• Tweet

Los críticos han tomado como objetivo un estudio publicado por U.S. Computer Emergency Readiness Team que dice que mas vulnerabilidades fueron encontradas en Linux/Unix que en Windows el año pasado.

El reporte, Cyber Security Bulletin 2005, fue liberado la semana pasada (http://news.com.com/2061-10794_3-6020030.html) Este indica que fueron reportados 5,198 huecos, de los cuales 812 fueron de sistemas operativos Microsoft Windows,2,328 fueron encontrados en sistemas operativos open-source Unix/Linux. El resto fueron declarados como vulnerabilidades de múltiples sistemas operativos.

El reporte ha atraído criticas de algunos en la comunidad open-source. El proveedor de Linux Red Hat dijo que las vulnerabilidades han sido mal etiquetadas y también podrían no ser utilizadas para comparar la relativa seguridad de plataformas Windows y Linux/Unix.

“El estudio es confuso y poco entendible y engañoso. Cuando observas la lista de vulnerabilidades están mal catalogadas”, dijo Max Cox, un consultor de ingeniería de software en Red Hat. “Por ejemplo, Firefox es catalogado como un hueco de sistema operativo Unix/Linux, pero este se ejecuta muy bien en plataformas Windows. Apache y PHP también se ejecutan muy bien en ambas plataformas. Hay defectos metodológicos en la estadística.”

Además, Steven Christey, un editor de Common Vulnerabilities and Exposures (http://www.cve.mitre.org/) una organización que mantiene una base de datos común de vulnerabilidades, dijo que estas estadísticas no son básicas para una comparación de la relativa seguridad de Windows y Linux/Unix, porque estas han sido recolectadas de diferentes fuentes con diferentes criterios para la recolección de huecos.

“En mi opinión, refiriéndose a refinadas fuentes de información de vulnerabilidades (CVE, Bugtraq, etc) todavía están a un año o dos para poder producir estadísticas comparables”, Christey escribio en un carta abierta publicada en línea (http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041028.html).

Thomas Kristensen de Secunia esta de acuerdo con Christey sobre que varias fuentes recolectoras de vulnerabilidades hacen comparaciones mas difíciles. “Yo creo que Steve ha tenido algunos buenos puntos en el por que comparar números en vulnerabilidades es difícil”, dijo Kristensen, oficial en jefe técnico en la compañía de seguridad.

El CERT mismo preciso que la información en su boletín “No deberá ser considerado el resultado de ”No deberá ser considerado el resultado de análisis US-CERT” este incluye información de fuentes externas. Fuente: ZDNET Asia  JGG/ANS