Freigeben über


Microsoft y la Seguridad ¿Buenos amigos? (y 2)

Segunda parte de un post que hace algún tiempo puse a este respecto y que titulé: Microsoft y la Seguridad ¿Buenos amigos?

Sin grandes alharacas, sin grandes anuncios, sin grandes campañas…

Desde que Microsoft puso la seguridad como pilar allá por el 2002 con la “disruptiva” iniciativa llamada TrustWorthy Computing, se comenzó una andadura que 7 años después es muy reconocida por el sector profesional.

 

Es especialmente destacable el Secure Development Lifecycle que afecta a todo producto de Microsoft, y como fruto de ello, por primea vez en la historia, SDTimes posiciona a Microsoft como uno de los grandes en Seguridad, en una lista corta junto a Coverity, Fortify, Klocwork, Progress, Safenet, Selenium, Veracode.

 

Con esta frase se introduce el galardón a los premiados:

 

Security vulnerabilities can be introduced at any stage of the application life cycle, perhaps because of simple coding errors, or because sophisticated enemies found and exploited a flaw that you never knew existed. There are many techniques for detecting security vulnerabilities, and the innovative companies recognized in this category have demonstrated that their products and services make a real difference.

 

Es decir, algo así como:

 

Las vulnerabilidades de seguridad pueden ser introducidas en cualquier fase del ciclo de vida de la aplicación, quizá a causa de errores de codificación, o por enemigos sofisticados quye explotan una vulnerabilidad desconocida. Hay muchas técnicas para detectar vulnerabilidades de Software, y las innovadoras compañías reconocidas en esta categoría han demostrado que sus productos y servicios realmente marcan la diferencia.

 

Para alguien que ha llevado la seguridad de esta casa en sus tiempos “duros” y siendo testigo del enorme esfuerzo interno que los grupos de producto desarrollan de forma seria, constante y silenciosa, leer este reconocimiento a la seguridad de Microsoft por un SDTimes, en un capítulo donde Microsoft es la única empresa galardonada no dedicada unicamente a la seguridad, es realmente muy gratificante.

Me sigue sorprendiendo mucho que en el mundo de competencia Software Libre vs Microsoft, se pretenda poner la seguridad en su haber, cuando la disciplina de desarrollo, predictibilidad, y ciclo permanente de revisión constituyen la base del desarrollo seguro. Curioso.

Comments

  • Anonymous
    January 01, 2003
    @Luis, Iván, me alegro que hayas descubierto el por qué te borraba tu comentario. El que has puesto está bastante mejor ¿no crees? En cualquier caso, me da la sensación (a lo mejor me equivoco) de que eres bastante joven (eso de "por fin habla" delata la impaciencia del que parece tiene el tiempo suficiente para "guerrear" en un blog a las 21:30, a la espera de respuesta inmediata). Te recomiendo que te alejes de los extremismos de cualquier signo, porque entre otras cosas solo te impiden reconocer nada positivo en tu adversario, y la falta de conocimiento solo va en tu contra. No en la mia. Lo que he puesto en este blog, son verdades que tu mismo podrías contrastar tan pronto seas lo suficientemente libre como para indagar por ti mismo, te alejes de tópico facil de MS inseguro y tengas tu propio juicio. Ya aunque te lo creas, aun no lo eres. En el sector de la SEGURIDAD (con mayusculas), lo que he puesto aquí es una verdad reconocida, pero te invito a que saques tus propias conclusiones. Indaga por ejemplo en secunia.com. Compara vulnerabiliades de MS SQL Server con ORACLE por ejemplo, o de Apache con IIS etc.. Quizá descubras algo muy diferente a lo que esperas. Y aunque no lo hagas, te sugiero que en cualquiera de los casos, te relajes. Esto es solo tecnología aunque algunos pretandan crear una religión. Saludos

  • Anonymous
    January 01, 2003
    @Alguien, yo no pongo un blog para restringir los comentarios de los que no opinan como yo. Para eso me ahorro el esfuerzo. Me gusta debatir. Pero tampoco pongo un blog para tragarme insultos de nadie. No hay mas condiciones. No creo que sea una norma muy estricta, verdad?

  • Anonymous
    January 01, 2003
    @Luis Iván, "No te hagas el Detective" :-) Me encanta tú comentario. Creeme que no he indagado sobre tí. Lo que escribes te delata. Pero anécdotas aparte, seguro que tienes un talentazo y que ojalá encuentres el camino para desarrollarlo. Y como ya se que tienes 13 años, me permito darte un consejo: "No abandones nunca el espíritu crítico que tienes, y libérate de todo prejuicio de cualquier color. No hacen mas que empobrecer al que los tiene."

  • Anonymous
    January 01, 2003
    @CXO, gracias por tu comentarios. Coincido en parte con tu visión. Aunque piensa sin embargo lo que ocurriría si los "investigadores de vulnerabilidades" de todo tipo (particulares, empresas de seguridad, etc ..) trasladaran idéntica "presión investigadora" que tienen sobre Microsoft,  a otro tipo de software menos usado como Linux, MAC etc .. Es decir, con un simil Físico, supongamos que esa presión hacia Microsoft es actualmente 100, y que hacia otros entornos es 15. Aun así, en esas condiciones, Microsoft tiene en este momento menos vulnerabilidades que muuuchos sometidos sin embargo a presión 15. Como un día les aumente la presión, y les pase de 15 a por ejemplo ... ¿50?, muchos se iban a descolgar de la carrera. Pero si se igualasen a los 100 que recibe Microsoft, muy pocos serian capaces de resitirlo (sin cambios profundos en su concepción de desarrollo de software) ¿Que significa esto? Pues que un sistema Microsoft bien configurado y parcheado está en un nivel de seguridad capaz de soportar como mínimo ese 100 de presión que nos hemos inventado y que sabemos es el máximo que cualquiera soporta. No es nada facil tener es nivel en ningún otro entorno (es un ejercicio puramente teórico. Ya sabemos que son muchos mas los factores que influyen en la seguridad de un entorno como configuración, operación etc ..) La "seguridad por desconocimiento" es un riesgo dificil de asumir. Esos ORACLES, Solais y Apaches que tienes sin parchear, lo harás en la esperanza de que no sean atacados. Por que si se convirtieran en objetivo por cualquier motivo, caerian en segundos. En mi opinión es una política de un riesgo extremo. Por supuesto que pueden haber vulnerabilidades no conocidas etc.. Pero como eso es aplicacble a cualquier fabricante, no lo he mecionado en este ejemplo comparativo. Otro simil respecto a esto que me resulta facil imaginar es: "Hay mas accidentes de coches que de carretillas. Conclusión: las carretillas son más seguras". Suena absurdo, lo se. Pero es muy parecido a algunos argumentos que se escuchan relacionados con las vulnerabiliades de seguridad.

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    Mensaje para Luis Ivan, al que le he borrado el comentario 6 veces. A ver si soy capaz de explicarme clarito y tú entenderme. 1.- Este es MI blog, y borro los comentarios que me da la real gana. Así de clarito. 2.- Este blog admito TODO. La discrepancia es mas que bienvenida (solo tienes que ver los comentarios tan "amigables" que sin embargo no he borrado). Lo único que no permito es la falta de respeto, y considero que, bajo MI criterio, tu comentario no cumple MIS criterios. 3.- Así que si no tienes nada mas interesante que aportar a este blog, mas que repetir por enésima vez un comentario que sabes te voy a borrar, te invito a que busques por ahí otros sitios mas mejores en la blogosfera que seguro los encuentras y les encantan tus comentarios

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    June 25, 2009
    ¿seguridad como la de Explorer 8?, ¿como la de los powerpoints que permiten ejecución de código? ¿como las inyecciones de sql a través de los métodos get del isa server duplicando variables? Me parece vergonzoso decir que Microsoft apuesta por la seguridad cuando continuamente se demuestra que no es así.

  • Anonymous
    June 25, 2009
    The comment has been removed

  • Anonymous
    June 25, 2009
    The comment has been removed

  • Anonymous
    June 25, 2009
    Sr Montenegro, le recomiendo que no escriba cosas como estas, no le hace bien a tu blog ni al tiempo de los que hacen comentarios. En vez de escribir cosas como estas podrias usar tus conocimientos para que realmente sea seguro  no hacer una publicidad falsa, por que la pura verdad es que nada tiene de seguro, es puro bla bla. Saudos!

  • Anonymous
    June 25, 2009
    Veo que restringiste los comentarios, lo podrias haber echo antes y te ahorrabas todo esto. Saludos!

  • Anonymous
    June 25, 2009
    The comment has been removed

  • Anonymous
    June 25, 2009
    Hector, la verdad es que ya sabes que este es un tema polémico por naturaleza (y generalmente los argumentos "históricos" que se esgrimen tienen ya poco peso, además de ser totalmente infundados hoy en día). Es cierto que Microsoft se está esforzando hace años en Seguridad y ahora la situación es muy diferente a la de antes (por ejemplo, está a años luz en Seguridad que Oracle, que ya se puede poner las pilas, o gestiona mejor las vulnerabilidades que la eterna secreta Apple (MS aprendió a base de palos, pero tiene la lección bien aprendida!) ), pero por supuesto, al ser Microsoft tan grande es muy difícil controlar la Seguridad (sea un ejemplo la reciente vulnerabilidad de IIS http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx donde parecía que aparecían los fantasmas del pasado) o las vulnerabilidades que van apareciendo en el código de Office debido muchas veces a legacy code. Yo creo que hay que felicitar a Microsoft por sus esfuerzos, pero aún todavía queda por mejorar :) Independientemente del tema, te felicito por la forma de gestionar los comentarios, realmente tiene mérito y da gusto ver cosas así. Un abrazo

  • Anonymous
    June 25, 2009
    Haa!! Apache no es lo mismo desde que Microsoft es su sponsor.

  • Anonymous
    June 26, 2009
    Intervenciones como las de Iván son precisamente las que desprestigian a los detractores de Microsoft. Toda empresa grande hoy en día los tiene, esa gente que se las quiere pasar de listo con comentarios incendiarios diciendo la "verdad definitiva" de todos los temas cuando no han vivido lo suficiente para siquiera acercarse a la verdad... Por mi parte, tengo suficiente tiempo en la informática para saber que Windows desde que tengo memoria ha sufrido en temas de seguridad y ha expuesto a sus usuarios a muchas pérdidas de información y dolores de cabeza. Pero también es cierto que de un tiempo a esta parte, especialmente desde Windows XP las cosas han mejorado bastante, es un difícil camino cuesta arriba (si me permiten hacer la figura) pero se han dado maña para ascender poco a poco en este tema. Hace años que yo no tengo problemas de seguridad, no virus, no infiltraciones ni nada. Por cierto, participo de un foro de gente que trabaja en temas de seguridad para Windows: www.forospyware.com, allí hacemos algo que los críticos de Windows no hacen: ayudar a la gente, considero eso mejor que andar derramando bilis por todo el ancho de esta internet libre... Lo de la internet libre es algo que muchos malinterpretan, la internet es libre, pero no es un páramo sin reglas, tenemos todo el derecho de expresar nuestras ideas pero no nuestras miserias y complejos, tenemos el derecho de discutir y disentir con argumentos pero no con insultos y repitiendo como loros lo que otros resentidos ya han dicho una y otra vez.

  • Anonymous
    June 26, 2009
    Me uno a las felicitaciones de @David por tus respuestas a comentarios agresivos. Soy responsable de sistemas de una mediana empresa, tengo de todo, y tengo mucha confianza en la seguridad de Microsoft desde hace unos 3 años. El problema es que aun siendo productos probablemente mejor construidos que los equivalentes en Softwa Libre, su mayor número les hace ser un objetivo más atractivo para atacantes. Tengo Solaris, Oracles y Apaches sin parchear desde hace tiempo, pero Microsoft lo parcheo al momento. Y la verdad es que no hemos sufrido mayores problemas.

  • Anonymous
    June 26, 2009
    ¿Aquí no hay nadie que haya estudiado un poco sistemas operativos? Un resumen breve: http://es.wikipedia.org/wiki/Sistema_operativo No hay menos virus para Mac OS X o GNU/Linux por ser minoría, sino porque son sistemas muy seguros y los crackers no saben por dónde colarlos. Si te entra un virus en GNU/Linux (tienes más posibilidades de ganar la lotería nacional de que ocurra) sólo puede afectar a tu carpeta de usuario, no al sistema. Si entra en Windows, el virus puede ir donde quiera. El mito de "no tienen virus porque no son muy usados" no tiene fundamentos. Aunque Windows no lo tiene todo perdido, véase ReactOS: http://www.reactos.org/es/index.html Es un sistema operativo basado en la aplicación para Linux Wine que pretende ser compatible con Windows quitando sus desventajas. Y lo están consiguiendo, con mucho esfuerzo y tiempo. Y para rematar, es libre, es por y para todos.

  • Anonymous
    June 26, 2009
    No me he enterado de nada, mejor ponlo en formato "Get the Facts" con ticks verdes y eso :)

  • Anonymous
    June 26, 2009
    The comment has been removed

  • Anonymous
    June 28, 2009
    The comment has been removed

  • Anonymous
    June 28, 2009
    FilEMASTER, realmente no sabes mucho de seguridad ni de sistemas. Dejando a un lado tus "imprecisiones" sobre los comandos en la consola, y no soy un experto, o el poco conocimiento de cómo funciona gnu/linux, ningún sistema operativo puede hacer nada si el usuario decide fastidiarse a sí mismo. Ni gnu/linux, ni mac, ni windows. Aún así windows es el que más fácil se lo pone a un atacante, y no se trata de cuota de mercado. De todas formas lo realmente triste es que necesites apoyarte en sarcasmos dirigidos a un chaval de 13 años para desviar la atención. Deberías tomar nota de cómo ha llevado el tema Hector, con el que por otra parte estoy en completo desacuerdo, y no sólo yo, también su querida Secunia. Un par de ejemplos de vulnerabilidades (echad un vistazo a las que no están resueltas) en Vista y, para ponerlo fácil, Debian 4.0: http://secunia.com/advisories/product/13223/?task=statistics http://secunia.com/advisories/product/13844/?task=statistics

  • Anonymous
    June 29, 2009
    hola pasaba por aqui... imprecisiones sobre los comandos de consola? quien ha hablado de consolas? poco conocimiento de como funciona linux? en fin... que por suerte haga mucho que no lo use no signfica que no sepa como funciona :P Por otro lado el blog no es mío, yo no quiero ser como hector, a mi me mola mas pinchar a los insurrectos y esperar a ver como se desesperan, por cierto ¿porque tenemos que fijarnos en las que no están resueltas cuando mola mucho mas ver la proporcion de vulnerabilidades descubiertas? y eso que como dice hector, no hay una presion de 100 en linux... curioso dato...

  • Anonymous
    June 29, 2009
    The comment has been removed

  • Anonymous
    June 29, 2009
    FilEMASTER, no lo digo yo, es la realidad, tengo 13 años pero se leer: http://es.wikipedia.org/wiki/Sistema_operativo También hiciste alusión a la cuota de mercado de GNU/Linux, que te informo en estos momentos supera el 4%: http://www.w3schools.com/browsers/browsers_os.asp Como has hecho uso de las estadísticas a tu favor, lo haré yo al mío: 1-Mozilla Firefox supera con creces a IExplorer: http://www.w3schools.com/browsers/browsers_stats.asp 2-Apache supera a IIS en el mercado de servidores: http://news.netcraft.com/archives/2009/06/overallc.png 3-Linux (387) supera a Window$ (5) en el mercado de supercomputadoras: http://www.top500.org/stats/list/33/os No sigo, no quiero hacer llorar a nadie. Y esto es la parte floja, si nos ponemos ha hablar de características técnicas... Por cierto, que se use más no quiere decir que sea mejor, eso hay que tenerlo bien claro.

  • Anonymous
    June 29, 2009
    The comment has been removed

  • Anonymous
    July 02, 2009
    The comment has been removed

  • Anonymous
    July 02, 2009
    The comment has been removed

  • Anonymous
    July 02, 2009
    Me olvidé el link: http://www.luisivan.nom.es/foro/memberlist.php?mode=leaders Saludos!

  • Anonymous
    July 04, 2009
    The comment has been removed

  • Anonymous
    July 04, 2009
    @"Dejad al chaval" tiene razón. ¿A ver, quien no ha hecho con 13 años una distro de Linux? Es lo típico de los recreos de 2° de la ESO.

  • Anonymous
    July 04, 2009
    Hector sin animo de discrepar mucho y tal... "que mas allá de estar de acuerdo o en desacuerdo con lo que diga, o ver la lógica falta de experiencia, prefieren indagar, aprender tecnologia y discutir con su criterio" De verdad crees que el criterio de este muchacho es suyo??? a mi se me asemeja mucho a la "doctrina" impuesta por un tio con barbas, que va dando conferencias de aqui para alla...

  • Anonymous
    July 04, 2009
    The comment has been removed

  • Anonymous
    July 05, 2009
    The comment has been removed

  • Anonymous
    July 05, 2009
    The comment has been removed

  • Anonymous
    July 05, 2009
    The comment has been removed

  • Anonymous
    July 06, 2009
    Vaya, con 13 años todavía tiene muchas puertas con las cuales golpearse... eso es lo bonito de la internet, la ilusión que con leerse la wikipedia y unos cuantos sitios más ya puedes "enseñar" a los otros "la verdad" para que lo "tengan claro". :P

  • Anonymous
    July 10, 2009
    @Camelot, muy cierto, con 13 años tienes muchas puertas con las que golpearte, la mayor de ellas la gente que valora mis comentarios por mi edad y no por su contenido.

  • Anonymous
    July 10, 2009
    @Camelot, muy cierto, con 13 años tienes muchas puertas con las que golpearte, la mayor de ellas la gente que valora mis comentarios por mi edad y no por su contenido.

  • Anonymous
    July 11, 2009
    luis ivan creeme, te conviene que los valoren por tu edad...

  • Anonymous
    July 13, 2009
    The comment has been removed

  • Anonymous
    July 14, 2009
    Efectivamente, eso te pasa por operar con datos reales con un sistema operativo en fase de desarrollo. Pero la culpa es de Windows por supuesto...

  • Anonymous
    July 15, 2009
    Eh ya, no creas que no me he dado cuenta yo solito de eso ejem, ¿Qué tal si tratas de hacer un comentario un poquitín más productivo o si no abstenerte, eh? creo que podrias ser una persona mejor si lo piensas un poquito chavalín, corre vete a dormir.

  • Anonymous
    November 30, 2009
    The comment has been removed

  • Anonymous
    May 15, 2010
    Como fué? pasar de hacer virus a vender los antivirus.