El 2009-05-05 a las 14:26 +0200, Karl García Gestido escribió:
Concho, que largo queda XD
¿A que sí? :-)
O Martes 05 Maio 2009 13:01:13 Camaleón escribiu:
"Mejor que nada" no existe en seguridad :-).
O sirve (cumple con su cometido) o no sirve. O está activado o no lo está.
No es así. Un cortafuegos "laxo" es mejor que ninguno. No confundas las cosas.
No confundo nada. Un cortafuegos laxo es un cortafuegos "mermado", a medias. Te aporta una falsa seguridad, que es aún peor que no tener nada y saber que no lo tienes.
Ya, pero te sigo diciendo: depende del usuario. A mi me gustaría que el sistema fuera más exigente... me refiero a todos los sistemas >:-)
Pero no es lo mismo un sistema que "ofrece" que uses claves probadas que otro que ni siquiera pregunta si la quieres y asume que no. No es comparable.
¿Mande? Las instalaciones que he hecho del XP "desde cero" siempre te piden una clave de acceso para el usuario del sistema que se crea, que tiene privilegios de administrador. Las versiones de windows OEM (las que vienen preinstaladas por los fabricantes de los equipos) no preguntan la clave. Tendrás que preguntar el porqué de esa estrategia a los fabricantes >:-)
Pues eso. Un problema de actitud es "sí o sí" un problema del usuario
Estás comparando sistemas donde el usuario puede "quitar" servicios de seguridad con un sistema al que en todo caso se los tienes que "poner".
Oye, oye... de eso nada. Hay muchos servicios en linux que un usuario puede no querer tener activados (ssh, servidor de correo local, avahi...) y que se activan de manera predeterminada. Obviamente, en windows pasa igual.
:-). Si es que te gusta sacar de donde no hay, Karl...
Generalmente, mucha gente que "sabe" se dedica a culpar a los usuarios de los fallos de las herramientas empleadas. Igual que "el hardware es lo que recibe los golpes por los fallos del software", "el usuario es el que lleva las culpas de las limitaciones del software".
¿Acaso no es culpa del usuario tener el sistema sin actualizar con los últimos parches disponibles? ¡Pero si hasta el gestor de actualizaciones del windows funciona de manera bastante decente! No hay excusa. Eso es dejadez y temeridad por parte del usuario.
No. Su sistema de gestión de recursos, de privilegios, todo en el sistema está muy poco pensado. Aunque en sistemas como GNU/Linux pueda haber problemas o errores, en Windows prácticamente cualquier aplicación tiene acceso transparente al núcleo, normalmente sin que el usuario tenga intervención, ni siquiera conocimiento de lo que sucede. La filosofía del sistema es muy distinta, y a la larga muy problemática.
Para nada, es realmente compleja.
¿?
Sí, me refiero a la gestión de recursos, privilegios, usuarios y políticas de control de acceso, ACL... en windows.
Ah, y en Linux también :-)
Salvo algún error, no.
Me refiero a la gestión de los recursos y al control de acceso. Que en ambos sistemas es complejo.
Pues eso te digo, que es el usuario el que hace su sistema tan seguro como quiera que sea. Y que las "malas costumbres" llegan a todos los sitios: windows, linux...
De nuevo, no es lo mismo que un usuario acepte que puedan hacerse con su sistema con que el sistema "por defecto" tome eso como su entorno natural XD
El sistema por defecto no existe (creo que esto ya lo he dicho en otro hilo donde hablamos del mismo tema). Para empezar, el sistema por defecto sale a la luz en un año X y el usuario lo instala x+2 años después. El sistema por defecto del que hablas obviamente podrá estar comprometido por algún fallo de seguridad que haya sido corregido con posterioridad (eh, esto también pasa en linux) así que el sistema por defecto seguramente será "defectuoso" y "vulnerable" (eh, esto también pasa en linux). El usuario sabe (o debe saber) que lo primero que tiene que hacer es actualizar el sistema o se arriesga a tener problemas :-P Que en linux "no pase nada" porque tener un sistema sin actualizar es sólo porque no hay exploits pululando que se aprovechen de los fallos, pero no porque sea "más seguro".
Pues eso te estoy diciendo. Que ese "relax" también llega en sistemas linux y te pueden dar un disgusto.
De nuevo, no es lo mismo. En "Unix-like" tienes que quitar servicios de seguridad; en Windows es lo normal. Hay mucha diferencia.
No tienes que quitar nada, tienes que configurarlos >:-) En windows... también tienes que configurar el cortafuegos, porque te bloquea hasta al mismímisimo rey MSWord.
Eso no tiene ningún sentido porque el responsable del sistema del usuario es el propio usuario :-). Aquí no hay administardores que le pongan límites, las políticas de seguridad se las cocina él mismo y se las come él mismo.
También hay gente que usa Windows en redes domésticas y de oficina, aunque algunos no entendamos por qué XD
Bueno, yo te podría dar muchas razones, igual que te las di para usar AutoCAD... ¿recuerdas? X-)
Por tanto, es el usuario el que debe ser responsable de su equipo y de sus actos.
Es el sistema el que debe de proporcionar mecanismos para realizar una gestión eficiente con unos recursos aceptables (es decir, sin cursar titulaciones específicas durante 10 años). El modelo de gestión de GNU/Linux no es el mejor, pero es bueno; y desde luego, si lo comparas con Windows, es tecnología punta XD
Y windows tiene esos sistemas para que los uses. Si sabes para qué y cómo usarlos, claro.
Atacar ¿qué versión concreta de Outlook no es meritorio? >:-)
No sé si Outlook corre con wine, pero por de pronto es una aplicación de Windows xD
Y es una aplicación muy maja. No te metas con el Outlook :-P
Anda que no hay programas vulnerables en Linux que si no están actualizados te dejan en la misma situación que su contraparte windowsera :-P
Una cosa es un error de programación, código malo o incorrecto... y otra que el diseño de una aplicación favorezca su explotación por indeseables.
Es prácticamente lo mismo. Un error de programación te puede llevar al traste todo el diseño lógico base de seguridad en cualquier sistema, porque la aplicación, bibliotecas o el núcleo del sistema deja de responder como se esperaba.
Eso no es cierto. Los sistemas no "promueven" nada. Que suse me sugiera un particionamiento X no significa que yo lo vaya a hacer. O que me sugiera el uso de sudo o compartir contraseña entre usuario y root.
Pero lo más importante es la gestión de espacios y el uso de privilegios. Esto no es común en Windows.
Jupe. En windows 3.11/95/98 no te digo que no. Pero en los NT... tienes usuarios creados de serie que sólo tienen permiso para hacer copias de seguridad :-)
Vamos a ver. Si tú pones código que borre un directorio como /usr/bin en un archivo y le das a un usuario ese archivo, aunque este usuario le otorgue permiso de ejecución a ese archivo, y lo ejecute, conscientemente... no podrá borrar ese archivo, porque el sistema no le otorgará privilegios suficientes. Necesitarás escalar a root. En Windows esto no es así. Como la mayoría de aplicaciones acceden de forma transparente al núcleo, no hay política de permisos que valga. Por supuesto, no puedes ejecutar "rm /usr/bin" ni hacerlo con el explorador de archivos... pero sí puedes hacer código ejecutable que acceda al contenido del disco y una vez en él borre el contenido de la entrada correspondiente a /usr/bin o directamente borre la entrada de /usr/bin en la tabla de ficheros. Esto está más allá de lo que muchos podemos hacer, pero es posible y relativamente sencillo. Y no, no puede hacerse en GNU/Linux, donde si no tienes privilegios de sistema no puedes acceder al contenido del disco. En realidad, sospecho que para un administrador es más fácil eliminar un archivo con un comando de sistema tal como rm que intentando acceder al contenido del disco, aunque todo esto excede con mucho lo que yo sé y sólo es IMHO.
No, de eso nada. Eso sería un exploit de escalada de privilegios, en windows o en linux. Y eso sería un bug, tanto en windows como en linux. Y ambos kernels de linux tienen unos cuantos bugs de estos :-/
Y la usará... sí, pero mal. Por eso te digo, que el hábito no hace al monje. Que tener un clavo no te convierte en carpintero.
Pero estamos hablando de vendedores de martillos!!! Si tengo un clavo, necesito clavarlo, y tú vendes martillos, no me vendas una sierra.
Espera, que me pierdo... hábito -> monje -> clavos -> carpintero -> vendedores de martillos Qué bonita relación de términos. Bien, sigamos. Ah, por cierto, yo no vendo nada. Los martillos los podrás encontrar, entre otras tiendas, en Leroy Merlin :-)
No hay "nomal" en Linux. Hay un sistema "bien administrado" por el usuario o un sistema "mal administrado".
En Windows hay "sistemas administrados" y "sistemas no administrados", y estos últimos son la inmensa mayoría. Cambia mucho.
Hombre, mira, en eso te doy la razón.
Claro, porque no las hay en este momento. Y no las hay proque no interesa llegar al 1% de los usuarios cuando se puede llegar a l 85%. Cuestión de estadística.
Lo cual no quiere decir ni que sea posible, ni difícil hacerlo.
Tienes que ver los conocimientos promedio y las motivaciones promedio para atacar un sistema. Me huelo que la gente que rompe Linux con facilidad no tiene mucho interés en los spams XD
Los virus más dañinos para windows no son los que intentan utilizar el equipo como zombie. Esos se pueden eliminar con relativa facilidad.
Todo sistema es muy vulnerable, ni siquiera el mejor administrado está a salvo. Como dicen por ahí, el único sistema seguro es el que está aislado en una caja fuerte... y aún así ...
Ná. Mira, a mí no me preocupan los malware en los windows. Me preocupa el usuario que está delante de un equipo con windows. Si le meto un anti-virus es única y exclusivamente por y para el usaurio. Un equipo sin nadie que lo "teclee" delante es un equipo feliz y contento que de poco se tiene que preocupar >:-)
Otra cosa es la diferencia en el diseño. Los Unix eran dieñados para permitir el uso por red de muchos usuarios y dan facilidades, muchas veces excesivas. Esta característica la heredó GNU/Linux, y sí, es cierto, es un gran problema.
Pero Windows no se diseñó para esto. No hay excusa, sólo un sistema mal diseñado que tuvo una amplia difusión y hoy es mayoritario. Pero nunca fue, ni será, un sistema operativo mínimamente decende, por definición. Su diseño es malo, por sí mismo. Lo mejor que puedes hacer es conseguir que se comporte de forma similar a un sistema Unix. El esfuerzo para conseguir esto, puedes utilizarlo en tu sistema Unix para conseguir algo mucho más difícil de vulnerar. Por supuesto, todo esto excede, y con mucho, al usuario doméstico.
Lo resumo así: una cosa es que todo sistema sea susceptible de sufrir un ataque exitoso; muy distinto es que la filosofía de diseño de un sistema "facilite" el éxito de un ataque. Casi cualquier persona puede atacar un sistema Windows, y no hace falta mucho para atacar a un sistema Windows bien administrado. Puedes atacar sistemas Unix, pero necesitarás más que eso.
Todo eso lo dices porque le tienes tirria al windows. Cualquier persona NO puede atacar un sistema windows. Lo podrá hacer una, que sepa cómo hacerlo, y después poniendo su programita por la web para que el resto, como autómatas, lo utilicen. Sin saber ni cómo ni por qué.
Repito: la inmensa mayoría de los ataques vienen por las trivialidades del sistema que, insisto, no pueden darse en sistemas Unix. Esto no quita que no haya más vulnerabilidades, sólo que no es tan fácil como pintan las películas y las empresas de "seguridad".
No son las trivialidades del sistema, es el usuario que no es capaz de actualizar su equipo. Ese usuario irresponsable es víctima y verdugo a la vez: lo utilizan como pasarela de ataques... para atacar.
Todo lo heterogéneos que quieras, pero vulnerables igualmente. Sólo hay que saber dónde pinchar.
Pero el mismo exploited no te servirá para atacar a otros sistemas. Tendrías que usar un virus que difundiese uno u otro exploited según el sistema, y eso es muuuy complejo; que el exploited actúe de una forma u otra según el sistema, lo es más aún...
Eso dependerá el tipo de exploit. Si usa funciones comunes en todos los sistemas, pues podrá aprovecharlas.
Es que una vulneración grave en un núcleo afectaría a una fracción mínima de los usuarios de GNU/Linux, porque no es fácil que en distintas distribuciones los usuarios estén usando el mismo núcleo!!!!
Es que los núcleos de las distintas distribuciones son distintos!!! El núcleo 2.6.20.5 de openSUSE no es el mismo que el de los desarrolladores del núcleo!! XD
¿Y...? Cada núcleo tiene sus propias vulnerabilidades pero algunas son compartidas, es decir, que se dan en ambas versiones.
Oh, hay muchos tipos de crakers y hackers por ahí... mafias, programadores, analistas, expertos en seguridad. Yo creo que sí hay gente con talento haciendo lo que le gusta.
Romper sistemas difíciles. ¿openBSD, Solaris?
Sí, por qué no. Anda que no hay parches para el kernel de linux, openbsd, solaris... :-)
Hace poco vimos cómo un agujero de Intel en las placas podía dejar a ambos sistemas expuestos.
Lo malo no es la exposición. Es el tiempo necesario para aprovecharla de forma que proporcione algún beneficio.
Tampoco se había publicado ninguna vulnerabilidad para entornos windows. No será sencillo :-P
Los problemas de seguridad serios suelen afectar a todos los sistemas
No. En tu ejemplo de la placa, primero tienes que tener la placa. Segundo, poder aprovechar esa vulnerabilidad; tercero, en lo que consiste una vulnerabilidad dada.
¿Cómo que no? Tengo la placa, tengo un windows y un linux y tengo el código para ambos. Hala, ahí lo tienes.
Difícil no creo. Poco práctico, sí. La masa de usuarios es poca y por tanto el beneficio y el alcance (difusión), también.
Tiempo es dinero. Aunque hubiese muchos usuarios Linux, explotarlos llevaría significativamente mucho más tiempo que a los de Windows.
No creo. Sólo hace falta una buena recompensa (que se les pague bien) y ya tienes programadores intentando romper cositas (para windows, para linux, para unix...) :-)
Lo que me gustaría ver es un malware polimórfico, que sea capaz de adaptarse y que salte de un sistema u otro :-}
Eso, a día de hoy, no es posible. Muchos sistemas ni siquiera sus desarrolladores saben completamente cómo funcionan!!!
Ostras que no :-)
Antes tendríamos que desarrollar sistemas realmente multiplataforma. Sería el primer paso: si puedes desarrollar software que se ejecute en cualquier plataforma, podrías desarrollar malware que hiciese lo propio.
Karl te presento a Java, VM. Java, saluda a Karl :-)
Eso será porque tienes una idea "preconcebida" de los usuarios. Yo no catalogo a un usuario por el sistema que usa sino por cómo lo usa >:-)
El "cómo lo usa" suele determinar la elección de sistema. Es un hecho.
Eso es otra idea preconcebida :-) "Cuídate de la persona de un sólo libro."
Un debianita con un sistema sin actualizar y un apache casero en marcha me daría miedo.
Aún ese usuario sería muuuucho más difícil de explotar que un usuario promedio de Windows, incluso bien administrados.
Otra idea preconcebida :-P
Un usuario windowsero con cortafuegos en el router, con cortafuegos en el sistema, con actualizacioens al día, con programas de prueba instalados en un equipo sin conexión a la red... me parece un usuario más responsable.
De nada vale si permite que el sistema ejecute código en el núcleo. Administrar bien un sistema Windows no está al alcance de cualquiera
Tampoco lo está administrar bien un sistema linux >:-)
Pues yo diría que es "cómodo" pero "nada sencillo" :-)
No tiene mucho misterio: zonas de aplicación, protocolos y puertos.
No es encillo porque no está bien estructurado. Una cosa son las acciones y otra, los registros. Está todo mezclado y con pocas opciones para configurar lo que se registra.
Es una buena idea lo del appmor... pero hacer funcionar bien eso tiene que ser todo un poema!! XD
No lo he tocado nunca :-)
Sí, pero que lo modifique quien tiene que modificarlo, es decir, el administrador o root, pero no el usuario >:-)
Comportamiento por defecto en Unix.
Ese comportamiento es precisamente el que quería eliminar el usuario :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org