lunes, marzo 30, 2009
|
He aquí una de esas preguntas que sabía algún día llegaría, y que no se si algún día habrá consenso en la industria con una respuesta única. Hoy simplemente les doy mi opinión.
La pregunta me las hicieron después de leer los comentarios en esta noticia de hoy en donde reporté como hackers lograron penetrar computadoras en 103 países de personas bastante importantes, y muchos lectores dijeron (en los comentarios en eliax) que eso se debió a que utilizaban Windows. Lo que opino en el tema de Linux vs Windows (y podríamos meter al Mac OS X en la pelea también, aunque un poco mas del lado de Linux que de Windows) es lo siguiente, que resumo en distintos puntos: 1. Es cierto que por un gran margen el sistema mas atacado exitosamente en Internet es Windows. Sin embargo, debemos también entender que Windows representa sobre alrededor del 90% de los sistemas operativos en el mundo, por lo que estadísticamente esperaríamos que fuera atacado mas que los otros sistemas operativos. 2. Sería interesante ver cifras en donde tengamos números que representen ataques en términos de tajada de mercado, y ver proporcionalmente a esta tajada qué tan atacado es un sistema operativo. Sin embargo no creo que estos números tampoco representarían a la realidad, ya que debido a que Windows representa tanta proporción del mercado, y Linux por lo general (aunque no siempre) es utilizado por usuarios mas técnicos y mas conscientes en temas de seguridad, que la proporción de hackers que preferirían atacar a Windows simplemente es mucho mayor proporcionalmente que en Linux. 3. Sin embargo, hay ciertas cosas que sí podemos decir con certeza hoy día: Sistemas operativos como Unix, Linux y OS X fueron todos diseñados desde el principio con el tema de seguridad como parte intrínseca de su diseño, mientras que Windows ha sido una evolución paulatina de MS-DOS, al cual el tema de seguridad se le ha ido añadiendo con el paso del tiempo, y por tanto nunca ha sido una parte fundamental de su arquitectura. 4. Ningún sistema operativo es seguro, y el que diga que tiene uno que es "100% seguro" me atrevo a decir que es un principiante en el mundo de la seguridad informática y sin la menor duda alguien a quien no le confiaría la seguridad de mi empresa. A la fecha no se conoce de ningún sistema que no haya podido ser penetrado, dado suficiente tiempo y recursos. 5. Inclusive en las circunstancias mas extremas en donde se haga extremadamente difícil penetrar un sistema por medios técnicos, existe otra vía mas fácil por el eslabón mas débil en la cadena de seguridad de cualquier sistema: humanos. Aquí el ejemplo mas conocido es el del hacker Kevin Mitnick, el cual hizo una carrera con el término "Social Engineering" o "Social Hacking", en donde la idea es simplemente interactuar con personas para convencerlas de que escriban comandos que no entienden, o inclusive a que te provean de claves. Esto es algo tan sencillo como llamar a la secretaria y decirle que eres del departamento de soporte técnico y que necesitas que ella escriba algo en la linea de comando para "ayudarte a resolver un problema". Hoy día toda empresa de gran tamaño tiene (o debería tener) reglas y entrenamiento para todos sus empleados para evitar este tipo de violación a sus sistemas informáticos. 6. Otro tema de seguridad es que ya no solo son los sistemas operativos los que representan una amenaza misma, sino que las aplicaciones que utilizamos sobre estos. Sea porque estos tienen demasiado acceso al sistema operativo, o porque tienen una seguridad pobre que permite que remotamente se ejecute código en otras partes de la red interna de una organización, que en torno hace mas fácil atacar a sistemas operativos desde adentro. Hablamos desde simples navegadores web, hasta hojas de cálculos, desde sistemas del tipo ERP hasta sistemas hechos a la medida. Sin embargo, este tema de aplicaciones externas que se utilizan como puerta para luego atacar al sistema operativo también depende de la arquitectura de seguridad del sistema operativo nativo, y según los mismos hackers, Windows aparenta ser mas vulnerable en ese sentido, en particular por lo fácil que es que un usuario normal infecte archivos "privilegiados" del sistema operativo mismo. 7. Aun con lo que dije en el punto 6, sin embargo, lo cierto es que también tenemos que tener en cuenta que los hackers tienen mucho mas experiencia acumulada atacando a Windows, por lo que quizás el tema de que sea "mas fácil" atacar a Windows sea un ilusión. Sin embargo aparenta por ahora que no es una ilusión y que estas violaciones a Windows tienen que ver mucho con las diferencias de diseño basado en seguridad de ambos sistemas operativos. 8. Otro comentario que puedo hacer aquí es que Linux, a diferencia de Windows (o en este caso hasta el mismo Mac OS X) tiene su código fuente (es decir, el programa que define el sistema operativo) totalmente abierto y libre, lo que significa que cualquiera puede inspeccionar el código, y por tanto mejorarlo y hacerlo mas fuerte, así como poder corregir errores mas rápidamente. El otro lado de la moneda a este argumento es que un sistema al cual los hackers no tengan el código fuente, como Windows, no se puede inspeccionar tan fácilmente, y hay que recurrir mas a ingeniería inversa y ataques automatizados o guiados para descubrir fallas, que puede ser un proceso mas lento. Sin embargo, el consenso mas o menos general en la industria es que en temas de seguridad es preferible tener acceso al código, pues se ha demostrado que "seguridad escondiendo código" no es seguridad, ya que eventualmente esos agujeros latentes se encuentran y se explotan (como ocurre a diario con Windows). 9. Si tomamos en consideración los 8 puntos anteriores, y alguien preguntara ahora la simple pregunta "¿pero cual es mas seguro?", mi respuesta sería Linux, sin importar que sea por razones técnicas o no, pues tan solo el tema de que Windows posea alrededor de un 90% del mercado lo hace un magneto para hackers, lo que significa un problema de seguridad mayor para tu hogar y/o organización. 10. No tengo un "punto 10" en esta lista, pero eso lo puedes agregar tu en los comentarios... :) Y como siempre, pueden acceder a mas artículos similares en la sección de "Pregunta a eliax", y enviar sus preguntas por este medio. autor: josé elías |
49 comentarios |
Pregunta a eliax |
Comentarios
Añadir Comentario |
en camino a la singularidad...
©2005-2024 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax
Seguir a @eliax
Definitivamente Linux es #1 en seguridad. No hay que decir nada mas.