Microsoft:”Windows es más seguro que Linux y Unix”

mmmmm. Me surgió una duda:

si se descubre un bug en kernel de linux, esto no afectaria a todas las distros de linux?

Generalmente cada distro modifica el kernel a su manera, asi debian crea y modifica el kernel ligeramente asi que es totalmente imposible que afecte a todas lass dsitros ademas inclusive cada dos o tres meses sacan nuevas versiones del kernel.

Saludos

Mas que crear lo que hace es modificar y compilar el Kernel (Linux), si fuera un error (bug o como lo quieran llamar) que estuviera desde hace mucho tiempo seguramente afectaria a todas las versiones del Kernel y por ende a todas las distribuciones.

Bueno pero eso es como decir que Linux siempre ha sido vulnerable, ademas si miras el changelog del kernel de Linux observaras los bugs que encuentran los desarrolladores dentro del propio kernel.

Saludos

Estuve pensando y platicando esto con uno y pensamos en lo mismo:

Qué es más fácil ¿Encontrar y explotar un bug donde tienes el código o dónde no?

La respuesta lógica es donde lo tienes, por lo que podría ser cierto esto que dice MS.

Al contrario, claro que "podría" ser más vulnerable una aplicación con el código abierto en manos de un usuario malicioso, pero cuantos usuarios habría igual de hábiles con buenas intenciones ? Tenlo por seguro que mucho más y gracias a estos la detección de un bug en un código abierto es más rápida y por ende su detección.

Si MS tiene 1000 programadores buscando bugs dentro de una aplicación de MS el software libre tiene millones.

Los desarrolladores de software propietario solo se tienen a si mismos para reparar y corregir su código. El software libre tiene al mundo entero en potencia.

Simples matemáticas.

Saludos

Pues, con esos pocos pueden hacer kk Linux.

¿Esto que significa? ¿Piensas en realidad que Linux es tan vulnerable? La verdad si fuera que los SO no son vulnerables porque te muestren el codigo, ni mucho menos, sino que osn vulnerables porque el codigo en si es vulnerable, y pues muchisima gente trabaja en el kernel de linux.

Para que te des ceunta si encuentras un bug en el kernel simplemente lo colocas aqui y seguro que al di siguiente ya tienes un parche para la vulnerabilidad.

Uno de los SO mas seguros es open Source aunque con otra licencia como es OpenBSD, porque los desarrolladores son unos expertos programadores y conocen muchas setrategias para evitar vulnerabilidades. Segun ellos en el proceso de instalacion oslamente han tenido un error en ocho años, lo cual se debe ala depuracion tan buena que tienen apra el codigo.

Saludos

Los crackers no hacen eso. En vez de mandarlo, se van a explotarlo.

Ese es el problema X.Cyclop, ok los crackers encuentran el bug pero en ¿donde demonios lo explotan? Tienen que encontrar la version del kernel indicada, asi que es como buscar una aguja en un pajar, mientras que en windows dejas el exploit por ahi en internet y eso se difunde solo, pero debe ser algo dificilillo encontrar una vulnerabilidad de ese tipo en la red global. Ese es mi punto. Gracias por facilitarme la explicacion.

Como siempre hablando desde tus viceras y demostrando tu ignorancia al tema, tu solo te pones en evidencia. Necesitas pruebas antes de decir ese tipo de cosas.

Al menos con las pruebas que mi experiencia me ha dado, para mi y para mi máquina Linux ha sido más seguro, tan sencillo como que en mi partición de WinXP necesito antivirus, anti-spyware y tener cuidado con cada cosa que descargo por medio de P2P o navegando. Con linux no me preocupo por esas cuestiones.

Si lo que dices fuera verdad no se que esperan esos pocos para hacer "KK" Linux.

Con esto demuestras la realidad que has vivido todo este tiempo. La vida en Windows y el código cerrado es esa, como la gente no tiene la manera de ver el código los defectos que encuentran los hackers son para aprovecharlos, hacer maldades, piratería, etc. Esa es la realidad del mundo Windows, nadie se va a poner a buscarle para mejorarlo o son muy pocos puesto que no tienen manera de contribuir tan directamente. En el mundo del software libre es distinto, hay de todo (hackers con buenos propósitos y con malos), pero son más los usuarios que ven el código para aprender, para evolucionar esas aplicaciones, aportar y desarrollar nuevas basandose en otras, etc. y esto es porque simplemente el código está a la mano de todos y de aquel que le interese y no tienes que ser un hacker muy avanzado para poder ver el código.

No te culpo por pensar así, pero creeme que tienes una visión limitada de la realidad y espero que eventualmente lo entiendas.

En general es como decis pero ultimamente tenemos ejemplos que te contradicen como el parche que acaban de sacar para el Internet Explorer. Y la cantidad de vulnerabilidades reportadas es enorme, otra cosa es que mientras tanto saquen un exploit para la misma pero tambien hay muchos para Linux.

http://www.metasploit.com/
http://www.metasploit.com/shellcode_linux.html

¿Hay alguna razon divina como para que no lo sea? ¿Seguro que no hay ninguna interfaz que pueda ser atacada y permita la ejecucion de codigo arbitrario? Esta hecho por humanos, puede tener algun bug. Otra cosa es que si buscaramos entre Windos y Linux encontraramos muchisimos mas bugs en el primero, eso me da exactamente lo mismo ya que estabamos planteando una situacion en la cual se encontraba un bug (vulnerabilidad por cierto) en el Kernel (Linux). Yo creo que podria pasar tranquilamente.

http://www.insecure.org/sploits_linux.html

inode count integer overflow in Linux kernel
Description: Member i_count in struct inode of the Linux kernel is an unsigned short, which can be overflowed by mapping one file more than 65535 times.
Author: <[email protected]>
Compromise: root (local)
Vulnerable Systems: Linux, probably versions up to 2.0.31 (or so)
Date: 14 January 1998
Exploit & full info: Available here

Este bug fue reportado en 1998, vaya uno a saber desde que fecha estaba ...

Linux setrlimit and sysctl integer overflows
Description: setrlimit() Linux kernel call (up to 2.0.29) does a signed comparison only on the resource changes, which allows users to increase their resource limits by passing negative numbers. Also, a sysctl() problems allows generation of kernel faults by unpriviliged users.
Author: Solar Designer <[email protected]>
Compromise: bypass resource limits
Vulnerable Systems: Linux <= 2.0.29
Date: 28 August 1997
Exploit & full info: Available here

Hay bastantes mas en esa pagina pero me quede con este ya que muestra que cualquier Linux anterior a la version 2.0.29 estaba afectado. 28 de Agosto de 1997.

Como te decia mi punto no es para nada probar que un S.O. es mas o menos seguro que otro sino que puede ser que haya un bug en cualquiera.

http://www.securityfocus.com/ >> Vulnerabilities >> Vendor:Linux >> title:kernel

Si, tienes razón, el reporte de bugs en windows ha crecido y seguirá creciendo (espero que no por la cantidad de los mismos, sino por la participación). Pero creo que en el software libre es más dinámica porque tienes la oportunidad potencial (cuando eres capaz) de corregirlo tu mismo, claro que son muy pocos los casos comparado con las capacidades técnicas del usuario promedio.

En mi caso por supuesto que tendría que esperar a que otra persona lo hiciera por mi

Eso no es cierto. Un bug no necesariamente tiene que ser una vulnerabilidad. Estamos cometiendo un error con el mal uso de ese término. Los bugs son errores de software y se reconocen porque hacen que la aplicación arroje un resultado que no es el esperado. La vulnerabilidad de un SO está relacionada con algunos bugs correspondientes a huecos de seguridad, pero no con todos los bugs.

Por supuesto que Linux tiene bugs. Y siempre los tendrá, ya que las actualizaciones para las nuevas olas de software siempre necesitan parches que habiliten una nueva función o deshabiliten otras (o ambas). Pero eso no tiene nada que ver con la seguridad. Es otra cosa.

Ahora bien, si comparamos las actualizaciones de seguridad de Windows con el resto de los sistemas operativos basados en Linux, las ventanitas dejan mucho qué desear. Aún el MacOS (Muy superior a Windows por donde lo mires) es más vulnerable que Linux; sin embargo, la fortaleza de Linux se debe precisamente a la posibilidad de que su kernel pueda ser modificado y no sólo dar origen a las cientos de distros que ya conocemos, sino a alteraciones individuales de esas distros que aún no han sido compartidas (Ni sus dueños tienen la obligación de hacerlo).

Ya entendido lo anterior ¿Cómo programar un virus para un sistema operativo con millones de caras? Imposible hermano!. No es cuestión de posibilidades del cracker ni de tecnología, sino de lógica elemental. El cracker sólo puede crear un virus para Linux que sea 100% efectivo en su propia computadora.

La solución para Windows es muy sencilla: Abran sus códigos. Se ahorrarían billones con una decisión de esta naturaleza. Y no es descabellado. Apple se planteó muy seriamente esta posibilidad hace casi dos años. Sun también lo hizo.

Lo que pasa es que (A pesar de duras enseñanzas y mucho dinero perdido) aún existe una oscura apuesta por el triunfo de la mal llamada "propiedad intelectual" con sus prohibiciones, monopolios y patentes. Aún creen equivocadamente que liberar los códigos será como matar a la gallina de los huevos de oro. Lo cierto es que actualmente la mayor bola de gastos de microsoft se la lleva el servicio de soporte a los clientes que compran sus "maravillas" (Básicamente el soporte consiste en crear parches de seguridad).

¿No quisieras algún día echarle mano al kernel de tu windows? ¿No te has preguntado por qué te es imposible modificar a tu gusto un sistema operativo por el cual pagaste centavo a centavo? Ahí dejo eso.

Saludos.

Perdon. ¿Que es lo que no es cierto? ¿Que un bug puede representar una vulnerabilidad? Estabamos hablando hipoteticamente ...

Ningun problema con eso.

¿Si? ¿Incluso en la cantidad y variedad de Software disponible?

Aunque te parezca imposible lo hago diariamente, el Kernel esta ahi, el codigo en ensamblador y Microsoft provee los simbolos con lo cual podes ver los nombres de las funciones, variables internas del sistema e incluso las estructuras. Todo esto es posible de ver con los depuradores de Microsoft que son gratuitos.
Ademas se puede modificar el comportamiento del Kernel mediante varias tecnicas avanzadas, siempre desde drivers por supuesto.

De acuerdo en todo

No, no... Si hubieses dicho que "un bug puede representar una vulnerabilidad", la aclaración no habría sido necesaria. Vuelvo a colocar lo que dijiste:

"eso me da exactamente lo mismo ya que estabamos planteando una situacion en la cual se encontraba un bug (vulnerabilidad por cierto) en el Kernel (Linux)"

No son sinónimos, mi estimado. Los huecos de seguridad de un software son bugs (En el mejor de los casos), pero el universo de los bugs no puede ser calificado como vulnerabilidades de software. Eso precisamente fue lo que afirmaste y a eso me refiero.

Saludos.

No es mi obligacion, responsabilidad o tarea y una cosa es aclarar que en este caso no era necesario y otra decir que alguien esta mintiendo. Y cortas la frase donde queres esto es lo que sigue a eso: "Yo creo que podria pasar tranquilamente." Esta clarisimo que se habla de una posibilidad. Un comentario entre parentesis indicando que en este caso ese bug era una vulnerabilidad y tu respuesta fue decir que no era cierto y dar una definicion de wikipedia sobre algo que muy probablemente no sea tu campo de trabajo y no domines.

Estas confundido, en ningun momento dije que eran sinonimos bajo ningun concepto, estaba planteando una situacion hipotetica.

No hay razón para alterarse. Corté la frase en este post, pero no en el que originalmente escribí hace minutos. Y que éste no sea mi campo de trabajo es absolutamente irrelevante. El hecho es que hay un concepto por aprender (Bug) y alguien que no domina el tema te está dando un link para que lo revises y enriquezcas tus conocimientos.

Aunque el castellano es muy complejo, no es necesario ser un etimologista para leer lo que mencionaste como una afirmación. Si no lo quieres reconocer es otra cosa, pero el caso es sencillo: te equivocaste en un término y la wiki te lo aclaró. Nos pasa a todos en algún momento. Ahora sabes lo que es un bug.

Saludos.

PD:No veo dónde y en qué parte. Bueno, lo dejo hasta aquí. Suerte con las definiciones.

Me imagino, te agradezco muchisimo que lo hagas, es bueno tomarse un tiempo para ayudar a los demas aunque en este caso no haya servido para nada.

"¿Hay alguna razon divina como para que no lo sea? ¿Seguro que no hay ninguna interfaz que pueda ser atacada y permita la ejecucion de codigo arbitrario? Esta hecho por humanos, puede tener algun bug. Otra cosa es que si buscaramos entre Windos y Linux encontraramos muchisimos mas bugs en el primero, eso me da exactamente lo mismo ya que estabamos planteando una situacion en la cual se encontraba un bug (vulnerabilidad por cierto) en el Kernel (Linux). Yo creo que podria pasar tranquilamente."

Lo primero que esta en negrita no lo entendes e implica una vulnerabilidad. Segundo si creyera que un bug es lo mismo que una vulnerabiliad no seria necesaria la aclaracion de que este bug en particular es una vulnerabilidad y eso es lo segundo que esta en negrita. Todo esto dentro de una situacion hipotetica y un parrafo que termina diciendo que algo podria pasar.

"estabamos planteando una situacion "
"Yo creo que podria pasar tranquilamente."