguridad como la de Explorer 8?, ¿como la de los powerpoints que permiten ejecución de código? ¿como las inyecciones de sql a través de los métodos get del isa server duplicando variables?

    Me parece vergonzoso decir que Microsoft apuesta por la seguridad cuando continuamente se demuestra que no es así.

  10. cramirpe dice:

    Me parece que tiene razón eh, cuanto te han pagado. Encima lo pene bien en grande (Microsoft Ibéria). Madre mía.

  11. Luis Iván Cuende dice:

    Por fin habla… borra lo que quieras, es tu blog, pero eso que proclamas a los cuatro vientos es una gran mentira y, por desgracia, lo sabes bien…

    Micro$oft no rima con seguridad, eso te lo digo muy claro.

    Lo peor es que lo sabes, eres el director de tecnología, ¿no?, podrás chulearte de que tengáis un montón de monopolios, pero no de que lo estéis haciendo bien.

    Espero que no borres este comentario porque este será tu blog, pero Internet es libre y no sujeto a vuestro horrible monopolio.

  12. alguien dice:

    Sr Montenegro, le recomiendo que no escriba cosas como estas, no le hace bien a tu blog ni al tiempo de los que hacen comentarios. En vez de escribir cosas como estas podrias usar tus conocimientos para que realmente sea seguro  no hacer una publicidad falsa, por que la pura verdad es que nada tiene de seguro, es puro bla bla.

    Saudos!

  13. alguien dice:

    Veo que restringiste los comentarios, lo podrias haber echo antes y te ahorrabas todo esto.

    Saludos!

  14. Luis Iván Cuende dice:

    No te hagas el detective, con buscar mi nombre en cualquier buscador te aparece lo de la distro GNU/Linux que cree, Asturix y que tengo 13 años.

    Pero yo no hace mucho tiempo usaba Window$, de lo cual me arrepiento, y todavía necesito tener un PC con ese SO para probar las aplicaciones con QT y C++ que hago y las webs con IExplorer.

    He probado Windows 7 y es mejor que Vista, se ven las mejoras de kernel que trae, pero sigue siendo el peor comparado con GNU/Linux o Mac OS X.

    Y sólo reconozco una cosa buena de Micro$oft, la apariencia de sus aplicaciones, el exterior es muy bonito aunque el interior sea inútil.

  15. David Barroso dice:

    Hector,

    la verdad es que ya sabes que este es un tema polémico por naturaleza (y generalmente los argumentos "históricos" que se esgrimen tienen ya poco peso, además de ser totalmente infundados hoy en día). Es cierto que Microsoft se está esforzando hace años en Seguridad y ahora la situación es muy diferente a la de antes (por ejemplo, está a años luz en Seguridad que Oracle, que ya se puede poner las pilas, o gestiona mejor las vulnerabilidades que la eterna secreta Apple (MS aprendió a base de palos, pero tiene la lección bien aprendida!) ), pero por supuesto, al ser Microsoft tan grande es muy difícil controlar la Seguridad (sea un ejemplo la reciente vulnerabilidad de IIS http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx donde parecía que aparecían los fantasmas del pasado) o las vulnerabilidades que van apareciendo en el código de Office debido muchas veces a legacy code.

    Yo creo que hay que felicitar a Microsoft por sus esfuerzos, pero aún todavía queda por mejorar 🙂

    Independientemente del tema, te felicito por la forma de gestionar los comentarios, realmente tiene mérito y da gusto ver cosas así.

    Un abrazo

  16. nespejo dice:

    Haa!!

    Apache no es lo mismo desde que Microsoft es su sponsor.

  17. Camelot dice:

    Intervenciones como las de Iván son precisamente las que desprestigian a los detractores de Microsoft. Toda empresa grande hoy en día los tiene, esa gente que se las quiere pasar de listo con comentarios incendiarios diciendo la "verdad definitiva" de todos los temas cuando no han vivido lo suficiente para siquiera acercarse a la verdad…

    Por mi parte, tengo suficiente tiempo en la informática para saber que Windows desde que tengo memoria ha sufrido en temas de seguridad y ha expuesto a sus usuarios a muchas pérdidas de información y dolores de cabeza. Pero también es cierto que de un tiempo a esta parte, especialmente desde Windows XP las cosas han mejorado bastante, es un difícil camino cuesta arriba (si me permiten hacer la figura) pero se han dado maña para ascender poco a poco en este tema.

    Hace años que yo no tengo problemas de seguridad, no virus, no infiltraciones ni nada. Por cierto, participo de un foro de gente que trabaja en temas de seguridad para Windows: http://www.forospyware.com, allí hacemos algo que los críticos de Windows no hacen: ayudar a la gente, considero eso mejor que andar derramando bilis por todo el ancho de esta internet libre…

    Lo de la internet libre es algo que muchos malinterpretan, la internet es libre, pero no es un páramo sin reglas, tenemos todo el derecho de expresar nuestras ideas pero no nuestras miserias y complejos, tenemos el derecho de discutir y disentir con argumentos pero no con insultos y repitiendo como loros lo que otros resentidos ya han dicho una y otra vez.

  18. CXO dice:

    Me uno a las felicitaciones de @David por tus respuestas a comentarios agresivos.

    Soy responsable de sistemas de una mediana empresa, tengo de todo, y tengo mucha confianza en la seguridad de Microsoft desde hace unos 3 años.

    El problema es que aun siendo productos probablemente mejor construidos que los equivalentes en Softwa Libre, su mayor número les hace ser un objetivo más atractivo para atacantes.

    Tengo Solaris, Oracles y Apaches sin parchear desde hace tiempo, pero Microsoft lo parcheo al momento. Y la verdad es que no hemos sufrido mayores problemas.

  19. Luis Iván Cuende dice:

    ¿Aquí no hay nadie que haya estudiado un poco sistemas operativos?

    Un resumen breve: http://es.wikipedia.org/wiki/Sistema_operativo

    No hay menos virus para Mac OS X o GNU/Linux por ser minoría, sino porque son sistemas muy seguros y los crackers no saben por dónde colarlos.

    Si te entra un virus en GNU/Linux (tienes más posibilidades de ganar la lotería nacional de que ocurra) sólo puede afectar a tu carpeta de usuario, no al sistema.

    Si entra en Windows, el virus puede ir donde quiera.

    El mito de "no tienen virus porque no son muy usados" no tiene fundamentos.

    Aunque Windows no lo tiene todo perdido, véase ReactOS: http://www.reactos.org/es/index.html

    Es un sistema operativo basado en la aplicación para Linux Wine que pretende ser compatible con Windows quitando sus desventajas. Y lo están consiguiendo, con mucho esfuerzo y tiempo. Y para rematar, es libre, es por y para todos.

  20. qwerty dice:

    No me he enterado de nada, mejor ponlo en formato "Get the Facts" con ticks verdes y eso 🙂

  21. Santi Casas dice:

    Este comentario no es para polemizar, precisamente es para desdramatizar. Para que nadie busque tres pies al gato, conozco a Héctor hace tiempo y hemos colaborado hace poco en el proyecto FactOffice.

    Pero no es de esto de lo que queria hablar. Queria hablar de la perspectiva que te da el tiempo. Me lo ha recordado mi sobrina que el otro día me regaló (recuperó de las catacumbas) mi antiguo Commodore VIC 20. Este cacharro (3 Kb de memoria RAM) lo compró mi padre el año 1980. Desde el primer dia me enganché. Tenía 13 años como Luís Iván. Con catorce ya me publicaron algunos artículos en revistas de Commodore. Me sentía el tio más importante del mundo.

    Hoy tengo 42. Ya programo poco, y he vivido el nacimiento de los PCs, los distintos UNIX (que finalmente han terminado en los actuales Linux), las redes Novell, los primeros Windows, los últimos Windows, el uso masivo de internet ….

    Centrandonos en Microsoft, debo decir que durante muchos años de mi carrera me mantuve suficientemente alejado. Sus sistemas, a pesar de ser los más utilizados, estaban lejos de ser de una calidad (incluida seguridad) adecuada …

    Para mi, la aparición de Windows 2000 significó un punto de inflexión. Desde entonces, en general, la calidad de sus productos ha ido creciendo. Han sido productos orientados al usuario (algo que los que estamos en este sector solemos olvidar) y que han ido cubriendo sus necesidades básicas sin demasiadas florituras. Su último pero, sin duda, ha sido Vista, del cual soy un sufridor.

    Sigo siendo un apasionado de la tecnología y me encantan muchos de los proyectos colaborativos y abiertos. Pero el paso de los años me ha apartado de buscar al "maligno" en determinadas compañías. Cada cual tiene sus intereses, y estos pueden ser más o menos legítimos. Pero el demonio como tal, lo he visto demasiadas veces con demasiadas caras. Algunas de estas caras eran de ángel.

    Perdonad el rollo.

  22. FilEMASTER dice:

    Bueno, aprovechando que el maligno está un poco bajo de flames ultimamente me paso por aqui… y que me encuentro… un chaval de 13 años que nos viene a dar clases de sistemas operativos…

    Yo sinceramente no es por desmoralizar, y tampoco es que tenga mucha idea de seguridad, pero ya sabeis lo que dicen, quien a buen arbol se arrima… eno a lo que iba. Luis Iván a lo mejor deberías replantearte que el que no sabe de Sistemas Operativos eres tu. Pero como nos comentado esto supongo que tienes conocimientos plenos de como funcionan todos los sistemas…

    Con respecto al "mito" de los virus, mola eso que dices de la carpeta de usuario, claro que si el virus me engaña y hace un sudo, o ejecuto mis aplicaciones como root en lugar de hacerlo como usuario no privilegiado a lo mejor el virus si que puede hacer algo…

    Por otro lado es totalmente absurdo perder el tiempo en desarrollar nada para un sistema que no llega al 1% de cuota de mercado pudiendo emplear ese tiempo en desarrollarlo para otro que abarca el 90%…

    PD: stallman ya te ha envíado un mail felicitandote por tu distro?

  23. pasaba por aquí dice:

    FilEMASTER, realmente no sabes mucho de seguridad ni de sistemas. Dejando a un lado tus "imprecisiones" sobre los comandos en la consola, y no soy un experto, o el poco conocimiento de cómo funciona gnu/linux, ningún sistema operativo puede hacer nada si el usuario decide fastidiarse a sí mismo. Ni gnu/linux, ni mac, ni windows. Aún así windows es el que más fácil se lo pone a un atacante, y no se trata de cuota de mercado.

    De todas formas lo realmente triste es que necesites apoyarte en sarcasmos dirigidos a un chaval de 13 años para desviar la atención.

    Deberías tomar nota de cómo ha llevado el tema Hector, con el que por otra parte estoy en completo desacuerdo, y no sólo yo, también su querida Secunia. Un par de ejemplos de vulnerabilidades (echad un vistazo a las que no están resueltas) en Vista y, para ponerlo fácil, Debian 4.0:

    http://secunia.com/advisories/product/13223/?task=statistics

    http://secunia.com/advisories/product/13844/?task=statistics

  24. FilEMASTER dice:

    hola pasaba por aqui…

    imprecisiones sobre los comandos de consola? quien ha hablado de consolas? poco conocimiento de como funciona linux? en fin… que por suerte haga mucho que no lo use no signfica que no sepa como funciona 😛

    Por otro lado el blog no es mío, yo no quiero ser como hector, a mi me mola mas pinchar a los insurrectos y esperar a ver como se desesperan, por cierto ¿porque tenemos que fijarnos en las que no están resueltas cuando mola mucho mas ver la proporcion de vulnerabilidades descubiertas? y eso que como dice hector, no hay una presion de 100 en linux…

    curioso dato…

  25. pasaba por aquí dice:

    FilEMASTER:

    sudo es un comando bash y habitualmente se ejecuta desde la consola… Un script puede intentar hacer sudo, pero el sistema te pedirá la contraseña. Si se la das sin saber porqué el problema no es del sistema operativo, sino del usuario.

    Siempre van a salir a la luz más vulnerabilidades de software de código libre o abierto, porque la seguridad se basa en la robustez de la aplicación, no en la ofuscación de su funcionamiento. Ejemplo fácil: todos sabemos de las imperfecciones de la democracia, pero no por ello andamos abrazando dictaduras.

    Si a tí te mola ver el número total me parece perfecto, pero yo prefiero saber si el sistema/programa en el que estoy trabajando es seguro, y cuánto tiempo tardarán en arreglar los eventuales problemas de seguridad que TODOS los sistemas operativos/aplicaciones van a tener siempre. Y que microsoft deje sin solucionar vulnerabilidades críticas no me tranquiliza especialmente.

    Respecto a lo de "picar a los insurrectos" (http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=insurrecto), no lo acabo de comprender muy bien: consideras a una empresa "la autoridad pública"?

  26. Luis Iván Cuende dice:

    FilEMASTER, no lo digo yo, es la realidad, tengo 13 años pero se leer: http://es.wikipedia.org/wiki/Sistema_operativo

    También hiciste alusión a la cuota de mercado de GNU/Linux, que te informo en estos momentos supera el 4%: http://www.w3schools.com/browsers/browsers_os.asp

    Como has hecho uso de las estadísticas a tu favor, lo haré yo al mío:

    1-Mozilla Firefox supera con creces a IExplorer: http://www.w3schools.com/browsers/browsers_stats.asp

    2-Apache supera a IIS en el mercado de servidores: http://news.netcraft.com/archives/2009/06/overallc.png

    3-Linux (387) supera a Window$ (5) en el mercado de supercomputadoras: http://www.top500.org/stats/list/33/os

    No sigo, no quiero hacer llorar a nadie.

    Y esto es la parte floja, si nos ponemos ha hablar de características técnicas…

    Por cierto, que se use más no quiere decir que sea mejor, eso hay que tenerlo bien claro.

  27. Javier Cao dice:

    Resulta curioso las polémicas que generan siempre las palabras "seguridad" y "Microsoft" juntas.

    El debate dialéctico siempre es interesante mientras no se pierdan las formas y se aporten argumentos.

    La seguridad es una realidad pero también una sensación. Nos podemos "sentir seguros" utilizando software "inseguro" y lo contrario, "sentirnos inseguros" usando "software seguro".

    Comparto parte de los argumentos proporcionados por Hector respecto a la presión que Microsoft recibe por parte del exterior respecto a sus productos, provocado principalmente por el gran uso que tienen sus productos. Los "malos" van siempre a por el mejor botín. Cuando alguien decide atacar, son varios los factores que debemos considerar para estudiar qué busca y con que medios cuenta para lograrlo. Entre estos factores está siempre la motivación para generar daño, pero también el público objetivo del ataque. Esto son cosas que constituyen el vector de ataque.

    Independientemente de que ciertos sistemas operativos sean más o menos robustos, no por tener menos vulnerabilidades pueden ser más seguros. Es posible que el Spectrum Z80 tenga pocas vulnerabilidades conocidas y explotables…¿pero eso prueba que sea un codigo fiable?

    Al respecto de lo que podamos pensar sobre la seguridad, lo que si es cierto es que "personal técnico cualificado" de "Organismos acreditados" son los que juzgan que nivel de seguridad garantiza un producto hardware o software. Es una evaluación "independiente" y "transparente" que luego toda persona puede comprobar en su casa y se basa en la verificación del cumplimiento de unos requisitos. Lo intenté explicar en el post http://seguridad-de-la-informacion.blogspot.com/2009/04/iso-15408-y-el-dni-e-pp-para-el.html y es lo que publicó Hector en el post anterior de esta serie.

    También creo que hay que criticar las cosas que están mal pero alabar las que se hacen bien y en materia de seguridad Microsoft lleva tiempo haciendo las cosas bien (Lo que no significa que fruto de ello no tengan problemas de seguridad). Considero grandes aciertos de la estrategia por mejorar la seguridad los siguientes hechos:

    – Apostar por solucionar los problemas desde la raíz, introduciendo la metodología SDLC como ciclo de desarrollo de software. Es impresionante el estudio de las amenazas que se hace dentro de cualquier desarrollo con herramientas como Microsoft Threat Analysis & Modeling v2.1 que demuestra como "Microsoft" ha cambiado el chip y ahora los programadores contemplan cómo su código debe reaccionar frente a todo tipo de incidentes. Por cierto, aplicación gratuita para todo el que quiera utilizarla y accesible en http://msdn.microsoft.com/en-us/security/aa570413.aspx Este tipo de enfoques son una decisión estratégica que generará a largo plazo muy buenos frutos (y que ya se empiezan a notar).

    – Introducir la actualización automática del software, como mecanismo de reducción de la ventana de exposición del usuario. El software tiene errores (sea de Microsoft o de cualquiera) y por tanto, cada error conocido debe ser solventado por el fabricante e instalado el parche por el usuario. Cuanto menos tiempo pase entre el parche publicado y el parche instalado, menor ventana de exposición. La dinámica de publicar parches de forma periódica y programada es una muy buena decisión al respecto.(http://seguridad-de-la-informacion.blogspot.com/2004/12/ejemplo-real-del-concepto-ventana-de.html)

    Y por terminar, los "crackers" ya han puesto su punto de mira en otras partes del equipo PC que son más sencillas de vulnerar que el propio sistema operativo.

    Ahora van a por los programas cliente o directamente a tratar de engañar al usuario para robarle la pasta. ¿Acaso el "phishing" entiende de sistemas operativos?

    Como dice un principio de la seguridad "La cadena es tan fuerte como el más debil de sus eslabones". Hasta la fecha podía ser el sistema operativo pero actualmente el eslabón más debil sigue siendo el usuario que proporciona sus claves de banca electrónica en paginas falsas y le estafan la pasta.

  28. FilEMASTER dice:

    Pasaba por aqui, tienes que comprender el concepto de "metáfora" es un recurso literario que se usa para hacer mas bonita una escritura o para… otras cosas.

    Luis Iván, la wikipedia esta muy bien…

    http://www.amazon.com/Modern-Operating-Systems-3rd-GOAL/dp/0136006639/ref=sr_1_2?ie=UTF8&s=books&qid=1246519264&sr=1-2

    Todo depende siempre de la fuente Luis Ivan, no iba a poner links pero te los pongo porque veo que te mola…

    http://marketshare.hitslink.com/report.aspx?qprid=8&qptimeframe=M&qpsp=115

    Interesante gráfico el de apache… como va perdiendo cuota…

    Mola este de navegadores:

    http://marketshare.hitslink.com/report.aspx?qprid=0&qptimeframe=M&qpsp=115

    Y no encuentro ahora el enlace del fortune 500 para que vieras que tipo de servidores Web usan…

    El caso es que una y otra vez, querido Luis Ivan, adoleces de un problema que es representativo de la mayoría de linuxeros con los que me he cruzado. Incapacidad de pensar por si mismos y adoctrinamiento.

    Linux no es una realidad en el desktop y no lo va a ser este año tampoco, es un sistema complejo, y su seguridad se basa en limitar la actuación del usuario… ¿que pasa si el usuario se cansa de tener que meter su pass a cada rato y decido trabajar como
    root? al fin y al cabo hasta WinXP es como se hacia en windows… ¿o tu te configurabas una cuenta no privilegiada? ¿de quien es la culpa del sistema o del usuario?

    En resumen, la seguridad hoy por hoy es uno de los puntos fuertes de M$ y aunque me cage 1000 veces en el diseñador web de VS2008 sabe dios que no he encontrado otro mejor…

    Todo es mejorable, porque si no lo fuera, estos cabrones de microsoft no sacarian un nuevo maldito Visual Studio cada 4 ratos XDDDDDDDD

  29. Maligno dice:

    Dejad al chaval de 13 años hombre. Luís, coño, si tan poco te gusta Microsoft en seguridad.. quita las extensiones de Front Page en tu servidor Apache leche!

  30. Dejad al chaval dice:

    Dejadlo de una puta vez, esa etapa también la pasaron todos ustedes.

  31. Lo típico dice:

    @"Dejad al chaval" tiene razón. ¿A ver, quien no ha hecho con 13 años una distro de Linux? Es lo típico de los recreos de 2° de la ESO.

  32. FilEMASTER dice:

    Hector sin animo de discrepar mucho y tal…

    "que mas allá de estar de acuerdo o en desacuerdo con lo que diga, o ver la lógica falta de experiencia, prefieren indagar, aprender tecnologia y discutir con su criterio"

    De verdad crees que el criterio de este muchacho es suyo??? a mi se me asemeja mucho a la "doctrina" impuesta por un tio con barbas, que va dando conferencias de aqui para alla…

  33. Dejad al chaval dice:

    @Lo típico: eso, se ve que tienes muy claro lo que es una etapa. Y por cierto, dejad las chorradas, crear una distro no requiere tanto conocimiento ni tanto tiempo.

    PD: Me voy a leer la Wikipedia, esos libros propietarios que ofrece Amazon tienen información muy mala.

  34. Luis Iván Cuende dice:

    @Dejad al chaval, crea tu una distro, pilla los dominios, crea la web, el foro, la wiki, la comunidad que luego hay que poner en marcha, el servicio de actualización, los servidores, y lo mas importante, desarrolla la distro en sus distintas versiones.

    No, no se tarda tanto, en 5 min. la tienes, y los conocimientos, nada, basta con saber dar clicks.

    Infórmate, luego escribe.

    @FiLEMASTER, siento decirte que aunque pienso que Stallman es un genio, no estoy de acuerdo en su filosofía cerrada del software libre.

  35. Luis Iván Cuende dice:

    @Dejad al chaval, crea tu una distro, pilla los dominios, crea la web, el foro, la wiki, la comunidad que luego hay que poner en marcha, el servicio de actualización, los servidores, y lo mas importante, desarrolla la distro en sus distintas versiones.

    No, no se tarda tanto, en 5 min. la tienes, y los conocimientos, nada, basta con saber dar clicks.

    Infórmate, luego escribe.

    @FiLEMASTER, siento decirte que aunque pienso que Stallman es un genio, no estoy de acuerdo en su filosofía cerrada del software libre.

  36. Dejad al chaval dice:

    Quien habló de clicks? Quien habló de 5 minutos? La realidad es que no se requiere tanto tiempo y tanto conocimiento para hacer una distro. Y eso que te estaba dando mucho crédito pues creía que por lo menos era una distro hecha desde 0.

    Pero bueno, tú sigue creyendo que lo que has hecho tiene algo de importancia. No eres el primer chaval con menos de 15 años que hace una distro -aunque tal vez sí seas el primer chaval de España- y ya cree que puede andar por ahí callando a la gente pues ya supone que los demás no tienen ni puta idea de cualquier tema.

    Y ahora sí, cumpliré con lo que dice mi nick.

  37. Camelot dice:

    Vaya, con 13 años todavía tiene muchas puertas con las cuales golpearse… eso es lo bonito de la internet, la ilusión que con leerse la wikipedia y unos cuantos sitios más ya puedes "enseñar" a los otros "la verdad" para que lo "tengan claro". 😛

  38. Luis Iván Cuende dice:

    @Camelot, muy cierto, con 13 años tienes muchas puertas con las que golpearte, la mayor de ellas la gente que valora mis comentarios por mi edad y no por su contenido.

  39. Luis Iván Cuende dice:

    @Camelot, muy cierto, con 13 años tienes muchas puertas con las que golpearte, la mayor de ellas la gente que valora mis comentarios por mi edad y no por su contenido.

  40. FilEMASTER dice:

    luis ivan creeme, te conviene que los valoren por tu edad…

  41. Pablo Calderón Recalde dice:

    Hola,

    ¿Seguridad? Sí, pero ¿qué clase de seguridad? yo no voy a entrar en la absurda discursión sobre la seguridad de un sistema operativo en cuanto a virus y demás malware se refiere (creo que está al alcance de todos el ser seguros, a la hora de navegar por la web, cualquiera que lleve un tiempo "andando con ordenadores" sabe perfectamente cuando está descargando un archivo potencialmente inseguro y cuando no, o cuando está entrando en una "página web atacante"(como dice google) y cuando no) por mi parte creo que el hecho de que un OS soporte archivos ejecutables es la mayor brecha en susodicha "seguridad", y windows no creo que valla a cambiar en este aspecto. Tampoco voy a entrar en la discursión sobre si es seguro en cuanto a el blocaje de ataques externos.

    Yo lo que quiero discutir es el tema de la Seguridad en lo que ha "dejar mis archivos en manos de Windows" se refiere, lo que digo es que un sistema operativo seguro es aquel sistema que es estable 100%, un sistema en el que "(No Responde)" (tratandose encima de aplicaciones del propio sistema) no es una opción, un sistema en el que en lugar de existir mil asistentes para diagnosticar fallos o problemas estos ya vienen arreglados de antemano o se auto reparan en el momento en que ocurren, un sistema en el que las pantallas azules se borren de nuestra memoria.

    Bien, no sé si era en esta entrada o en otra donde mencionabas "BitLocker"… Os cuento mi historia con BitLocker, descargué Windows 7 RC de la página de MS y lo instalé desde winxp sin grabarlo (no pensé que fuera a funcionar pero a la vista esta que funcionó pues escribo desde Windows 7) En cuanto lo instalé se hizo notable que este nuevo sistema era bastante mejor que Vista en lo que a "tiempos" se refiere, (Encender, Apagar, Cargar aplicaciones, etc.) lo primero que me dediqué a hacer con mi windows 7 recién instalado, fue investigar. Investigar cosas como el diseño y nuevas opciones del panel de control, el nuevo diseño de las carpetas, las ámplias mejoras en comodidad y facilidad de hacer. Cual fue mi sorpresa al descubrir entonces la aplicación BitLocker, la cual no cifraba mis archivos si no que cifraba mi unidad entera, (que chulo! y viene con windows! pensé) fue entonces cuando cometí uno de los mayores errores de mi vida confiar a un programa de windows la "seguridad" de mis datos, El programa me pidió una contraseña como es lógico para poder descifrar mis datos más adelante, (e incluso creó un archivo con otra contraseña que yo debía guardar por si, en caso de que me olvidara de mi contraseña, poder recuperar los datos) introduje mi contraseña y entonces comenzo el cifrado de mis datos… no pude dejarlo terminar (320GB se hacen una eternidad.) y pulse "pausa", para poder desconectar mi unidad tranquilamente (según informaba el propio programa) y seguir más adelante, mi sorpresa llego al dia siguiente cuando al conectar mi unidad otra vez al PC e introducir la contraseña correcta, el programa "BitLocker", se bloqueó ( con "no responde" by windows incluido), entonces me dije, no puede ser microsoft sabe que los programas tienen fallos y que esto puede ocurrir, en esta nueva versión de su sistema operativo y teniendo en cuenta la cantidad de gente que trabaja en microsoft (y la cantidad de fallos que suelen tener sus programas) a alguien se le tiene que haber ocurrido que esta situación (4º arranque de windows 7…) se puede dar y por lo tanto tiene que haber algo (en este caso no me hubiera importado toparme con un asistente…) que ayude al usuario a recuperar sus datos en caso de que por motivos aun por descubrir el programa que tiene que desbloquear se bloquee…, pero no, parece que con las miles de cabezas pensantes que trabajan en su compañía nadie tiene los ——- de pensar que lo que están haciendo y que les está quedando tan bonito puede que no funcione tan bien como parece, y por lo tanto una vez sabido esto estar ya preparada de antemano una solución, aunque sea lenta y tediosa, pero que permita recuperar los datos.

    Este es mi caso, tengo mi DiscoDuro de 320GB inutilizado y cada vez que intento desbloquearlo, el programa se bloquea, he intentado también desbloquearlo con la "contraseña de repuesto" pero nada… Hasta que se me hinche la vena y lo formatee, creo que no podré usarlo de nuevo, pero no quiero hacerlo, mi mayor pasión es la música (junto con los ordenadores) y soy DJ, en el susodicho DiscoDuro, guardo toda la música que compro por internet o que me pasan otros DJ amigos, en la situación en que me encuentro ahora es que no tengo acceso a mis propios datos gracias a que a nadie se le ocurrio que todo podía ir mal.

    Gracias Microsoft por ——- vivo, esta es su —- seguridad de ——.

    P.D.: Cualquier tipo de solución ya sea por su parte Hector, o por parte de los que os dedicais a gastar energía en calificar a una empresa en un sistema capitalista de lo que es, una empresa en un sistema capitalista, como si fuera algo extraño y de lo que todos tendríamos que estar indignados, será bien recibido. GRACIAS.

  42. FilEMASTER dice:

    Efectivamente, eso te pasa por operar con datos reales con un sistema operativo en fase de desarrollo.

    Pero la culpa es de Windows por supuesto…

  43. Pablo Calderón Recalde dice:

    Eh ya, no creas que no me he dado cuenta yo solito de eso ejem, ¿Qué tal si tratas de hacer un comentario un poquitín más productivo o si no abstenerte, eh? creo que podrias ser una persona mejor si lo piensas un poquito chavalín, corre vete a dormir.

  44. Luis Miguel Cuende dice:

    Pasaba por aquí y me he encontrado esto casualmente.

    Creo que comenzando a trabajar con el Univac 9030, teniendo el primer Apple II que entró en España en mis manos(descuartizándolo por cierto) y comenzar en Seresco con los IBM PC y en Xerox con los Documenter y los Sun Sparc con Interlisp-D ¿tendré bastantes cachas? Durante largos años he trabajado con Windows y aún lo sigo haciendo. Formando a administradores de red de empresas en Windows 2000 Server, 2003 Server… Ahora estoy más vinculado al software libre porque ya he perdido demasiado tiempo con Windows. En toda esta historia de treinta años lo peor de Windows es cómo se ha afianzado gracias a su marketing que ha dominado en todo momento a sus técnicos que se han visto obligados a sacar del laboratorio productos inacabados y por tanto inseguros, y esto realizado como rutina. Del mundo Linux echo en falta gente práctica que sea eficiente en la divulgación eficiente de sus bondades. Algunos les parece una herejía hacer "distros" sencillas de usar en que no haya que utilizar comandos. Y Apple es el que más se está aprovechando de la desilusión de millones de usuarios Windows que han echado cuentas del tiempo que pierden cada día en arrancar y apagar sus equipos y lo han multiplicado por 365 días.

    Por lo demás me parece apasionado y entretenido el debate. Pero no olvidéis que la inseguridad de algunos es la seguridad de otros, y si no echad un vistazo al desarrollo de multinacionales como Panda. Yo les conocí cuando se creó, en Bilbao (trabajaba para Ibermática en un proyecto).

  45. Pablo Calderón Recalde dice:

    Como fué? pasar de hacer virus a vender los antivirus.

Skip to main content