Internet Explorer recuperará antigua funcionalidad

En abril de 2006, Microsoft se vio obligada a modificar su software Internet Explorer debido a un litigio sobre patentes con la compañía Eolas. El resultado fue que diversos controladores que descargaban código HTML directamente en sitios de Internet mediante los tags object, embed y applets, no eran automáticamente activados, sino el usuario debía ejecutarlos manualmente.

En esta oportunidad, Microsoft anuncia que ha licenciado la controvertida tecnología de Eolas. De esa forma, la compañía puede re-instaurar su anterior funcionalidad de Internet Explorer. El cambio en cuestión no requerirá que los sitios de Internet hagan cambios en sus páginas.

La antigua funcionalidad estará disponible de tres formas distintas. En diciembre se publicará una versión de prueba de Internet Explorer Automatic Component Activation Preview, que estará disponible mediante Microsoft Download Center.

La funcionalidad también estará incluida en las próximas versiones de prueba de Windows Vista SP1 y XP SP3. La compañía anuncia que el lanzamiento definitivo de la antigua funcionalidad será realizada mediante una actualización acumulada de Internet Explorer que será distribuida mediante el servicio de actualización automática de Windows en abril de 2008

Visual Studio 2008 soportará los procesadores AMD Optaron

En el congreso de desarrolladores Microsoft TechEd, AMD demuestra su compromiso con los desarrolladores de software mediante la integración de los procesadores de núcleo cuádruple AMD Opteron y Visual Studio 2008.

AMD anunció que está realizando demostraciones de plataformas basadas en los procesadores de núcleo cuádruple AMD Opteron, incluidas prestaciones para ayudar a los desarrolladores de aplicaciones Microsoft Windows a optimizar sus programas mediante herramientas en los productos de software de Microsoft Corp. que pronto saldarán al mercado.

En las demostraciones de la tecnología que se llevan a cabo en el congreso en Barcelona (España) se puede ver la nueva integración entre Microsoft Visual Studio 2008 y los procesadores de núcleo cuádruple AMD Opteron.

La colaboración en curso con los desarrolladores de productos garantiza que las herramientas Visual Studio 2008 producirán código optimizado al compilarse para los procesadores de núcleo cuádruple AMD Opteron.

“El paquete Microsoft Visual Studio representa el componente fundamental del grupo de herramientas de desarrollo de software de Windows y es muy usado por la comunidad de desarrolladores de Windows. Por esto el soporte de Visual Studio para los procesadores AMD es tan importante para nosotros, pues otorga un entorno altamente productivo a nuestros clientes para conectar su hardware y software", comentó Earl Stahl, vicepresidente de Desarrollo de software en AMD. “La colaboración entre hardware y software resulta vital en toda la Plataforma de Aplicaciones Microsoft, por lo que también estamos trabajando para garantizar que Microsoft Windows Server 2008 y Microsoft SQL Server 2008 se optimicen para los procesadores de núcleo cuádruple AMD Optaron".

Microsoft ofrece demo de MS Home Server

Microsoft ofrece probar gratuitamente el producto MS Home Server. Después de un período demo de 120 días es posible comprar el servidor para uso doméstico.

Con el paquete Windows Home Server 120-Day Evaluation Kit, el usuario tiene la posibilidad de probar el programa para servidores de Microsoft diseñado para uso familiar.

Home Server facilita el intercambio de películas, fotografías y otros documentos mediante una red hogareña o vía Internet.
El paquete de pruebas tiene un precio de 8 dólares y puede ser comprado desde el sitio de Microsoft (ver enlace al final de este artículo). Home Server requiere como mínimo un procesador Pentium III a 1 GHz, 512 MB en RAM y 70 GB de espacio en disco.

La versión comercial completa de Home Server tiene un precio de 32 dólares.

Distribuidor de Linux acusa a Microsoft de competencia desleal

El distribuidor de Linux Mandriva, acusa al presidente de Microsoft, Steve Ballmer, de haberles quitado un futuro cliente con prácticas desleales.

Uno de los jefes del distribuidor Linux Mandriva, François Bancilhon, escribe que Ballmer sería el responsable directo de que Mandriva haya perdido un gran pedido procedente de Nigeria. La información es publicada en el blog de la empresa.

Según se indica, Mandriva habría suscrito una acuerdo con el gobierno de Nigeria por una orden de 17.000 computadoras y software de bajo precio para las escuelas del país. Mandriva ofreció un paquete consistente del PC Intel Classmate, con una versión especial de Mandriva Linux pre instalado.

El contrato fue firmado, pero al momento de realizarse la primera entrega de productos, el gobierno de Nigeria informó que a futuro instalarían el sistema operativo Windows en las computadoras.

La información llevó a François Bancilhon a escribir lo siguiente en el blog de la empresa: "¡Caramba! me siento impresionado Steve ¿qué hiciste para que estas personas cambiaran de opinión? Para mí está claro, y también lo está para los demás ¿Cómo llamas tú a lo que has hecho, Steve? Hay distintas palabras para ello, y estoy seguro que conoces algunas", escribió el indignado Bancilhon, agregando que “continuaré luchando por esta compra, y la siguiente, y la siguiente. Tu tienes el dinero y el poder, y es posible que tengamos ideas distintas de la ética, pero yo creo que el trabajo duro, la buena tecnología y la ética triunfarán al final.".

Fuente: San Jose Mercury News.

Admiten problemas de relaciones públicas con Windows Vista

Hemos hecho un mal trabajo", declaró el director de producto Windows Vista, Nick White

Desde el lanzamiento del nuevo sistema operativo de Microsoft, el panorama mediático ha sido más bien negativo para el producto. Aunque el nivel de ganancias ha sido bueno, no puede considerarse que Windows Vista haya sido un éxito mercadotécnico.

Varios observadores han escrito comentarios negativos sobre el producto; hay quienes consideran que no tiene sentido actualizar desde Windows XP, en tanto que otros observadores han insistido en la necesidad de incluir un paquete de desactualización para recuperar el antiguo Windows XP. El director del producto Windows Vista, Nick White, admitió ante la publicación BetaNews que Microsoft no ha hecho un buen trabajo en el marketing de Vista.

Sin embargo, el ejecutivo anuncia que la situación será corregida. Microsoft se prepara decididamente frente a la temporada navideña. El argumento principal será que el 97% de las computadoras que están actualmente siendo comercializadas son compatibles con Windows Vista, y que la gran mayoría de éstas también tienen el sistema operativo pre instalado.

Microsoft espera además que la nueva generación de juegos con soporte para Vista motivarán comentarios más positivos sobre el sistema operativo.

Tribunal obliga a HP a devolver valor de licencia de Windows

Dictamen de tribunal italiano implica que HP deberá devolver el precio de Windows preinstalado pagado involuntariamente por uno de sus clientes. El usuario en cuestión no deseaba usar el sistema operativo de Microsoft.

En Italia se ha pronunciado un juicio de principios que resuelve un requerimiento judicial presentado por un comprador de computadora contra el gigante HP. El cliente en cuestión había comprado una computadora Compaq con Windows XP y Works preinstalados, pero se negó a aceptar el acuerdo de licencia EULA que acompaña a los programas.

En la licencia EULA se indica que los compradores que no estén dispuestos a aceptar las condiciones de la licencia deberán dirigirse al fabricante de la computadora para recibir un reembolso del valor de esta. El comprador en cuestión siguió el procedimiento pero HP se negó a devolver el valor pagado por los programas.

El comprador optó entonces por presentar una demanda contra HP, obteniendo el pleno respaldo del tribunal, que sentenció a HP a devolver 90 euros por Windows y 50 euros por Works.

En septiembre pasado, un tribunal francés determinó que Acer debería devolver también el precio pagado por Windows y Works en un caso similar.

Windows crece mientras Linux pierde terreno

La consultora IDC ha presentado nuevas cifras comparativas sobre la penetración de Windows y Linux.

Microsoft continúa captando cuotas del mercado, en tanto que Linux se ha estabilizado e incluso pierde usuarios especialmente en Estados Unidos.

El retroceso de Linux se manifiesta en el mercado de servidores. La situación era distinta en 2003, cuando Linux creció en 53% en Estados Unidos y 45% en el resto del mundo.

Para 2006, las cifras de IDC son totalmente distintas. En Estados Unidos Linux ha perdido el 4% del mercado, en tanto que el sistema operativo creció en sólo 10% en el resto del mundo, lo que implica un fuerte retroceso respecto al gran crecimiento registrado en años anteriores

Resumen del boletín de seguridad de Microsoft de octubre de 2007

Los boletines de seguridad de este mes son los siguientes, en orden de gravedad:

Crítica (4)

Identificador del boletín Boletín de seguridad de Microsoft MS07-055

Título del boletín

Una vulnerabilidad en el visor de imágenes Kodak podría permitir la ejecución remota de código (923810)

Resumen ejecutivo

Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada. Existe una vulnerabilidad de ejecución remota de código en la forma en que el visor de imágenes Kodak, anteriormente denominado Visor de imágenes Wang, trata los archivos de imagen diseñados específicamente. La saturación podría permitir que un atacante ejecutara de forma remota código en el sistema afectado. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Detección

Microsoft Baseline Security Analyzer puede detectar si su sistema requiere esta actualización. La actualización podría requerir el reinicio del equipo.

Software afectado

Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín Boletín de seguridad de Microsoft MS07-056

Título del boletín

Actualización de seguridad acumulativa para Outlook Express y Windows Mail (941202)

Resumen ejecutivo

Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada. La vulnerabilidad podría permitir la ejecución remota de código debido a una respuesta NNTP con formato incorrecto que se trata incorrectamente. Un atacante podría aprovechar esta vulnerabilidad mediante la creación de una página web especialmente diseñada.

Gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Detección

Microsoft Baseline Security Analyzer y la herramienta Enterprise Update Scan Tool pueden detectar si el equipo necesita esta actualización. La actualización no requiere reinicio, excepto en determinadas situaciones y para Windows Vista.

Software afectado

Windows, Outlook Express, Windows Mail. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín Boletín de seguridad de Microsoft MS07-057

Título del boletín

Actualización de seguridad acumulativa para Internet Explorer (939653)

Resumen ejecutivo

Esta actualización de seguridad crítica resuelve tres vulnerabilidades de las que se ha informado de forma privada y otra vulnerabilidad de la que se ha informado de forma pública. La vulnerabilidad con la repercusión más grave en la seguridad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Detección

Microsoft Baseline Security Analyzer puede detectar si su sistema requiere esta actualización. La actualización podría requerir el reinicio del equipo.

Software afectado

Windows, Internet Explorer. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín Boletín de seguridad de Microsoft MS07-060

Título del boletín

Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (942695)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Word que podría permitir la ejecución remota de código si un usuario abre un archivo de Word especialmente diseñado que contenga una cadena con formato incorrecto. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

Gravedad máxima

Crítica

Consecuencia de la vulnerabilidad

Ejecución remota de código

Detección

Microsoft Baseline Security Analyzer puede detectar si su sistema requiere esta actualización. La actualización no requiere reinicio.

Software afectado

Office. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.





Importante (2)

Identificador del boletín Boletín de seguridad de Microsoft MS07-058

Título del boletín

Una vulnerabilidad en RPC podría permitir la denegación de servicio (933729)

Resumen ejecutivo

Esta actualización importante resuelve una vulnerabilidad de la que se ha informado de forma privada. Existe una vulnerabilidad de denegación de servicio en la función de llamada a procedimiento remoto (RPC) debida a un error en la comunicación con el proveedor de seguridad NTML al efectuar la autenticación de las solicitudes RPC.

Gravedad máxima

Importante

Consecuencia de la vulnerabilidad

Denegación de servicio

Detección

Microsoft Baseline Security Analyzer puede detectar si su sistema requiere esta actualización. La actualización podría requerir el reinicio del equipo.

Software afectado

Windows. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.

Identificador del boletín Boletín de seguridad de Microsoft MS07-059

Título del boletín

Una vulnerabilidad en Windows SharePoint Services 3.0 y Office SharePoint Server 2007 podría dar como resultado la elevación de privilegios en el sitio de SharePoint (942017)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado públicamente en Microsoft Windows SharePoint Services 3.0 y Microsoft Office SharePoint Server 2007. La vulnerabilidad puede permitir a un atacante ejecutar una secuencia de comandos arbitraria que podría dar como resultado la elevación de privilegios en el sitio de SharePoint, a diferencia de la elevación de privilegios en el entorno de estación de trabajo o servidor. La vulnerabilidad también podría permitir a un atacante ejecutar una secuencia de comandos arbitraria para modificar la memoria caché de un usuario, lo que podría dar como resultado la divulgación de información en la estación de trabajo.

Gravedad máxima

Importante

Consecuencia de la vulnerabilidad

Elevación de privilegios

Detección

Microsoft Baseline Security Analyzer puede detectar si su sistema requiere esta actualización. La actualización no requiere reinicio, excepto en determinadas situaciones.

Software afectado

Windows, Office. Para obtener más información, consulte la sección Ubicaciones de descarga y programas afectados.




Ubicaciones de descarga y software afectado

¿Cómo se usa esta tabla?

Esta tabla se puede usar para conocer las actualizaciones de seguridad que quizá deba instalar. Debe revisar cada programa o componente enumerado para ver si hay alguna actualización de seguridad necesaria. Si un componente o programa aparece, se indica la consecuencia de la vulnerabilidad y también se proporciona un vínculo a la actualización de software disponible.

Nota Puede que tenga que instalar varias actualizaciones de seguridad para una sola vulnerabilidad. Revise toda la columna para cada identificador de boletín enumerado con el fin de comprobar las actualizaciones que debe instalar según los programas o componentes instalados en el sistema.

Ubicaciones de descarga y software afectado


Detalles Detalles Detalles Detalles Detalles Detalles

Identificador del boletín

MS07-055

MS07-056

MS07-057

MS07-060

MS07-058

MS07-059

Gravedad máxima

Crítica

Crítica

Crítica

Crítica

Importante

Importante

Sistema operativo Windows





Microsoft Windows 2000 Service Pack 4

Crítica

[1]

[1]


Baja


Windows XP Service Pack 2

Crítica

[1]

[1]


Importante


Windows XP Professional x64 Edition



[1]


Importante


Windows XP Professional x64 Edition Service Pack 2


[1]

[1]


Importante


Windows Server 2003 Service Pack 1

Crítica

[1]

[1]


Importante

[1]

Windows Server 2003 Service Pack 2

Crítica

[1]

[1]


Importante

[1]

Windows Server 2003 x64 Edition


[1]

[1]


Importante

[1]

Windows Server 2003 x64 Edition Service Pack 2


[1]

[1]


Importante

[1]

Windows Server 2003 con SP1 para sistemas con Itanium


[1]

[1]


Importante


Windows Server 2003 con SP2 para sistemas con Itanium


[1]

[1]


Importante


Windows Vista


[1]

[1]


Importante


Windows Vista x64 Edition


[1]

[1]


Importante


Componentes del sistema operativo Windows





Outlook Express 5.5 Service Pack 2 en Microsoft Windows 2000 Service Pack 4


Crítica





Outlook Express 6 Service Pack 1 en Microsoft Windows 2000 Service Pack 4


Crítica





Outlook Express 6 en Windows XP Service Pack 2


Crítica





Outlook Express 6 en Windows XP Professional x64 Edition Service Pack 2


Crítica





Outlook Express 6 en Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2


Crítica





Outlook Express 6 en Windows Server 2003 x64 Edition y Outlook Express 6 en Windows Server 2003 x64 Edition Service Pack 2


Crítica





Outlook Express 6 en Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium


Crítica





Windows Mail en Windows Vista


Importante





Windows Mail en Windows Vista x64 Edition


Importante





Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4



Crítica




Internet Explorer 6 Service Pack 1 cuando está instalado en Microsoft Windows 2000 Service Pack 4



Crítica




Internet Explorer 6 para Windows XP Service Pack 2



Crítica




Internet Explorer 6 para Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2



Crítica




Internet Explorer 6 para Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2



Moderada




Internet Explorer 6 para Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2



Moderada




Internet Explorer 6 para Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium



Moderada




Internet Explorer 7 para Windows XP Service Pack 2



Crítica




Internet Explorer 7 para Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2



Crítica




Internet Explorer 7 para Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2



Moderada




Internet Explorer 7 para Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2



Moderada




Internet Explorer 7 para Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium



Moderada




Internet Explorer 7 en Windows Vista



Crítica




Internet Explorer 7 en Windows Vista x64 Edition



Crítica




Windows SharePoint Services 3.0 en Windows Server 2003 Service Pack 1 (KB934525)






Importante

Windows SharePoint Services 3.0 en Windows Server 2003 Service Pack 2 (KB934525)






Importante

Windows SharePoint Services 3.0 en Windows Server 2003 x64 Edition (KB934525)






Importante

Windows SharePoint Services 3.0 en Windows Server 2003 x64 Edition Service Pack 2 (KB934525)






Importante

Microsoft Office





Microsoft Word 2000 Service Pack 3




Crítica



Microsoft Word 2002 Service Pack 3




Importante



Microsoft Office 2004 para Mac




Importante



Microsoft Office SharePoint Server 2007 (KB937832)






Importante

Microsoft Office SharePoint Server 2007 x64 Edition (KB937832)






Importante

Notas

[1] Hay una actualización de seguridad disponible para este sistema operativo. Para obtener información, consulte el software o el componente afectado en la tabla y el boletín de seguridad apropiado.


Cuando de Protección contra las Vulnerabilidades se Trata, el Proceso No Respeta a una “Mayor Cantidad de Observadores”.

Por Pat Edmonds
Gerente de Producción Senior, Microsoft Corporation

Existen diferencias sustanciales en la forma en que los modelos del Servidor de Windows (Windows Server) y el de Linux son desarrollados. Microsoft pone el énfasis en la implementación de un modelo de desarrollo que permita la inclusión de los atributos del software de importancia en el proceso de planificación. Un ejemplo muy claro de esto es la interoperabilidad. La interoperabilidad por diseño es el elemento clave que es habilitado a través del modelo de desarrollo de Microsoft.Al tomar en cuenta las necesidades de la interoperabilidad de la amplia base de datos de clientes de Microsoft, que incluye la necesidad de intercambiar datos sobre software y hardware de más de 100.000 otras compañías, durante la fase de diseño, Microsoft puede implementar los estándares adecuados y cimentar relaciones con otros proveedores para ayudar a sobrellevar dicho peso a los clientes que precisan integrar los productos de Microsoft con el software de otros proveedores incluyendo aquellos de código abierto.

Estas diferencias en modelos también se pueden traducir a las diferencias de seguridad en el mundo real para los clientes:

Cómo se identifican, informan y reparan los errores/virus.

La reducción de la severidad de las vulnerabilidades.

La reducción del total de Días de Riesgo para Windows en relación a Linux.

La seguridad es a menudo considerada cómo de suma importancia al momento de la decisión de compra del sistema operativo de un servidor. La realidad es que los Servidores de Linux y de Windows tienen filosofías muy diferentes sobre la seguridad de la información, que se traducen en experiencias diferentes para sus clientes. Luego de años de construir y mejorar un enfoque céntrico del proceso para el desarrollo de la seguridad, resulta claro que el modelo del Ciclo de Vida del Desarrollo de la Seguridad de Microsoft contribuye a que la plataforma del servidor de Windows sea altamente segura para cualquier empresa.

Nadie precisa decirle a los CIOs (por su sigla en inglés Chief Information Officers o Gerente Global del Área de Sistemas) que los riesgos a la seguridad de la información son cada vez más altos. De acuerdo con Forrester, un 10 por ciento promedio de los presupuestos de TI son destinados a la seguridad, 1 y por una buena razón. Por ejemplo:

Un estudio reciente de Consumer Reports estima que los esquemas de los virus de Internet, spyware y phishing (fraude electrónico) le han costado a los consumidores de los EE.UU. más de US$ 7 billones en los últimos dos años, y que la oportunidad de convertirse en una víctima cibernética es de 1 en 4.2

Uno de cada diez sitios Web son infectados con malware.3

En el 2006, el promedio del costo total en el que incurre una organización por informe de cliente perdido es de $182, con un aumento del 30 por ciento en el 2005. Desde febrero de 2005, el Centro de Distribución de Información de los Derechos Reservados (Privacy Rights Clearinghouse) ha identificado más de 93 millones de registros de residentes de los EE.UU. que han sido expuestos debido a violaciones a la seguridad.4

Un estudio recientemente conducido por la Asociación de Administración de Empresas (Enterprise Management Associates) de seis compañías con datos revelados públicamente por violaciones a la seguridad hace notar que el precio promedio de estas compañías disminuyó en un 5 por ciento al décimo sexto día hábil luego de la revelación (aproximadamente 3 semanas más tarde). Para las cuatro compañías cuyos precios en las acciones pueden ser rastreados hasta hace un año atrás, sus promedios permanecieron dentro de un rango del -2,4 por ciento del 8,5 por ciento hasta 195 días hábiles subsiguientes al episodio (aproximadamente 9 meses). El promedio no alcanzó el nivel pre-revelación hasta 229 días hábiles más tarde- casi un año después.5 (Vea la figura debajo. Las líneas en colores representan las compañías analizadas objeto del estudio).

Figure 1

Los cambios en los Precios de Cierre de las Acciones de las Seis Compañías que Informaron Violaciones a la Seguridad de la Información, Febrero 2005- Junio 20065

Cuando nos referimos a contrarrestar las amenazas a la seguridad, Windows y Linux adoptan enfoques totalmente diferentes.Tanto los vendedores de Microsoft y aquellos de la compañía líder Linux podrían utilizar un número de técnicas y herramientas de seguridad probadas similares, pero las filosofías de desarrollo de Windows y Linux son divergentes.

Por ejemplo, las distribuciones de Linux siguen el modelo de desarrollo de código abierto, que brinda flexibilidad a los usuarios para personalizar el código. Dependiendo de las intenciones y las habilidades del usuario, Linux puede personalizarse tornándose extremadamente seguro; en realidad, al punto de que existen anécdotas sobre usuarios que han personalizado SELinux al punto tal que luego no podían iniciar la sesión nuevamente. Con esta capacidad de personalización, sin embargo, se conlleva la responsabilidad en aumento por parte del usuario de asegurar el código. Las distribuciones más importantes soportadas por Linux tienen provisiones en sus contratos para parar su soporte del producto, incluyendo el soporte de seguridad como administración de parches, una vez que el código ha sido personalizado más allá de cierto punto.

Además, existe una percepción generalizada dentro de la comunidad Linux: "los ojos de muchos observadores hacen que los virus pierdan su fuerza", una referencia a la creencia de que la naturaleza comunitaria de Linux y su código abierto y visible alientan y permiten a que un mayor número de usuarios identifiquen virus y errores y ofrezcan las recomendaciones para la resolución de los problemas que estos presentan. En realidad, el mantra de la “mayor cantidad de observadores” para la seguridad de Linux ha sido ampliamente desaprobado por dos razones primordiales. Primero, asume que todos los "ojos observadores" se encuentran calificados para saber que están buscando. En realidad, la pericia en el área de seguridad no es mayormente conocida entre la mayoría de los usuarios, y constituye, un grupo de habilidades y prácticas bastante raras y valoradas. Segundo, el argumento del “mayor número de observadores” implica que todos los “ojos de los observadores” quieran en forma voluntaria examinar con detenimiento el código en busca de virus y errores.En realidad, la resolución de problemas y el código de evaluación no son necesariamente uno de los pasatiempos más excitantes para muchos desarrolladores voluntarios, quienes preferirán dedicar su tiempo libre a la creación de la próxima gran aplicación.Como resultado, no es sorprendente que Ben Laurie, Director de Seguridad de la Fundación Apache, haya dicho que “aunque todavía es usado a menudo como un argumento, me parece bastante claro que el argumento de la `mayor cantidad de ojos observadores´, no se aplica al tema de la seguridad” .6

La falta de un enfoque céntrico de proceso sobre la administración de seguridad parece estar al día con el desarrollo de Linux, dado que Linux se convierte en un proceso más complejo día a día. Andrew Morton, Líder Mantenedor del Kernel de Linux, ha dejado entrever, "Creo que el kernel 2.6 se está llenando de virus lentamente.Parece que estamos agregando virus a una tasa mayor de la que los estamos reparando".También notó que algunos pocos desarrolladores se encuentran motivados a trabajar para reparar virus y errores.7 Jonathan Corbet, co-fundador de LWN.net, comentó recientemente que “Los desarrolladores de Linux parecen permitir que los informes de los virus y errores se deslicen a través de las fracturas.Con 1.500 virus de núcleo en el sistema de rastreo, y 50 sin respuesta en la lista de correo, ¿precisan los desarrolladores un mejor proceso o tan sólo nuevas prioridades?”8

A diferencia del modelo de Linux, Microsoft promociona la seguridad de sus productos a través del Ciclo de Vida de Desarrollo de Seguridad (Security Development Lifecycle o SDL)El SDL surgió de un famoso memorando de Bill Gates9 en 1992 que marcaba el curso de Microsoft en dirección a convertirse en un líder en el área de la seguridad después de años de (generalmente justificadas) preocupaciones de clientes sobre el compromiso de Microsoft para con la seguridad.El propósito del SDL es doble:Reducir el número de vulnerabilidades en el código y reducir la severidad de los virus que se filtran por el.Dado que es virtualmente imposible atrapar todas las vulnerabilidades, la clave consiste en asegurar un proceso disciplinado capaz de identificación y corrección de los virus y errores de la forma más adecuada y priorizada que sea posible. (Más información sobre el SDL en un lanzamiento Web reciente con John Pescatore de Gartner and Michael Howard y James Whittaker de Microsoft).

La ventaja del SDL consiste en que la seguridad es “cocinada dentro” de los productos de Microsoft a cada paso del desarrollo a través de una serie de portales y controles severos de seguridad realizados por expertos.La seguridad también se ver reforzada en el desarrollo del producto a través de las amplias inversiones que Microsoft continua realizando en el área de capacitación para la seguridad y la prioritización ejecutiva de arriba a abajo para asegurarse que esta sea parte de la cultura corporativa. Como parte de este compromiso, Microsoft invirtió más de US$ 200 millones en la capacitación de más de 13.000 empleados de Windows en técnicas de desarrollo centradas en la seguridad y nuevos procesos de ingeniería, resultando en una revisión de la seguridad línea por línea del Servidor de Windows 2003.10 En un giro del modelo de Linux de “muchos ojos observadores”, Microsoft a menudo realiza versiones de pre-lanzamiento de su software disponible y tiene un amplio programa interno de “autoalimentación de seguimiento” para que los empleados evalúen los betas y brinden información al respecto. Por ejemplo, más de 2.25 millones de copias de prelanzamiento del Windows Vista fueron distribuidas,11 para ayudar a asegurar su estabilidad y que cumpliese con los requisitos del mundo real. Diferente al modelo de “muchos ojos observadores” de Linux, los productos de Microsoft son probados por un número de profesionales dedicados cuyo sustento se base en su capacidad para encontrar y solucionar problemas en los códigos. Dicho de otro modo, más de 2.500 evaluadores llevan a cabo evaluaciones y pruebas del Servidor de Windows 2003 (Windows Server 2003).12

La seguridad no termina con el desarrollo del SDL. Cuando surge un problema con un software, los clientes pueden enviar un informe anónimo a Microsoft.Los temas relacionados con la falla en los sistemas involucran el servicio de Análisis de Caídas en Línea de Microsoft, que realiza una investigación e informa más en detalle. Los datos son utilizados para mejorar los últimos productos, y de ese modo reforzar las lecciones aprendidas en lanzamientos futuros y manejar un ciclo de seguridad de mejora continua.

Un área de seguridad en la que Microsoft se ha dejado estar detrás de Linux ha sido la habilidad de esta última para personalizar las distribuciones para excluir componentes innecesarios, y por este medio reducir el área de superficie de la vulnerabilidad del producto. Con el Servidor de Windows 2008, Microsoft ha dado un gran paso en la misma dirección permitiendo a los usuarios desmontar aplicaciones innecesarias para reducir el área de superficie de vulnerabilidad a través del Núcleo del Servidor. La instalación del Núcleo del Servidor es tan sólo una fracción del tamaño de la Instalación del Servidor de Windows porque excluye un número de características de Windows tradicionales, incluyendo la interfaz del usuario gráfico de Windows (a excepción de una capacidad de un conjunto mínimo de gráficos), el Microsoft Internet Explorer y el Windows File Explorer.

Dadas las diferencias obvias en el enfoque de la seguridad que Linux y Windows poseen, ¿qué resultados brindan estos a los clientes? Mediante cualquier tipo de medida, el SDL ha brindado a los clientes de Windows menor cantidad de vulnerabilidades en los sistemas operativos.En una comparación recientemente llevada a cabo de las vulnerabilidades en los sistemas operativos en cuestión durante los primeros seis meses de sus lanzamientos, el Windows Vista tuvo bastante menos vulnerabilidades que sus rivales de Linux. Además, a modo de evidencia adicional del ciclo de mejora continua generado por el SDL, el Windows Vista también tuvo menos de la mitad del número de vulnerabilidades que su predecesor, el Windows XP, tuvo a los seis meses de su lanzamiento.13 (Vea las cifras debajo.)

Figure 2

De la misma maneara, una comparación de las vulnerabilidades entre el Windows Server 2003 y sus rivales empresariales de Linux desde enero a julio del 2007 mostraron que el Windows Server 2003 tuvo muchas menos vulnerabilidades, incluyendo menor cantidad de vulnerabilidades de alta criticidad.14 (Ver las cifras debajo).

Figure 3

Al comparar la seguridad entre diferentes productos, una medida común de la vulnerabilidad es la de los Días de Riesgo (DoR).Las DoR miden el tiempo desde el cual la vulnerabilidad ha sido públicamente dada a conocer hasta que una actualización de un proveedor se encuentra disponible para dar fin a dicha vulnerabilidad.

En una comparación de Microsoft, Red Hat, Novell, Sun y Apple llevada a cabo en el 2006 con respecto al promedio de Días de Riesgo, Windows demostró nuevamente ser más seguro que sus rivales, incluyendo sus rivales de Linux. El análisis agrego múltiples versiones de productos para cada proveedor dado que muchos clientes habían implementado varias versiones. Los resultados indican que, en promedio general los clientes que utilizan el Windows arriesgan exponerse a las vulnerabilidades, incluyendo aquellas del tipo de gran criticidad, por un período significativamente más corto de tiempo que aquellos quienes utilizan los sistemas operativos del rival. El Novell Enterprise Linux tuvo un DoR promedio de más de 2.5 de duración que el de Windows, y el Red Hat Enterprise Linux tuvo un DoR promedio de casi 4 veces más de duración que el de Windows.Además, los clientes del Novell Enterprise Linux fueron expuestos a vulnerabilidades del tipo severo casi dos veces más frecuentemente que los usuarios de Windows, y los clientes del Red Hat Enterprise Linux fueron expuestos a vulnerabilidades del tipo de alta criticidad con una frecuencia en más de 3 veces que los usuarios de Windows.15 (Ver las cifras debajo).

Figure 4

Windows y Linux son desarrollados y soportados a través de diferentes modelos, y estos enfoques divergentes llevan a diferentes experiencias de seguridad e interoperabilidad para los usuarios finales.En la elección entre el Windows y el Linux, el enfoque céntrico del proceso SDL disciplinado así como la interoperabilidad por diseño, han permitido que el modelo de desarrollo de Microsoft ofrezca beneficios convincentes para los clientes. El enfoque de Microsoft brinda a los clientes elecciones reales en lo que se refiere a estructura y les brinda seguridad en cuanto a las elecciones que estos realicen.

Más información sobre la comparación de la seguridad ofrecida por Microsoft y Linux en http://www.microsoft.com/windowsserver/compare/linux/security.mspx


 
anuncios