Los típicos ‘flames’ de windows vs linux siempre tratan de mostrar que un sistema es mejor que otro. Sin embargo, yo no voy a decir cual es mejor, solo voy a contarles una historia.

Con cierta frecuencia nos vemos con varios amigos que trabajan como ‘pen testers’ o ‘hackers eticos’ para probar la seguridad de diversas empresas. Entre cerveza y cerveza, compartimos experiencias y metodologías para escalar privilegios. El fin de semana pasado, un amigo (que voy a llamar ‘oscurito’) me estuvo contando que en uno de sus trabajos obtuvo control total de los servidores y bases de datos (hasta ahí, una historia ‘normal’ en nuestras conversaciones), y debido a eso, se había convocado una reunión con el grupo de tecnología y el proveedor. La reunión fue algo como esto:

Oscurito: Ustedes tienen huecos de seguridad debido a falta de controles en la red, no hay vlans, no hay servidores protegidos, no tienen parches.

Grupo de tecnología: ¿Y qué hacemos?

Oscurito: Implementar los controles necesarios. Por ejemplo, mantener los servidores en una vlan protegida con un firewall, actualizar los parches de los servidores…

Proveedor (interrumpiendo a Oscurito): ¡LO QUE HAY QUE HACER ES PONER LINUX PORQUE ES MEJOR QUE WINDOWS!

Oscurito pensando: ¡mierda, este tipo si que molesta… vamos a escanear su laptop que está conectada a la red!

Proveedor: ¡….PORQUE LINUX ES LIBRE, NO HAY QUE PAGAR LICENCIAS, ES LO MEJOR QUE HAY EN EL MERCADO… bla bla bla bla lba!

Oscurito (mirando su laptop y pensando): Este tipo tiene gentoo en su pc… apuesto que no lo ha actualizado y que le corre el exploit de ssl que salió hace unos meses para conseguir su llave privada de ssh. Montemos la máquina virtual con Backtrack, ejecutemos exploit……..

Proveedor: ¡….Y ES QUE LINUX ES MÁS SEGURO…!

Oscurito (Interrumpiendo): ¿Está seguro que linux es más seguro?

Proveedor: ¡ABSOLUTAMENTE!

Oscurito: Entonces, ¿qué es esto? ¿es esta su máquina? (se veia una consola ssh con un ifconfig y un ls mostrando la ip y los documentos del proveedor.

Proveedor: ………………………………………………………………………………………

MORALEJA:
1. La seguridad de un sistema es directamente proporcional a la capacidad de su administrador. Un administrador regular tendra un sistema con poca seguridad.

LA MORALEJA OBVIA:

1. Un sistema desactualizado es inseguro.