Linux o windows, el más seguro es el más actualizado y mejor configurado.

Los típicos ‘flames’ de windows vs linux siempre tratan de mostrar que un sistema es mejor que otro. Sin embargo, yo no voy a decir cual es mejor, solo voy a contarles una historia.

Con cierta frecuencia nos vemos con varios amigos que trabajan como ‘pen testers’ o ‘hackers eticos’ para probar la seguridad de diversas empresas. Entre cerveza y cerveza, compartimos experiencias y metodologías para escalar privilegios. El fin de semana pasado, un amigo (que voy a llamar ‘oscurito’) me estuvo contando que en uno de sus trabajos obtuvo control total de los servidores y bases de datos (hasta ahí, una historia ‘normal’ en nuestras conversaciones), y debido a eso, se había convocado una reunión con el grupo de tecnología y el proveedor. La reunión fue algo como esto:

Oscurito: Ustedes tienen huecos de seguridad debido a falta de controles en la red, no hay vlans, no hay servidores protegidos, no tienen parches.

Grupo de tecnología: ¿Y qué hacemos?

Oscurito: Implementar los controles necesarios. Por ejemplo, mantener los servidores en una vlan protegida con un firewall, actualizar los parches de los servidores…

Proveedor (interrumpiendo a Oscurito): ¡LO QUE HAY QUE HACER ES PONER LINUX PORQUE ES MEJOR QUE WINDOWS!

Oscurito pensando: ¡mierda, este tipo si que molesta… vamos a escanear su laptop que está conectada a la red!

Proveedor: ¡….PORQUE LINUX ES LIBRE, NO HAY QUE PAGAR LICENCIAS, ES LO MEJOR QUE HAY EN EL MERCADO… bla bla bla bla lba!

Oscurito (mirando su laptop y pensando): Este tipo tiene gentoo en su pc… apuesto que no lo ha actualizado y que le corre el exploit de ssl que salió hace unos meses para conseguir su llave privada de ssh. Montemos la máquina virtual con Backtrack, ejecutemos exploit……..

Proveedor: ¡….Y ES QUE LINUX ES MÁS SEGURO…!

Oscurito (Interrumpiendo): ¿Está seguro que linux es más seguro?

Proveedor: ¡ABSOLUTAMENTE!

Oscurito: Entonces, ¿qué es esto? ¿es esta su máquina? (se veia una consola ssh con un ifconfig y un ls mostrando la ip y los documentos del proveedor.

Proveedor: ………………………………………………………………………………………

MORALEJA:
1. La seguridad de un sistema es directamente proporcional a la capacidad de su administrador. Un administrador regular tendra un sistema con poca seguridad.

LA MORALEJA OBVIA:

1. Un sistema desactualizado es inseguro.

February 26, 2009 · Filed under Humor

4 Comments »

  1. Neullmann Said,

    March 4, 2009 @ 10:28 am

    Con respecto a las moralejas yo diría que en la primera, le quitaría el “directamente”, por que algunas veces no solo depende de la capacidad del administrador sino también de algunos factores externos.

    Y en la moraleja obvia totalmente de acuerdo, solo que eso no implica que si el sistema está totalmente actualizado sea totalmente seguro. Es decir, muchas veces tener todo actualizado no es garantía de estar seguros, muchas actualizaciones recientes vienen con fallos de seguridad que luego son corregidos.

  2. Rafael Bucio Said,

    March 4, 2009 @ 1:16 pm

    :-) de acuerdo contigo

  3. cesar Said,

    March 20, 2009 @ 4:33 pm

    1 moraleja: si esdirectamente proporcional porque al tener conocimientos concretos el administrador ocupara los recursos externos que le hacen falta al cabo lo mas importante de una empresa es su informacion y es donde invierte mas. la segunda moreleja ni hablar

  4. lopz Said,

    May 8, 2009 @ 12:16 pm

    hola

    La diferencia está en que en linux si se encuentra un error grave tardan horas en repararlo y sacar un parche para el que quiera, otra cosa es que esté el software actualizado en sus repositorios dependiendo que distro usen tardará más o menos, por último si eres de esos manitas lo haces tu mismo, de paso colaboras con el SL, en windows no sabrías ni por donde viene el fallo, etc, ni que decir de las actualizaciones creo que sacan un parche con bugs nuevos
    Yo uso linux por que me gusta y me siento cómodo en el.

    Saludos!

Leave a Comment