diumenge, d’abril 03, 2005

Polèmic finançament de Microsoft a un projecte d'estudi sobre seguretat de sistemes operatius

Després de que tres investigadors revolucionessin el món de la seguretat informàtica anunciant un estudi que demostrava que Windows és més segur que Linux, s'ha sabut que la seva investigació ha estat finançada per Microsoft. Tot i que aquests investigadors han afirmat que el seu estudi no pren partit pel producte de la companyia de Redmond, les suspicàcies s'han estès entre la comunitat informàtica.

Dir quin és el sistema operatiu més segur és una tasca molt difícil. Entre la comunitat informàtica es té a l'OpenBSD com el més segur, sense haver-se-li trobat cap fallada de seguretat explotable de forma remota en la seva configuració per defecte d'ençà del 1995. Però la principal lluita es troba entre Linux i Windows. Diversos estudis, finançats directament o indirecta per Microsoft o per organitzacions properes al programari lliure, demostren "irrefutablement" que un d'aquests dos sistemes s'endú el títol de guanyador en aquest combat.

La comunitat informàtica es veia impactada ara fa uns dies amb l'anunci per part de tres investigadors del Florida Institute of Technology i de l'empresa Security Innovation Inc. de Boston (Richard Ford, Herbert H. Thompson i Fabien Casteran), que Windows Server 2003 és més segur que Red Hat Enterprise Linux 3.0 . Aquest anunci era molt important per a Microsoft per diversos motius. El primer és que la seguretat dels seus productes s'està posant cada dia més en dubte davant del que ja s'ha establert com al seu més directe competidor, Linux, i el segon perquè es refereix a un producte orientat específicament al terreny dels servidors, on Linux té la seva major quota de mercat -i gràcies, precisament, a la creença de que és més segur-, i més tenint en compte que Red Hat és el principal jugador en el sector servidors.

Ja en el moment del seu anunci, l'estudi fou criticat per alguns experts en seguretat pel mètode emprat en la seva realització, ja que els autors s'havien centrat més en el cicle de publicació de pegats per exemple, que en la seguretat intrínseca dels sistemes estudiats.

Però la gran polèmica va sorgir durant la presentació oficial del document, en desvelar-se el que ja era un secret a mitges: Microsoft havia finançat el projecte. Malgrat que tots els investigadors implicats han negat parcialitat en les seves conclusions, l'ombra del dubte ha planat sobre les 37 planes de què es compon el document.

L'estudi, titulat "Role Comparison Report - Web server Role", es centra -com n'indica el títol- en la funció de servidor web exercida per ambdós sistemes operatius. Les plataformes comparades han estat Windows Server 2003 amb Internet Information Services (IIS) 6.0, SQL Server 2000 i ASP.NET contra Red Hat Enterprise Linux 3.0 amb Apache, MySQL i PHP. La instal·lació de Windows ha estat l'estàndard, mentre que per a Linux s'ha adoptat una instal·lació estàndard i una altra de mínima, amb només les funcionalitats exigides per a desenvolupar la tasca de servidor web.

La conclusió és aclaparadora contra el sistema del pingüí: per a Windows es comptabilitzen 52 vulnerabilitats, mentre que per a la instal·lació mínima de Red Hat es compten 132, número que s'eleva fins a les 174 detectades en la instal·lació estàndard d'aquest mateix sistema. Quan s'examinen els dies entre que la vulnerabilitat es descobreix i que es soluciona mitjançant un pegat, els investigadors van trobar una mitjana de 31,3 dies en la plataforma Windows contra 69,6 en Linux.

El document complet es pot descarregar en format PDF des de

http://seattlepi.nwsource.com/dayart/20050325/windows_linux_final_study.pdf

El cop que aquest estudi podria donar no es dirigeix només contra Linux, si no també contra la filosofia del programari lliure en general, ja que són moltes les opinions que afirmen que el mètode de desenvolupament emprat en el programari lliure fa que aquests programes siguin més segurs que els seus homòlegs propietaris.

1 Comments:

At 15:46, Blogger Paco said...

Potser no és fàcil saber quin és el més segur de tots dos, però el que sí que és fàcil, és saber quin dels dos és més difícil de corregir quan es troba una falla... :)

 

Publica un comentari a l'entrada

<< Home