¿Quién es más seguro con Linux y Windows?

  
                              

Un estudio patrocinado por Microsoft señaló que los sitios web que operan en Linux enfrentan más riesgos que Windows.

El estudio publicado el martes dijo que el servidor de red basado en Windows Server 2003 del año pasado parchó menos vulnerabilidades que el código abierto estándar Red Hat Enterprise Linux ES 3.

El estudio también señaló que los "días de riesgo" del servidor web de Microsoft son mucho menos que los competidores de código abierto: el día de riesgo es una medida de vulnerabilidades conocidas y sin parches Método

"El propósito de esta investigación es pensar dos veces y pedir a todos que estén seguros sobre qué plataforma". Herbert Thompson es el Director de Investigación y Capacitación de Security Innovations, una compañía de aplicaciones de seguridad. Uno de los tres autores del informe, lo dijo. En general, la gente siempre piensa que Linux es más seguro que Windows.

Este informe fue controvertido cuando se publicó el mes pasado en la Conferencia de Seguridad de la Información de la Conferencia RSA. Algunos de los estudios comparativos que fueron más seguros para Windows y Linux también han provocado discusiones acaloradas.

"Creemos que esto no es cierto", dijo Mark Cox, jefe del equipo de respuesta de seguridad de Red Hat, al reciente informe de investigación en el blog del sitio web de la compañía el martes. Señaló que el informe no distingue entre "críticos" y menos peligrosos. Si se calcula por separado, será más beneficioso para Red Hat.
Además de responder en el blog, Red Hat no está dispuesto a comentar sobre este informe.

La vulnerabilidad es un cálculo

En este estudio, los investigadores calcularon las vulnerabilidades publicadas en las que cada servidor de red estaba parcheado en 2004. Además, los días de riesgo se agregan: la cantidad total de días de riesgo después de que se expone la vulnerabilidad y el desarrollador del software corrige la vulnerabilidad.

Los servidores que usan Red Hat Enterprise Linux ES 3 tienen un día de riesgo de más de 12,000, mientras que Microsoft tiene alrededor de 1600 días, según el estudio.

En términos de fugas, el servidor de red de Red Hat con el servidor web Apache, la base de datos MySQL y el lenguaje de scripting HP P está configurado de fábrica para manejar 174 vulnerabilidades, señala el estudio. Hay 52 vulnerabilidades en la configuración de fábrica de Microsoft Server 2003, Internet Information Server 6, SQL Server 2000 y ASP.Net.

El investigador también estudió la minimización de los dos, que consiste en comparar algunas aplicaciones que no están relacionadas con los servos de páginas web. En este caso, Microsoft aún derrotó fácilmente el software Red Hat Linux con 52 vulnerabilidades. 132

Red Hat's Cox refutó el estudio en una publicación de blog.

"Sin los estrictos estándares de Microsoft o Red Hat, solo 8 vulnerabilidades en Red Hat Enterprise Linux 3 son peligrosas", escribió. "Y tres de estas vulnerabilidades". Generalmente se repara en un día, generalmente ocho días ".

En general, un nivel" peligroso "de violaciones de seguridad puede permitir a los piratas informáticos controlar de forma remota un sistema informático. El estudio dividió los niveles de vulnerabilidad en tres niveles: alto, medio y bajo. El nivel "alto" de peligro incluye Red Hat y "crítico" ("peligroso" o "significativo") de Microsoft, así como las vulnerabilidades que permiten a los usuarios regionales acceder a las funciones del sistema. Según el informe, las vulnerabilidades de "alto riesgo" de Microsoft son mucho menores, ya sea en la configuración original o en la configuración minimizada.
embargo, los investigadores reconocieron que Microsoft financió el estudio. El comunicado de prensa de Microsoft del martes también señaló que el informe es parte de la campaña Get the Facts de Microsoft, que apunta a resaltar los beneficios del software de Windows.

"Cuando Security Innovations propuso un enfoque de seguridad de software para Microsoft, lo evaluamos y lo encontramos útil para nuestros clientes, por lo que patrocinaron su investigación", dijo Microsoft en un comunicado de prensa. "Alentamos a nuestros clientes a probar y evaluar la información en su propio entorno informático".

Además de Thompson, los otros dos autores de este informe de investigación son el Instituto de Tecnología de Florida. Richard Ford, profesor de ciencias de la computación e ingeniero de pruebas de seguridad de Security Innovations. Esperan publicar métodos de investigación en el informe de investigación para contrarrestar las críticas de todos los lados.

"El diseño del método de investigación permite que otros lo verifiquen por sí mismos; debe ser cuantificado y repetible", dijo Thompson. "No estamos dando un pedazo de pastel. También proporcionamos un pastel".

Aunque el cálculo de los días de riesgo y las vulnerabilidades no se pueden usar como una verdadera medida de seguridad, Thompson dijo que quieren centrarse en En los indicadores que son significativos para los administradores de sistemas. Alega que la cantidad total de tiempo para esperar una vulnerabilidad es un cálculo bastante razonable.

Sin embargo, Thompson admite que la mayor parte de la seguridad depende de la profesionalidad del administrador.

"Creo que, para un administrador capaz, ambos sistemas operativos son bastante seguros", dijo Thompson. "Si tengo un experto en Linux, me gustaría que esta persona me ayude con el servidor web de Linux; si soy un experto en Windows, entonces, por supuesto, usaré Windows.

Copyright © Conocimiento de Windows All Rights Reserved