"Sumando y Construyendo Conocimiento"

La seguridad NO es un Sistema Operativo

Posted Mar, 22/06/2010 - 12:42 by mmoreno

El presente artículo ha sido desarrollado por Sebastián Bortnik, creador del Blog Un Mundo Binario y uno de los moderadores de la comunidad de Segu-Info.

En los últimos días los medios tecnológicos y especialmente aquellos dedicados a la seguridad de la información han puesto en primera plana, una vez más, una antigua discusión: ¿cuál es el sistema operativo más seguro? Entre tantas opiniones diversas aparecen viejas antinomias, profundos fanatismos y fundamentalmente mucho ruido que al fin y al cabo no tiene como objetivo final más seguridad. Entre tantas lecturas se me ocurrió una pregunta que parece menos interesante, pero que quizás sea de utilidad: ¿cuál es el sentido de esta discusión?

El contexto

La última semana se filtró la noticia de que Google dejaría de utilizar Windows por "cuestiones de seguridad" [1]. Aparentemente como consecuencia del incidente sufrido por la empresa del buscador a principio de año, Operación Aurora, la compañía comenzaría a utilizar en sus computadoras (salvo expresa autorización del CIO) sólo sistemas operativos Linux y MAC OS (según trascendió, a elección del empleado).
Esta noticia fue causante de miles de debates y opiniones sobre este tema, especialmente de la comunidad de especialistas en seguridad, técnicos, frikis y otras yerbas. Vale aclarar que Google no emitió un comunicado oficial confirmando estos trascendidos sobre la mencionada decisión, y quienes lo filtraron no se fueron identificados públicamente con su nombre.
En prácticamente todos los casos, la supuesta decisión de Google fue reducida a dos opciones: es correcta porque Microsoft Windows es inseguro y es mejor utilizar otros sistemas operativos o; es equivocada Windows es seguro. No mucho más, no mucho menos. Para adentrarnos en la discusión, dejo algunas noticias que justamente dispararon la idea de escribir estas líneas.

Por ejemplo, desde el Blog Usemos Linux aprovecharon la noticia para escribir "Por qué Linux es más seguro que Windows", listando los diez motivos para afirmar tal condición. Entre ellos, se destacan las características de multi usuario avanzado, las configuraciones por defecto más seguras y las posibilidades de configurar la seguridad a gusto, las actualizaciones. Aquí no se presentan fundamentos reales y se desmerece a Microsoft simplemente por tener una historia de sistemas "operativos anteriores inseguros" pero sin analizar las funcionalidades y seguridad del actual (7 ideas sobre Windows 7). También se afirma que GNU/Linux es software libre, verdad indiscutible pero, que al parecer es sinónimo de seguridad.

En la misma semana leo el artículo The Myth of Computer Security, de Gizmondo, que analiza cuáles son los factores que afectan la seguridad de un sistema y aprovecha para arrojar algunas ideas poco comprobadas como que ante amenazas más complejas, es mayor la probabilidad que se cuelgue el antivirus, una idea que aunque parece graciosa es presentada como un dato certero y estudio (?), a pesar de carecer de sentido. En el mismo artículo, se presenta a Linux y a Mac como "sistemas inmunes".
Estos son algunos de los artículos que han aparecido en la semana en que la discusión sobre la seguridad en los sistemas operativos ocupó la primera plana.
Sin embargo, vale mencionar también que otros artículos intentaron arrojar luz al asunto, entre los que destacan: - Google abandona Windows... "¿por seguridad?", de Hispasec - Google no entiende "su problema de seguridad" y adopta la estrategia del avestruz de Javier Cao Avellaneda.
Estas son las últimas referencias que brindaré para volver a la discusión que nos aboca: ¿tiene sentido discutir cuál es el sistema operativo más seguro?.

¿Y la seguridad?

Como mencionaba anteriormente, ante todas estas noticias vale preguntarse si tiene sentido esta discusión. En primer lugar, reducir los incidentes ocurridos en Operación Aurora a un problema de Windows es básicamente haber comprendido poco y nada lo que ocurrió en el ataque que fue totalmente focalizado e incluyó estrategias de Ingeniería Social, Seguridad en Profundidad no implementada, entre otras. El mismo ataque podría tranquilamente haber ocurrido en otras plataformas, así como también existen varias medidas posibles para evitarlo que no implican cambiar el sistema operativo (con el costo operativo y económico que ello involucra).
Al fin y al cabo, todos los sistemas operativos tendrás sus vulnerabilidades, sus puntos débiles y sus fortalezas (afirme quien afirme lo contrario). No estamos hablando de un enfrentamiento entre "sistemas totalmente seguros" y "sistemas totalmente inseguros". Entonces, suponiendo que alguien pueda afirmar que un sistema operativo es "más seguro" que otro, ¿realmente ese sería motivo suficiente para tomar la decisión de cuál de ellos utilizar? Cualquier persona que se dedique a la seguridad, sabe que en cualquiera de los sistemas operativos existentes hoy en día se pueden implementar las medidas técnicas y no técnicas suficientes para tener niveles de seguridad aceptables y que son las aplicadas en millones de organizaciones pequeñas, medianas y grandes en todo el mundo.
Sin contar que esta diferencia en la seguridad de uno u otro sistema operativo no tendrá un impacto real en la elección de los usuarios: ¿cuántos de ellos elijen qué sistema operativo utilizar por su seguridad? Algunos pensarán que es un error no considerar esta variable pero partiendo de la premisa antes mencionada (tanto en Windows, en Linux y en Mac se pueden dar niveles de seguridad óptimos), tampoco es tan descabellado: el usuario considera la usabilidad en todo lo que utiliza y si ya usa un sistema desde hace tiempo, es probable que por costumbre, facilidad, resistencia al cambio y para evitar el tiempo aprendizaje, siga utilizando el mismo.
Tampoco tiene sentido negar lo que implica para Google sacar una noticia que afecte a Microsoft, ¿acaso necesitaba Google de un incidente así para que el equipo de IT tome una decisión respecto a qué sistema operativo utilizar? Esto hablaría muy mal del equipo de una de las empresas tecnológicas más importantes, y dudo que así sea, estoy seguro que contará con profesionales de excelente nivel en conocimientos y aptitudes.
Por último, también vale destacar los riesgos existentes ante tanto ruido. El primero de ellos es el mareo que puede causar a usuarios no experimentados tanto cruce de información, presentando puntos de vistas tan opuestos y tan poco equilibrados. De seguro que al usuario medio opiniones como las citadas le darán más preguntas que respuestas. Por otro lado, las posibilidades de que se genere una falsa sensación de seguridad es alta, cuando se relaciona una tecnología directamente a la idea de seguridad, algo que quizás ya ocurrió, por ejemplo, con Mozilla Firefox y la idea de que "es más seguro que Internet Explorer". La discusión no pasa por cuál es más seguro. Lo que importa aquí es que el usuario puede elegir cualquiera de los dos, y aún así tener la necesidad de navegar con cuidado y responsabilidad, conocer las configuraciones de seguridad, seguir buenas prácticas y otros controles más. No se trata de elegir un software, se trata de implementar y pensar con seguridad.

Conclusión

Aunque quizás muchos lectores piensen lo contrario, la respuesta a la pregunta que he venido planteado es afirmativa. Obviamente que tiene sentido discutir sobre la seguridad de los sistemas operativos. Como comunidad de la seguridad y la tecnología, eso es lo que nos permitirá tener cada día sistemas operativos más seguros, optimizarlos y compartir opiniones. Lo que carece de sentido, en este contexto, es reducir la seguridad de la información a la utilización de uno u otro sistema operativo. Ese es el pecado, creer que el cambio de plataforma tendrá un impacto tan importante en una organización (en términos de seguridad).
Parece raro decirlo a esta altura del partido, pero la seguridad no es un sistema operativo; la seguridad es un proceso complejo, que involucra una serie de factores no sólo tecnológicos, sino también humanos y de gestión. Este tipo de reducciones y simplificaciones de lo que implica mantener la seguridad en una empresa, no benefician más que a alimentar "pequeñas discusiones", y resulta más grave aún cuando provienen de aquellos que se dedican a la seguridad o las tecnologías, responsables de transmitir conocimientos a través de diversos medios de comunicación, sacando las peores conclusiones posibles a partir de una noticia.
En resumen: usen el sistema operativo que deseen, de seguro hay algunos más seguros que otros; pero no se trata de comparaciones estáticas, y es mejor concentrar la seguridad en otros aspectos mucho más importantes donde media el ser humano y su propio cerebro: políticas de seguridad, configuración de las tecnologías, implementaciones correctas de tecnologías, defensa en profundidad, gestión de riesgos, y otros; son diversas medidas de seguridad que deben ser aplicadas en cualquier red de computadoras si se desea proteger la información, sea cual sea el sistema operativo que se esté utilizando.

Fuente: Segu-Info.com.ar

[1] Google dejaría de utilizar Windows por "cuestiones de seguridad"
http://blog.segu-info.com.ar/2010/06/los-empleados-de-google-abandonan.html
http://blog.segu-info.com.ar/2010/06/excusa-de-seguridad-de-google-para.html
 

‹ OSSIM - OpenSource SIM (Security Information Manager) URLVoid: Scanner de Malware en Website Free. ›
  • Share/Save
  • Inicie sesión o regístrese para enviar comentarios
  • 998 lecturas