En defensa de Antonio Amengual [MS MVI]

Hola Alberto, en el informe tienes la lista de todas las vulnerabilidades
linkadas en las webs de los advisories.

Hasta el momento, todos los informes que se hacen con datos siempre dan los
mismos resultados. Como somos informáticos y no rumorologos, te recomiendo
que hagas tu propio informe de verdad. Cert, no Informática 64, Cert da como
más seguro a Windows Server. Mira, he sido profesor de seguridad en Esware
Linux, he formado al superhub de Sun Microsystems para el proyecto Sun
Linux. He dado más de 3.000 horas de formación en seguridad a departamentos
de seguridad de bancos, cuerpos de seguridad del estado, empresas privadas,
etc.. No quiero entrar en debates de rumores. El informe que se encargó solo
cuenta los fallos que reconocen los fabricantes. Cert, Forrester, IDG,
Garner, etc.. son consultoras independientes de seguridad que contemplan el
tipo de vulnerabilidad y el nivel de importancia, lee esos informes o los
que quieras, pero lee siempre informes con datos, no con rumores. Los
informes más favorables a Linux hablan de empate, pero son los menos.

La seguridad depende de tres factores: Tecnología, Procedimientos y
Personas. Tan fácil/dificil es hackear un Linux como un Windows Server.

En mi experiencia profesional me he encontrado muchos rumores, pero los
hechos son los que cuentan. La tecnología de Microsoft me parece más
avanzada, y es una percepción personal, a modo de ejemplo, sistemas de
gestión de derechos digitales en documentos como Rights Management Server no
existe en Linux, herramientas de auditoría de caja blanca como MBSA no
existe en Linux, solo hay de caja negra como Nessus, pero no de caja blanca,
actualización de patchs como un simple Windows Update, SUS, WUS, tampoco,
tenemos que recurrir a gestión de paquetes, no gestión de patchs. Para
gestión de servidores y equipos en remotos, lo único que hay en Linux es una
medio versión no funcional totalmente de Zenworks, mientras que IBM tiene
Tivoli, HP OpenView y Microsoft SMS y MOM. OpenLDAP no implementa las
extensiones, no existe una gestión automática de certificados digitales para
IPSec, etc..

Punto a punto, analizando la tecnología de seguridad Linux está por detrás,
en parte, no por el exito de Microsoft, sino por no seguir su camino, su
origen es UNIX (MINIX) y como tal debería haber seguido. Sin embargo,
tecnología que destrozaba a la que tenía MS se "olvida" en pro de copiar a
MS. Por ejemplo, existiendo NFS de Sun o Kerberos del MIT mucho antes de que
MS tuviera Active Directory o soporte de compartición de recursos sobre
TCP/IP, el mundo Linux apuesta por SAMBA, para interconectarse con SMB o NIS
y las yellow pages para validaciones centralizadas. El reto hacker de hace
dos/tres años de S21Sec tenía como tercera prueba hackear un Windows 2000
configurado por defecto, pero aplicando los parches de Windows Update. Nadie
lo pudo tumbar, ni entrar ni nada.

Como cualquier sistema operativo Linux es atacado y sufre los mismos males,
hoy mismo Linux no tiene ningún kernel estable con la última escalada de
privilegios a root arreglado. Debe poner una organización crítica un kernel
no estable en producción?. Debe estar en riesgo. Tb está circulando un
gusano que ataca a los motores PHP no actulizados. Un gusano que está
atacando a los servidores LAMP no actualizados estos últimos 15 días.
[Hispasec]

Mucha de la creencias de que Linux sufre menos fallos de seguridad es pq no
hay ningún sistema que centralice todos los avisos. Por ejemplo. alguien que
tenga kerberos de MIT en producción debe irse a la web periodicamente a ver,
como, por ejemplo, hay un buffer overflow en el sistema del finales del
2004, o que qpooper acumula 52 avisos de seguridad, etc.. Coge tu sistema
Linux, cataloga el software, localiza los puntos de publicación de
advisories de tu software y cuenta, es sencillo.

A parte de esto, muchas veces me encuentro en debates con gente sin
experiencia, que no conoce los dos entornos y descalifica sin conocer tan
siquiera el entorno que potencia. Instalar un kerberos en Linux, con
validación segura con certificados digitales, smartcard o kerberos pass over
IPSec, con autenticado de conexiones contra tecnicas de hijacking,
implantando IPSec con certificados, no con psk, dejar LDAP funcionando con
integración de aplicaciones en kerberos, es un ejemplo de una tecnología
básica de seguridad en una empresa. Sin embargo, muchos de los que debaten
no lo han intentado nunca.

Además, Linux tiene cosas buenas, pero tiene que espabilar si realmente
quiere ser competitivo en concepto Software Libre. IBM, Oracle, Suse,
RedHat, etc.. son empresas que cobran por Linux. Los proyectos que necesitan
de sw de estos fabricantes, llendo con linux, salen mucho más caros que con
Microsoft.

No es mi deseo entrar en más debates, aunque me encantaría discutir todos
los aspectos técnicos o de datos con vosotros en las news.

Chema Alonso.



"alberto" escribió en el mensaje
news:

El Wed, 12 Jan 2005 22:28:57 +0100, Chema Alonso MS MVP escribió:

Hola a todos,

Soy Chema Alonso, Director Técnico de Informática 64 y MS MVP Windows
Server
Security, ese informe se hizo contando vulnerabilidades y se lo encargé a
un
grupo de técnicos de mi empresa.

Si dichos informes/gráficas están hechos con total rigor, deberían
haber puesto una lista descriptiva de las vulnerabilidades de cada SO.

En este caso no importa que su empresa diga que Windows tiene sólo una
vulnerabilidad, lo que importa es la CALIDAD, es decir, no importa tanto
la cantidad de vulnerabilidades, sino la importancia que puedan tener.

¿Qué clase de SO seguro puede ser aquel que, teniendo un número ínfimo
de fallos de sistema, éstos se producen con una frecuencia muy elevada, o
se producen al realizar operaciones rutinarias?

Saludos.

Hola Alberto, en el informe tienes la lista de todas las vulnerabilidades
linkadas en las webs de los advisories.

Hasta el momento, todos los informes que se hacen con datos siempre dan los
mismos resultados. Como somos informáticos y no rumorologos, te recomiendo
que hagas tu propio informe de verdad. Cert, no Informática 64, Cert da como
más seguro a Windows Server. Mira, he sido profesor de seguridad en Esware
Linux, he formado al superhub de Sun Microsystems para el proyecto Sun
Linux. He dado más de 3.000 horas de formación en seguridad a departamentos
de seguridad de bancos, cuerpos de seguridad del estado, empresas privadas,
etc.. No quiero entrar en debates de rumores. El informe que se encargó solo
cuenta los fallos que reconocen los fabricantes. Cert, Forrester, IDG,
Garner, etc.. son consultoras independientes de seguridad que contemplan el
tipo de vulnerabilidad y el nivel de importancia, lee esos informes o los
que quieras, pero lee siempre informes con datos, no con rumores. Los
informes más favorables a Linux hablan de empate, pero son los menos.

La seguridad depende de tres factores: Tecnología, Procedimientos y
Personas. Tan fácil/dificil es hackear un Linux como un Windows Server.

En mi experiencia profesional me he encontrado muchos rumores, pero los
hechos son los que cuentan. La tecnología de Microsoft me parece más
avanzada, y es una percepción personal, a modo de ejemplo, sistemas de
gestión de derechos digitales en documentos como Rights Management Server no
existe en Linux, herramientas de auditoría de caja blanca como MBSA no
existe en Linux, solo hay de caja negra como Nessus, pero no de caja blanca,
actualización de patchs como un simple Windows Update, SUS, WUS, tampoco,
tenemos que recurrir a gestión de paquetes, no gestión de patchs. Para
gestión de servidores y equipos en remotos, lo único que hay en Linux es una
medio versión no funcional totalmente de Zenworks, mientras que IBM tiene
Tivoli, HP OpenView y Microsoft SMS y MOM. OpenLDAP no implementa las
extensiones, no existe una gestión automática de certificados digitales para
IPSec, etc..

Punto a punto, analizando la tecnología de seguridad Linux está por detrás,
en parte, no por el exito de Microsoft, sino por no seguir su camino, su
origen es UNIX (MINIX) y como tal debería haber seguido. Sin embargo,
tecnología que destrozaba a la que tenía MS se "olvida" en pro de copiar a
MS. Por ejemplo, existiendo NFS de Sun o Kerberos del MIT mucho antes de que
MS tuviera Active Directory o soporte de compartición de recursos sobre
TCP/IP, el mundo Linux apuesta por SAMBA, para interconectarse con SMB o NIS
y las yellow pages para validaciones centralizadas. El reto hacker de hace
dos/tres años de S21Sec tenía como tercera prueba hackear un Windows 2000
configurado por defecto, pero aplicando los parches de Windows Update. Nadie
lo pudo tumbar, ni entrar ni nada.

Como cualquier sistema operativo Linux es atacado y sufre los mismos males,
hoy mismo Linux no tiene ningún kernel estable con la última escalada de
privilegios a root arreglado. Debe poner una organización crítica un kernel
no estable en producción?. Debe estar en riesgo. Tb está circulando un
gusano que ataca a los motores PHP no actulizados. Un gusano que está
atacando a los servidores LAMP no actualizados estos últimos 15 días.
[Hispasec]

Mucha de la creencias de que Linux sufre menos fallos de seguridad es pq no
hay ningún sistema que centralice todos los avisos. Por ejemplo. alguien que
tenga kerberos de MIT en producción debe irse a la web periodicamente a ver,
como, por ejemplo, hay un buffer overflow en el sistema del finales del
2004, o que qpooper acumula 52 avisos de seguridad, etc.. Coge tu sistema
Linux, cataloga el software, localiza los puntos de publicación de
advisories de tu software y cuenta, es sencillo.

A parte de esto, muchas veces me encuentro en debates con gente sin
experiencia, que no conoce los dos entornos y descalifica sin conocer tan
siquiera el entorno que potencia. Instalar un kerberos en Linux, con
validación segura con certificados digitales, smartcard o kerberos pass over
IPSec, con autenticado de conexiones contra tecnicas de hijacking,
implantando IPSec con certificados, no con psk, dejar LDAP funcionando con
integración de aplicaciones en kerberos, es un ejemplo de una tecnología
básica de seguridad en una empresa. Sin embargo, muchos de los que debaten
no lo han intentado nunca.

Además, Linux tiene cosas buenas, pero tiene que espabilar si realmente
quiere ser competitivo en concepto Software Libre. IBM, Oracle, Suse,
RedHat, etc.. son empresas que cobran por Linux. Los proyectos que necesitan
de sw de estos fabricantes, llendo con linux, salen mucho más caros que con
Microsoft.

No es mi deseo entrar en más debates, aunque me encantaría discutir todos
los aspectos técnicos o de datos con vosotros en las news.

Chema Alonso.



"alberto" escribió en el mensaje
news:

El Wed, 12 Jan 2005 22:28:57 +0100, Chema Alonso MS MVP escribió:

Hola a todos,

Soy Chema Alonso, Director Técnico de Informática 64 y MS MVP Windows
Server
Security, ese informe se hizo contando vulnerabilidades y se lo encargé a
un
grupo de técnicos de mi empresa.

Si dichos informes/gráficas están hechos con total rigor, deberían
haber puesto una lista descriptiva de las vulnerabilidades de cada SO.

En este caso no importa que su empresa diga que Windows tiene sólo una
vulnerabilidad, lo que importa es la CALIDAD, es decir, no importa tanto
la cantidad de vulnerabilidades, sino la importancia que puedan tener.

¿Qué clase de SO seguro puede ser aquel que, teniendo un número ínfimo
de fallos de sistema, éstos se producen con una frecuencia muy elevada, o
se producen al realizar operaciones rutinarias?

Saludos.

Hola Alberto, en el informe tienes la lista de todas las vulnerabilidades
linkadas en las webs de los advisories.

Hasta el momento, todos los informes que se hacen con datos siempre dan los
mismos resultados. Como somos informáticos y no rumorologos, te recomiendo
que hagas tu propio informe de verdad. Cert, no Informática 64, Cert da como
más seguro a Windows Server. Mira, he sido profesor de seguridad en Esware
Linux, he formado al superhub de Sun Microsystems para el proyecto Sun
Linux. He dado más de 3.000 horas de formación en seguridad a departamentos
de seguridad de bancos, cuerpos de seguridad del estado, empresas privadas,
etc.. No quiero entrar en debates de rumores. El informe que se encargó solo
cuenta los fallos que reconocen los fabricantes. Cert, Forrester, IDG,
Garner, etc.. son consultoras independientes de seguridad que contemplan el
tipo de vulnerabilidad y el nivel de importancia, lee esos informes o los
que quieras, pero lee siempre informes con datos, no con rumores. Los
informes más favorables a Linux hablan de empate, pero son los menos.

La seguridad depende de tres factores: Tecnología, Procedimientos y
Personas. Tan fácil/dificil es hackear un Linux como un Windows Server.

En mi experiencia profesional me he encontrado muchos rumores, pero los
hechos son los que cuentan. La tecnología de Microsoft me parece más
avanzada, y es una percepción personal, a modo de ejemplo, sistemas de
gestión de derechos digitales en documentos como Rights Management Server no
existe en Linux, herramientas de auditoría de caja blanca como MBSA no
existe en Linux, solo hay de caja negra como Nessus, pero no de caja blanca,
actualización de patchs como un simple Windows Update, SUS, WUS, tampoco,
tenemos que recurrir a gestión de paquetes, no gestión de patchs. Para
gestión de servidores y equipos en remotos, lo único que hay en Linux es una
medio versión no funcional totalmente de Zenworks, mientras que IBM tiene
Tivoli, HP OpenView y Microsoft SMS y MOM. OpenLDAP no implementa las
extensiones, no existe una gestión automática de certificados digitales para
IPSec, etc..

Punto a punto, analizando la tecnología de seguridad Linux está por detrás,
en parte, no por el exito de Microsoft, sino por no seguir su camino, su
origen es UNIX (MINIX) y como tal debería haber seguido. Sin embargo,
tecnología que destrozaba a la que tenía MS se "olvida" en pro de copiar a
MS. Por ejemplo, existiendo NFS de Sun o Kerberos del MIT mucho antes de que
MS tuviera Active Directory o soporte de compartición de recursos sobre
TCP/IP, el mundo Linux apuesta por SAMBA, para interconectarse con SMB o NIS
y las yellow pages para validaciones centralizadas. El reto hacker de hace
dos/tres años de S21Sec tenía como tercera prueba hackear un Windows 2000
configurado por defecto, pero aplicando los parches de Windows Update. Nadie
lo pudo tumbar, ni entrar ni nada.

Como cualquier sistema operativo Linux es atacado y sufre los mismos males,
hoy mismo Linux no tiene ningún kernel estable con la última escalada de
privilegios a root arreglado. Debe poner una organización crítica un kernel
no estable en producción?. Debe estar en riesgo. Tb está circulando un
gusano que ataca a los motores PHP no actulizados. Un gusano que está
atacando a los servidores LAMP no actualizados estos últimos 15 días.
[Hispasec]

Mucha de la creencias de que Linux sufre menos fallos de seguridad es pq no
hay ningún sistema que centralice todos los avisos. Por ejemplo. alguien que
tenga kerberos de MIT en producción debe irse a la web periodicamente a ver,
como, por ejemplo, hay un buffer overflow en el sistema del finales del
2004, o que qpooper acumula 52 avisos de seguridad, etc.. Coge tu sistema
Linux, cataloga el software, localiza los puntos de publicación de
advisories de tu software y cuenta, es sencillo.

A parte de esto, muchas veces me encuentro en debates con gente sin
experiencia, que no conoce los dos entornos y descalifica sin conocer tan
siquiera el entorno que potencia. Instalar un kerberos en Linux, con
validación segura con certificados digitales, smartcard o kerberos pass over
IPSec, con autenticado de conexiones contra tecnicas de hijacking,
implantando IPSec con certificados, no con psk, dejar LDAP funcionando con
integración de aplicaciones en kerberos, es un ejemplo de una tecnología
básica de seguridad en una empresa. Sin embargo, muchos de los que debaten
no lo han intentado nunca.

Además, Linux tiene cosas buenas, pero tiene que espabilar si realmente
quiere ser competitivo en concepto Software Libre. IBM, Oracle, Suse,
RedHat, etc.. son empresas que cobran por Linux. Los proyectos que necesitan
de sw de estos fabricantes, llendo con linux, salen mucho más caros que con
Microsoft.

No es mi deseo entrar en más debates, aunque me encantaría discutir todos
los aspectos técnicos o de datos con vosotros en las news.

Chema Alonso.



"alberto" escribió en el mensaje
news:

El Wed, 12 Jan 2005 22:28:57 +0100, Chema Alonso MS MVP escribió:

Hola a todos,

Soy Chema Alonso, Director Técnico de Informática 64 y MS MVP Windows
Server
Security, ese informe se hizo contando vulnerabilidades y se lo encargé a
un
grupo de técnicos de mi empresa.

Si dichos informes/gráficas están hechos con total rigor, deberían
haber puesto una lista descriptiva de las vulnerabilidades de cada SO.

En este caso no importa que su empresa diga que Windows tiene sólo una
vulnerabilidad, lo que importa es la CALIDAD, es decir, no importa tanto
la cantidad de vulnerabilidades, sino la importancia que puedan tener.

¿Qué clase de SO seguro puede ser aquel que, teniendo un número ínfimo
de fallos de sistema, éstos se producen con una frecuencia muy elevada, o
se producen al realizar operaciones rutinarias?

Saludos.

Hola Alberto, en el informe tienes la lista de todas las vulnerabilidades
linkadas en las webs de los advisories.

Hasta el momento, todos los informes que se hacen con datos siempre dan los
mismos resultados. Como somos informáticos y no rumorologos, te recomiendo
que hagas tu propio informe de verdad. Cert, no Informática 64, Cert da como
más seguro a Windows Server. Mira, he sido profesor de seguridad en Esware
Linux, he formado al superhub de Sun Microsystems para el proyecto Sun
Linux. He dado más de 3.000 horas de formación en seguridad a departamentos
de seguridad de bancos, cuerpos de seguridad del estado, empresas privadas,
etc.. No quiero entrar en debates de rumores. El informe que se encargó solo
cuenta los fallos que reconocen los fabricantes. Cert, Forrester, IDG,
Garner, etc.. son consultoras independientes de seguridad que contemplan el
tipo de vulnerabilidad y el nivel de importancia, lee esos informes o los
que quieras, pero lee siempre informes con datos, no con rumores. Los
informes más favorables a Linux hablan de empate, pero son los menos.

La seguridad depende de tres factores: Tecnología, Procedimientos y
Personas. Tan fácil/dificil es hackear un Linux como un Windows Server.

En mi experiencia profesional me he encontrado muchos rumores, pero los
hechos son los que cuentan. La tecnología de Microsoft me parece más
avanzada, y es una percepción personal, a modo de ejemplo, sistemas de
gestión de derechos digitales en documentos como Rights Management Server no
existe en Linux, herramientas de auditoría de caja blanca como MBSA no
existe en Linux, solo hay de caja negra como Nessus, pero no de caja blanca,
actualización de patchs como un simple Windows Update, SUS, WUS, tampoco,
tenemos que recurrir a gestión de paquetes, no gestión de patchs. Para
gestión de servidores y equipos en remotos, lo único que hay en Linux es una
medio versión no funcional totalmente de Zenworks, mientras que IBM tiene
Tivoli, HP OpenView y Microsoft SMS y MOM. OpenLDAP no implementa las
extensiones, no existe una gestión automática de certificados digitales para
IPSec, etc..

Punto a punto, analizando la tecnología de seguridad Linux está por detrás,
en parte, no por el exito de Microsoft, sino por no seguir su camino, su
origen es UNIX (MINIX) y como tal debería haber seguido. Sin embargo,
tecnología que destrozaba a la que tenía MS se "olvida" en pro de copiar a
MS. Por ejemplo, existiendo NFS de Sun o Kerberos del MIT mucho antes de que
MS tuviera Active Directory o soporte de compartición de recursos sobre
TCP/IP, el mundo Linux apuesta por SAMBA, para interconectarse con SMB o NIS
y las yellow pages para validaciones centralizadas. El reto hacker de hace
dos/tres años de S21Sec tenía como tercera prueba hackear un Windows 2000
configurado por defecto, pero aplicando los parches de Windows Update. Nadie
lo pudo tumbar, ni entrar ni nada.

Como cualquier sistema operativo Linux es atacado y sufre los mismos males,
hoy mismo Linux no tiene ningún kernel estable con la última escalada de
privilegios a root arreglado. Debe poner una organización crítica un kernel
no estable en producción?. Debe estar en riesgo. Tb está circulando un
gusano que ataca a los motores PHP no actulizados. Un gusano que está
atacando a los servidores LAMP no actualizados estos últimos 15 días.
[Hispasec]

Mucha de la creencias de que Linux sufre menos fallos de seguridad es pq no
hay ningún sistema que centralice todos los avisos. Por ejemplo. alguien que
tenga kerberos de MIT en producción debe irse a la web periodicamente a ver,
como, por ejemplo, hay un buffer overflow en el sistema del finales del
2004, o que qpooper acumula 52 avisos de seguridad, etc.. Coge tu sistema
Linux, cataloga el software, localiza los puntos de publicación de
advisories de tu software y cuenta, es sencillo.

A parte de esto, muchas veces me encuentro en debates con gente sin
experiencia, que no conoce los dos entornos y descalifica sin conocer tan
siquiera el entorno que potencia. Instalar un kerberos en Linux, con
validación segura con certificados digitales, smartcard o kerberos pass over
IPSec, con autenticado de conexiones contra tecnicas de hijacking,
implantando IPSec con certificados, no con psk, dejar LDAP funcionando con
integración de aplicaciones en kerberos, es un ejemplo de una tecnología
básica de seguridad en una empresa. Sin embargo, muchos de los que debaten
no lo han intentado nunca.

Además, Linux tiene cosas buenas, pero tiene que espabilar si realmente
quiere ser competitivo en concepto Software Libre. IBM, Oracle, Suse,
RedHat, etc.. son empresas que cobran por Linux. Los proyectos que necesitan
de sw de estos fabricantes, llendo con linux, salen mucho más caros que con
Microsoft.

No es mi deseo entrar en más debates, aunque me encantaría discutir todos
los aspectos técnicos o de datos con vosotros en las news.

Chema Alonso.



"alberto" escribió en el mensaje
news:

El Wed, 12 Jan 2005 22:28:57 +0100, Chema Alonso MS MVP escribió:

Hola a todos,

Soy Chema Alonso, Director Técnico de Informática 64 y MS MVP Windows
Server
Security, ese informe se hizo contando vulnerabilidades y se lo encargé a
un
grupo de técnicos de mi empresa.

Si dichos informes/gráficas están hechos con total rigor, deberían
haber puesto una lista descriptiva de las vulnerabilidades de cada SO.

En este caso no importa que su empresa diga que Windows tiene sólo una
vulnerabilidad, lo que importa es la CALIDAD, es decir, no importa tanto
la cantidad de vulnerabilidades, sino la importancia que puedan tener.

¿Qué clase de SO seguro puede ser aquel que, teniendo un número ínfimo
de fallos de sistema, éstos se producen con una frecuencia muy elevada, o
se producen al realizar operaciones rutinarias?

Saludos.