La inseguridad de los sistemas afecta tanto a Linux como a Microsoft

orrester encontró que muchos de los profesionales de información y tecnología creen que Linux es más seguro que Windows, pero Koetzle piensa que la respuesta a la realidad es más complicada que un simple análisis.

Koetzle cree, basándose en un antiguo examen de las vulnerabilidades de seguridad, que éstas siguen una línea temporal, en otras palabras, que tienen una esperanza de vida.

El ataque real a estas vulnerabilidades nace con un acceso público al problema como la lista de correo de seguridad Bugtraq. Lo siguiente, los ISV o los códigos abiertos desarrollados den la prioirdad a la vulnerabilidad y creen un arreglo estable.

El retraso que hay detrás de estos desarrollos, hace que los piratas informáticos empiecen a explotar la vulnerabilidad. De todos modos, sólo después de uno de estos arreglos, la herramienta de escritura para estos inexpertos vándalos (principiantes de la escritura aka) hace que el número de ataques baje realmente.

El periodo de vulnerabilidad real para las empresas es después de que estos aprendices de herramientas de escritura aparezcan y antes de que los clientes apliquen el remedio. En otras palabras, las mejores protecciones de seguridad en estos sistemas operativos podrían ser creados con un arreglo de gerencia oportuno.

Pero el fallo no es totalmente de un sistema de administración descuidado, según Koetzle, que dice que también es del cliente a la hora de aplicarlo (el arreglo), pero que no es tampoco una tarea simple porque bastantes arreglos consisten en una plataforma de configuración y la mayor carencia de las pruebas y de los desarrollos de los procedimientos de las aplicaciones de los arreglos pueden llevar meses o más. Por ejemplo, para el noveno perfil más importante de Windows, un malicioso código lo infectó en marzo del 2003. Los principales arreglos de Microsoft quedaron averiados durante 350 días. Todavía muchos usuarios no han podido aplicar los arreglos.

Forrester piensa que el hecho de que sistemas operativos bastante vendidos puedan tener problemas de seguridad es más importante que los arreglos realizados deprisa y cómo el vendedor permite a los administradores aplicar estos arreglos. Para Forrester, la clave de la cuestión en la valoración del los sistemas operativos es: cómo el proveedor arregla vulnerabilidades de seguridad; cómo de serios son estos problemas, compararlos con los de otros proveedores; y cómo el proveedor consigue el 100% de los arreglos de los fallos de seguridad.

Para obtener respuestas cuantitativas a estas preguntas, Forrester usa dos métodos de medición: el primero es el número de días que pasan entre que el problema es divulgado públicamente y el proveedor del sistema opertivo lo arregla. En el caso de Linux, un miembro de mantenimiento, tanto del Software Apache como del servidor web Apache, puede arreglar los agujeros de seguridad, pero puede haber un retraso del miembro que crea el arreglo. Forrester llama a este periodo "los días de distribución peligrosos".

El segundo modo de medición es el ICAT ( Institutos nacionales de Estados Unidos para estándares y tecnología). El proyecto de ICAT estandariza las más serias vulnerabilidades. De acuerdo con ICAT, las vulneraciones más importantes suelen ser permitir algo de lo siguiente: un agresor remoto puede violar la seguridad del sistema, un agresor local puede violar el sistema de seguridad, un agresor local puede conseguir el control total del sistema o que el equipo del centro de coordinación responsable dé un aviso.

Usando estos métodos, Forrester estudió las vulnerabilidades de seguridad desde el 1 de junio del 2002 hasta el 31 de mayo del 2003 de los sistemas operativos Debian, Mandrake, Windows, Red Hat y SuSE.

Microsoft tenía el período de "días de distribución peligrosos" más bajos con 25 días entre la avería y la reparación. Además, la compañía arreglaba todos sus agujeros de seguridad. De todas formas, ICAT clasificó el 67% de las vulnerabilidades de Microsoft como muy severas, calificando a ésta como una de las más peligrosas.

Los problemas de distribución la Red Hat Inc.'s de Linux fueron calificados como muy severos. Red Hat arreglaba el 99.6% de las vulnerabilidades, todas menos una de las 229 de Linux. Red Hat y el proyecto Debian, el cual está dentro de Public Interest Inc., un grupo con no muchos beneficios que tiene cierto número de proyectos similares, está entre los distribuidores más rápidos de Linux, arreglando el problema en 57 días. Debian tiene el número más bajo de "días de distribución peligrosa" de los proveedores de Linux, pero sólo arregla el 96.2% de las vulnerabilidades.

MandrakeSoft tiene pocos "días de distribución peligrosa", pero ICAT dice que sólo arregla el 60% de los fallos graves. La compañía arregla el 99%, todos menos dos, de sus 199 vulneraciones en las aplicaciones.

SuSE Linux, ahora propiedad de Novell Inc., es mejor que MandrakeSoft resolviendo problemas de una forma más oportuna, pero ICAT considera al 63% de las 176 aplicaciones de SuSE graves. De estas vulneraciones, SuSE sólo arregla el 97.7%.

En base a estos resultados, Forrester no concluye sólo con una recomendación. Sin embargo, los analistas recomiendan que las empresas que evalúan rápidamente los arreglos son Microsoft y Debian. Al mismo tiempo, cree que es relevante que la nueva vigilancia de seguridad mensual de Microsoft puede retrasar importantes arreglos.

Si tu empresa tiene administradores relativamente poco sofisticados, Forrester recomienda MandrakeSoft, Microsoft y SuSE, ya que cualquiera de estas tres compañías no permiten fácilmente la entrada de los usuarios relativamente inexpertos y los administradores pueden instalar, configurar y arreglar sus plataformas. Si tu personal está a un paso de esto, Forrester recomienda Red Hat y Microsoft.