La seguridad de Linux es un mito, o “envenena, miente, siembra la duda, que algo queda”
En una entrevista para vnunet, Nick McGrath, un ejecutivo de Microsoft en el Reino Unido, se gana su sueldo sobradamente intentando sembrar lo que se conoce como FUD (fear, uncertainty, and doubt, http://en.wikipedia.org/wiki/FUD) contra GNU/Linux y su seguridad.
De la entrevista se pueden extraer unas cuantas “joyas":
1.- “One myth we see is that Linux is more secure than Windows. Another is that there are no viruses for Linux.” / “Un mito que observamos es que Linux es más seguro que Windows. Otro es que no hay virus para Linux".
2.- “Who is accountable for the security of the Linux kernel? Does Red Hat, for example, take responsibility? It cannot, as it does not produce the Linux kernel. It produces one distribution of Linux.” / “Quién es responsable de la seguridad del núcleo de Linux? Toma Red Hat, por ejemplo, la responsabilidad? No puede, dado que no pruduce el núcleo de Linux. Produce una distribución de Linux".
3.- “In Microsoft’s world customers are confidant that we take responsibility. They know that they will get their upgrades and patches.” / “En el mundo de Microsoft los consumidores confían en que nosotros tomamos la responsabilidad. Ellos saben que tendrán sus actualizaciones y sus parches".
4.- “There a myth in the market that there are hundreds of thousands of people writing code for the Linux kernel. This is not the case; the number is hundreds, not thousands.” / “Existe un mito en el mercado que dice que hay cientos de miles de personas escribiendo código para el núcleo de Linux. Este no es el caso; el número es de cientos, no de miles".
5.- “There are very few of the improvements that come through the wider community. There are more skilled developers writing for the Microsoft platform than for open source.” / “Son muy pocas las mejoras que provienen de la comunidad amplia. Existen más desarrolladores capacitados escribiendo código para la plataforma Microsoft que para código abierto".
6.- “Linux is not ready for mission-critical computing. There are fundamental things missing. For example, there is no single development environment for Linux as there is for Microsoft, neither is there a single sign-on system.” / “Linux no está preparado para la computación en misiones críticas. Faltan cuestiones fundamentales. Por ejemplo, no existe un solo entorno de desarrollo para Linux como existe para Microsoft, tampoco existe un sistema de autenticación única".
Hay unos cuantos “mitos” más, pero creo que con estos ya tenemos suficiente para debatir.
Otros análisis de la entrevista en:
- http://barrapunto.com/article.pl?sid=05/02/02/0849219&mode=nested.
- http://blog.smaldone.com.ar/post/1/9.
3 Comentarios
RSS de los comentarios de esta entrada.
Deje un comentario
Disculpe, los comentarios están cerrados.
Voy a comentar un poco estos supuestos mitos, uno a uno. Empecemos por el primero:
“Un mito que observamos es que Linux es más seguro que Windows. Otro es que no hay virus para Linux".
Bien, esto se desglosa en dos ideas:
- Submito1: “Linux es más seguro que Windows".
- Submito2: “No hay virus para Linux".
Análisis del Submito1:
Si analizamos los avisos de fallos de seguridad en uno y otro sistema de forma cuantitativa, es posible llegar a la misma conclusión que llega nuestro “amigo” Nick: por regla general es más normal encontrar avisos de fallos en sistemas basados en software libre que en sistemas Microsoft. Esto es obvio para todo el mundo, aunque no tanto lo es su motivo: el modelo de desarrollo del software libre fomenta este tipo de actitudes en sus desarrolladores, mientras que Microsoft las recrimina.
Además, analizar los fallos por su cantidad de avisos y no por su calidad introduce un sesgo enorme. No es lo mismo decir que el ripeador de CDs grip tiene un fallo de buffer overflow que avisar de un fallo en el soporte RPC para todas las versiones de Windows (¿recordáis el Blaster? ¿y las siguientes versiones? ¿recordáis el Sasser? ¿y las siguientes versiones? ¿qué opináis de la profesionalidad de quienes programan esos parches?).
Tuve el dudoso honor de asistir a una presentación de Rosa Mª García, Directora General de Microsoft Ibérica, donde explicaba que Microsoft Windows era 9 veces más seguro que GNU/Linux porque había tenido 9 veces menos avisos de vulnerabilidades. Sencillamente lamentable su análisis, aunque leyendo otras de sus internvenciones llegas pronto a la conclusión de que esta persona será todo la buena gestora que quieras, pero no está como para opiniones técnicas.
- Submito2:
Este es mi preferido, porque he desarrollado y escrito bastante sobre el tema (http://www.e-ghost.deusto.es/docs/articulo.virus.html, entre otros).
Está claro que existen virus para Linux, pero no seamos demagogos, Nick, que nos conocemos…
Imaginaos que un científico de la NASA pone el grito en el cielo porque la creencia popular es que en Marte no hay agua. “Sí que hay agua, señores, se han podido observar restos de ríos en su superficie y existe presencia de cristales diminutos de agua en sus polos". Vale, totalmente de acuerdo, pero al comentarlo no se sugiere sucintamente que la cantidad de agua en Marte pueda ser siquiera comparable a la cantidad de agua en la Tierra, como pretende nuestro colega británico de Microsoft.
¿Existen virus para Linux? Sí, pero su impacto es 0.0% (si añadimos más decimales, es posible que ese 0.0% sea un 0.00001%, de acuerdo).
¿Existe agua en Marte? Sí, pero no incluiría el traje de baño entre los enseres de las misiones espaciales hacia allí.
Comment por Pablo Garaizar Sagarminaga — 2/2/2005 @ 5:38 pm
Su jefe va un poco más allá:
http://www.periodistadigital.com/secciones/tecnologia/object.php?o=44059
Todos deberíamos emplear Windows.
(nótese el tono irónico)
Un saludo,
Antonio.
Comment por academia informatica — 8/2/2005 @ 1:40 pm
Sigamos con el segundo mito: ¿Quién es responsable de la seguridad del núcleo de GNU/Linux?
Bien, podría decirse que hay más gente responsable de la seguridad del núcleo Linux que del núcleo de Windows, por lo menos especulativamente, echando mano de las cifras de empleados programadores en Microsoft y calculando qué gente está dedicada a cada proyecto. Pero este sería un argumento de cantidad, y no vamos a hilar tan grueso como nuestro colega Nick.
La seguridad del núcleo de Linux que estés usando depende de los encargados de este tema en cada distribución. En Red Hat tienen a muchos desarrolladores de la rama oficial del núcleo, que además parchean el núcleo que se distribuye con Red Hat para que tenga funcionalidades extra que ellos consideran oportunas. Ésta es la razón por la que en muchas advertencias de vulnerabilidades en el núcleo, se avisa que determinadas versiones de Red Hat o de SuSE o de la distro que sea no se ven afectadas, porque sus desarrolladores han decidido que era necesario parchear el núcleo oficial o limitar una funcionalidad y arreglar los posibles fallos.
¿Quién se encarga de la seguridad del núcleo de Windows? La respuesta corta es “Microsoft", pero siendo técnicos como somos, nos gustaría oir la respuesta larga, ¿no es así? Va a ser difícil que nos enteremos con exactitud. De todas maneras, conozco un par de nombres de gente encargada del núcleo de Windows que son buenísimos en lo suyo, así que no quiero sembrar dudas sobre esto (pero tampoco me gusta que las siembren ellos sobre Linux).
La seguridad del núcleo de GNU/Linux está más que probada, y su rapidez de respuesta a cada vulnerabilidad encontrada es insuperable (ridiculiza en términos de tiempo al mes que tienes que esperar con Windows Update para bajarte los parches).
Comment por Pablo Garaizar Sagarminaga — 9/2/2005 @ 9:28 am