07 julio 2010

La verdadera 'inseguridad' de Windows

Si, es uno de los axiomas mas persistentes que se puede encontrar en el mundo de la seguridad: Windows es inseguro

Todos lo hemos escuchado en infinidad de ocasiones, lo hemos repetido, debatido y exclamado.

Y bueno, lo cierto es que durante un tiempo ese axioma era mas que merecido, pero desde hace ya bastante tiempo Microsoft se ha puesto las pilas, tal vez 'eso' no haya calado ni calará lo suficiente como para destruir el tan manido tópico de la inseguridad de Windows. Y buena parte de que eso no cale la tiene el desorbitado número de aplicaciones que se ejecutan en Windows de las que continuamente se reportan vulnerabilidades y que generan los consabidos exploits, que a su vez son empleados para colar malware (Hola Adobe !!).

¿Culpa de Microsoft? El debate puede durar horas, días o semanas así que, obviando lo subjetivo y dejando lo objetivo, la pregunta correcta es ¿Los fabricantes de software se molestan en emplear todas las tecnologías en materias de seguridad que pone Microsoft? A tenor de éste estudio realizado por Secunia en el que se analiza el uso de ASLR y DEP en aplicaciones 'típicas', la respuesta es: No mucho.

Como se puede ver en la gráfica


Salvo honrosas excepciones como Google Chrome, muy poco del software analizado cumple al 100 % con las posibilidades de seguridad que ofrece Windows.

El estudio completo en PDF aquí

3 comments :

Javier dijo...

Jum igual seria parte de ese interminable debate pero (y parafraseando el titulo del blog) si dejas la seguridad como algo opcional eres en parte responsable de que no se use.
¿Por que todas esas tecnologias son "herramientas" externas o modulos opcionales al nucleo del SO?
Y eso reconociendo el esfuerzo que esta haciendo microsoft en el tema de la seguridad

Yago Jesus dijo...

@Javier, en parte tienes mucha razón, aun así el hecho de que esas tecnologías no vengan 'de serie' (AFAIK) es porque los programas deben 'prepararse', no es algo que se active y punto. Supongo que en el caso de proyectos opensource / voluntarios es muy disculpable, pero en productos comerciales, no

Mr. P dijo...

¿Culpa de Microsoft?

Rotudamente si, por un simple problema de marketing, si tienes fama de ser inseguro y la gente sigue viendo que mucho de lo que funciona sobre tu SO es inseguro, por simple fuerza de la costumbre asumirán que es tu culpa.

Deberían de crear repositorios tipo Linux o tienda tipo Apple con el Soft que ellos hallan comprobado como seguro.

De todas formas, es un mecanismo natural del ser humano el usar prejuicios, tener que analizar minuciosamente cada programa que se utiliza para poder dar una opinion objetiva, o e tener que leer todosesos análisis es algo inhumano, es más facil andar con prejuicios