debatir sobre seguridad. JM Tella Llop

El Sun, 05 Oct 2003 06:52:00 GMT, JM Tella Llop [MS MVP]
dijo:

Le agradecería que dejara de llenar de basura el grupo. No creo que ni
en es.comp.os.linux.misc ni en microsoft.public.es.windowsxp sea
necesario la figura de la niñera que decide cuándo y cómo se hace y se
deja de hacer crosspost. Por mi parte ya me ha quedado claro su
naturaleza de Troll y le mando al killfile. No se preocupe que no está
sólo que GUYRULEZ le hará compañía.

*PLONK*

o tal vez sea más adecuado

/dev/null

Samuel Moñux Salvador
PGP Key pgp.rediris.es -- KeyID 0x822583C2

El Sun, 5 Oct 2003 17:52:05 +0200, Arador escribió:

El Sat, 4 Oct 2003 23:54:16 +0200 "Claudio S." escribió:

A mi hay dos cosas que me hacen desconfiar muchísismo del windows
cuando hablamos de seguridad:
a) Es el único sistema operativo que todavía tiene virus. El resto
hace muchos años que dejó de tenerlos.

El tema de los virus es un tema en el que la gente se pasa bastante. Sin miedo
ningun me atrevo a decir que el 99% de las infecciones de virus son provocadas
EXCLUSIVAMENTE por incompetencia del usuario del ordenador. Asi de claro.

La razón que sea, es igual. El efecto final es que en linux/unix
no hay virus y en los windows causan perdidas millonarias.

Si hay tantos virus para windows es porque es la plataforma mas usada y los
escritores de virus por definicion se centran en ella.

No coincido. Para hacer un virus (o sería más corecto decir exploit) hay
que estudiar con lupa un programa de uso común, digamos apache. ser
mucho más listo que los propios programadores y encontrarle un fallo.
Que ese fallo sea lo suficientemente significativo como para permitir
que el atacnate tome el control y además actuar lo suficientemente
rápido como para que se propage antes de que la comunidad de
desarrolladores y los usuarios reaccionen. Vamos, una labor de genio.
Cualquier estudiante de primero hace un virus para windows. En los
tiempos del ms-dos eran obras de arte, pero ahora el melissa era una
chorrada.

Porque fallos de
seguridad del evolution (similares a los del outlook) o de pine estan en
las listas de bugtraq, si nadie los usa para virus es porque casi nadie
usa evolution, y si alguien lo ha intentado se habra encontrado con que
la via de infeccion se corta rapidamente al no encontrar una cadena
de transmision debido a la falta de usuarios.

El que haya un bugtraq no quiere decir que se trate haya virus de por
medio ni que haya un compromiso de seguridad real. Por ejemplo, mi kde
tiene un "bug" que consiste en que si me conecto a un servidor
con una url de la forma usuario:contraseña:www.servidor.es/dir/pag.html
al propio servidor le informa de la contraseña en la url. El problema
viene de que el programa del servidor, por lo general, no tiene acceso
a la contraseña, que es validada previamente por el servidor web. En
fin, no entro en detalle, solo decir que es un problema totalmente
irrelevante. Aunque tengo disponible la solución desde hace días, no
me apetece gastar el ancho de banda para resolverlo.
El del pine creo que trata de que con ciertas configuraciones el
programa de correo puede ejecutar un adjunto. Vamos, que los problemas
de seguridad entre las plataformas, a mi modo de ver, no son comparables.

b) Cuando hago(hacía) un scandisk... ¡ me perdía trozos de archivos
que después aparecían en FILE???.SCK !!!! Que un sistema en su
operativa normal pierda datos es señal de dejadez en temas de seguridad.

Tio, en que mundo vives?

Vivo en los últimos diez años. Los windows dejaban file.sck en su
operativa normal, no solo cuando se caían accidentalmente. En cambio te
cogías un linux, gratuito, y nunca te dejaba los /lost+found/#num salvo
que le dieses al botón de reset (y aún así no siempre).
Pues durante años y años estuvo así la cosa ¿ qué pasa, que microsoft
no era capaz de hacer nada parecido, que a lo más que llegaba era al
sistema FAT ? La situación era que podías optar a un sistema en
condiciones de manera gratuita (libre) o a uno malo y de pago. Y no
se movieron porque no les dió la gana dar un mejor producto, a fin
de cuentas, la consola del linux no les podía hacer la competencia.
Tuvo que evolucionar el linux y hacerse mayores los proyectos kde y
gnome para que reaccionase. Ya había un escritorio más bonito que el
del windows, y además configurable, en red y al alcance de todo el
mundo. Entonces sí que reaccionó. ¿ Y cuál es la estrategia de ahora ?
Invertir mucho dinero en publicitar que van a mejorar la seguridad.

Dime si quieres que lo veo todo del lado malo. Pero no me negarás
que hay razones para desconfiar. Ayer fue la seguridad, hoy son las
prestacioens y mañana vaya Vd. a saber qué será.

En cambio el exploit del rpc de windows sigue abierto (y lleva meses)
y la compañía fabricante ya ha dicho que renuncia a arreglarlo
para parte de la gama :-(

El bug del rpc esta arreglado; y si NT 4.0 no está arreglado es porque
se ha acabado el soporte; y a pesar de ello microsoft ha arreglado
varios fallos para el a pesar de haberse descontinuado su soporte.
¿O acaso a ti redhat te arregla bugs de versiones caducadas?

Con Red Hat tienes una serie de garantías que no tienen parangón en
el mundo comercial. De entrada tienes los upgrades de versión gratuitos.
Y por ejemplo, si tienes un bug del apache, Red Hat
te da los compiladores y las fuentes de las librerías. Tu te bajas las
fuentes de la última versión con el bug ya corregido, lo compilas y
santas pascuas. Tanto redhat como cualquier otra. Una de las máximas
de la gnu es que quieren varios productos donde se pueda elegir, no
le basta un programa libre. Además de apache tienes roxen, zope o wn.
Siempre puedes tener un reemplazo para un programa inseguro (o que
simplemente no te gusta).

Entiendo que Microsoft no pueda nunca llegar a eso, pero debería cuidar
las formas, al menos en el tema de seguridad. Sun lo hace.

Un saludo.

El Sun, 5 Oct 2003 20:11:35 +0200, JM Tella Llop [MS MVP] ·
escribio:

:-DDDDDDDDDDDDDDDDDDDDDD


Ille Corvus
"Los desastres no ocurren por casualidad, son consecuencia de hechos coincidentes."

Hola, Arador:

Arador escribió en es.comp.os.linux.misc:
[...]

El bug del rpc esta arreglado; y si NT 4.0 no está arreglado es porque
se ha acabado el soporte; y a pesar de ello microsoft ha arreglado
varios fallos para el a pesar de haberse descontinuado su soporte.

Pues la verdad es que no sigo demasiado los asuntos de Microsoft últimamente
pero, hasta donde se la cosa no fue exactamente así. Más bien, Microsoft
adelantó la fecha de fin de servicio de NT 4.0 para no tener que reparar
los problemas con el RPC en ellos.

¿O acaso a ti redhat te arregla bugs de versiones caducadas?

No, pero Red Hat te deja instalar la versión actual gratuitamente ¿hace
Microsoft algo parecido? (y con todo, la reducción del tiempo de
mantenimiento en sus versiones "pequeñas" hace no mucho fue la última gota
en el vaso: desde entonces recomiendo Debian en instalaciones corporativas,
a menos que haya una razón clara para no hacerlo, creo que con decirte esto
ya te puedes figurar en qué estima tengo a Microsoft por lo que respecta a
sus políticas de mantenimiento).
SALUD,
Jesús
***

***