Operating System Vulnerability Scorecard y las conclusiones apresuradas

Desde hace unos meses Jeff Jones, el Director de Estrategia en la Microsoft Security Technology Unit, viene publicando un reporte de vulnerabilidades en su blog en Microsoft TechNet. He leído sus reportes y en general presentan a Windows como la plataforma más segura, etc... lo cual no me parece mal, al fin y al cabo todo es marketing y es válido.

No voy a desacreditar los informes que este señor publica, por lo menos no yo pues no soy ningún especialista en el tema. El problema que yo encuentro aquí radica que cualquier desprevenido puede leerlos, sacar conclusiones erradas, y salir muy contento a pregonear que el Windows que tienen en casa es más seguro que todos esos linux que escuchan en la calle. Ya he visto algunos posts en blogs en castellano del estilo "al final teníamos razón", "lo de la seguridad de linux era mentira", bla, bla...

En realidad, voy a hacerles notar algunos recaudos que deben tener en cuenta antes de leer informes de este estilo, para no sacar conclusiones apresuradas y volver a caer siempre en el mismo engaño. Para ello me hago eco de un artículo de opinión de Davey Winder publicado en DaniWeb con el que coincido bastante. Transcribo aquí parte del artículo original (énfasis agregado por mi):

"... La suposición [que los lectores pueden desprender de los informes] está basada en datos de investigación concernientes a vulnerabilidades que requieren un parche, o para ser absolutamente claro luego de revisar la declaración de metodología cómodamente publicada por Jeff en un sitio diferente, que han sido arregladas por el proveedor.

"Y cito: «Las vulnerabilidades incluidas en el análisis solo incluyen aquellas para las cuales el proveedor ha confirmado aplicabilidad, típicamente vía una advertencia de seguridad o un parche. El análisis no incluye las vulnerabilidades reveladas públicamente durante el período que aún no han sido arregladas por el proveedor». Entonces, para ser breve, [el informe incluye] las vulnerabilidades que han sido arregladas por el proveedor, pero no los 0-day exploits ni las vulnerabilidades conocidas pero no oficialmente confirmadas vía advertencia, no importa hace cuanto se conozcan: sólo figuran las que el proveedor ha arreglado."

En el artículo de DaniWeb hacen referencia a Secunia, un sitio que muchos conocemos desde hace bastante, pero que siempre es bueno volver a visitar. Cito: "Secunia publica informes independientes de vulnerabilidades listadas tanto por proveedor como por producto, y mantiene archivos históricos de ello, lo que lo hace una lectura interesante y brinda una perspectiva diferente al cuadro de seguridad [que vimos]."

De allí están tomadas los datos del artículo de opinión, y de ahí surgen los datos que publico a continuación (cabe aclarar que la información es del día 22/08/2007 y puede haber variado a la fecha).

Al día de hoy, Secunia informa que Windows XP Pro, presenta 188 advertencias, de las cuales 29 aún no han sido arregladas -un 15% del total- . En el caso de Windows Server 2003 Standard Edition, 8 vulnerabilidades de 135 aún no tienen parche -un 8% del total-.

Para comparar Red Hat Enterprise Linux 4 presenta en Secunia 314 vulnerabilidades todas ellas arregladas. Debian 4.0 Etch por su parte, presenta 68 advertencias, también todas arregladas.

Vuelvo al artículo de opinión:

"... Esto me sugeriría [dice Davey] que Red Hat es realmente más seguro que Windows, si queremos seguir el consejo de no simplificar la seguridad al punto de la inutilidad, pues la capacidad y voluntad de un proveedor para arreglar rápidamente las fallas encontradas debe tomarse en cuenta en cualquier observación seria al argumento de seguridad. Efectivamente, los tiempos de respuesta del proveedor son la clave cuando todos acuerdan que es prácticamente imposible escribir código 100% seguro. La métrica real de seguridad es cuán rápido llegan los parches al usuario: ignorar las vulnerabilidades que aún no han sido arregladas reduce el informe original a no ser más que FUD.

"... si uno se toma el tiempo de leer entre líneas y hurgar un poco más profundamente en lo que se está informando, puede descubrir que lo que realmente dice [el informe] es que los proveedores de Linux son más eficientes que Microsoft en lo que respecta a anunciar fallas y arreglarlas. "

En concordancia al artículo, es innegable que todos los sistemas operativos tienen fallos (hasta OpenBSD tuvo los suyos), pero creo que no sólo importa cuántos tengan, sino también qué gravedad tienen y cuanto tarda el proveedor en arreglarlos.

En fin, lean dos veces lo que encuentran en Internet, que hasta este post tiene sus errores.