Random IRC quote :      <poderelfo> Elena Nito Del Bosque
Los debuggers y el principio de incertidumbre
¿Poltergeist?

¿Firefox o Explorer? ¿Windows o Linux? ¿Verdad o Mentira?

221.jpgMe acaba de salir la pantallita del firefox avisándome que está lista la actualización de la versión 1.5.0.4. Pincho en «Detalles» y veo que han arreglado 12 fallos de seguridad, 7 de ellos críticos, lo que quiere decir que permiten la ejecución de código arbitrario sin la intervención del usuario.

Y yo me pregunto: ¿Por qué callan aquellos que ante la mínima vulnerabilidad de Internet Explorer ponen el grito en el cielo?. Que nadie se lleve a engaño, no estoy defendiendo al Internet Explorer. Soy usuario de Firefox porque me resulta más agradable de usar, más estético, tiene pestañas y es Open Source. En el tema de la seguridad, bien, que el 98% del malware intente explotar vulnerabilidades en el Explorer es un punto a favor del Firefox, pero eso no quiere decir que sea más seguro. A los datos me remito.

De hecho con una adecuada configuración del Internet Explorer y tocando algunas claves en el registro, se puede navegar con total tranquilidad. Parece ser que en Windows Vista Internet Explorer correrá en un mode protegido por defecto. Ya era hora.
A mi modo de ver el verdadero problema de los navegadores, aparte del Javascript, son los plugin de terceros, muchos de ellos marcados como «Safe», lo que quiere decir que a menos que especifiquemos lo contrario, el navegador no nos mostrará ningún tipo de confirmación para reproducir los archivos asociados: flash, quicktime,pdf etc…

Por ejemplo,tener activado el plugin de Quicktime como «Safe» es un auténtico suicidio para la seguridad. Realmente, los programadores de Quicktime o pasan olímpicamente o no hay nadie que les haya explicado cómo escribir código seguro. La única protección que tiene ese plugin es que está compilado con el flag «/GS» y aun así, esta protección te la puedes saltar, en cierta vulnerabilidad, sin demasiada dificultad. La última actualización del Quicktime solucionó ¡21 fallos críticos!. Y todavía quedan… ;).
No hace mucho descubrí un stack overflow en la forma en que se maneja el plugin de Acrobat para Mozilla/Firefox(www.reversemode.com/pdfbug/poc.html). Teóricamente, no es explotable o al menos extremadamente dificil explotarlo con éxito, ya que es una situación recursiva y el stack overflow se produce debido al consumo de toda la stack, no a un buffer overflow. Aun así, bajo determinadas circunstancias de carga del navegador es posible, (sólo lo conseguí una vez) ejecutar código arbitrario en una dirección marcada por valores fijos a cada sesión. Sólo es un ejemplo de lo que podría pasar con un bug explotable en un plugin tan masivamente usado como el de Acrobat Reader o Macromedia Flash. Ambos navegadores podrían verse afectados.

En estos tiempo de «mi ubuntu mola», «en mi turubuntu chiniwini 3.0 no me funciona, pero si me instalado madriva chuniwani 5.0 me va perfectamente» conviene recordar que nada «mola porque sí». Si les preguntas a usuarios de OpenBSD: «linux es lamentable». Si les preguntas a algunos usuarios de linux: «Windows es lamentable» y así sucesivamente. Pero realmente, muy pocos de ellos sabrán mantener con argumentos sólidos y técnicos esas afirmaciones(bueno, de OpenBSD creo que la mayoría sí ). Con esto quiero decir que, por favor, antes de pronunciar verdades absolutas seamos más humildes e intentemos ser objetivos defendiendo nuestras ideas y preferencias, alejándonos de modas. Nadie es más «hacker» por usar Firefox-Internet Explorer, Linux-Windows… sino por saber usarlos realmente y comprenderlos.

No deberíamos creernos nada a no ser que lo viéramos por nosotros mismos, y aun así deberíamos dudar. ¡Conspiranoicos del mundo, uníos! ¡y a ser posible, los proletarios también !

Por: Ruben Santamarta | 06/02/06 | Noticias | Trackback | Comentarios [RSS 2.0]

6 Comentarios para “¿Firefox o Explorer? ¿Windows o Linux? ¿Verdad o Mentira?”

  1. vmalvarez
    Comment por vmalvarez | 06/02/06 at 11:26 pm

    Totalmente de acuerdo. El mundo de los sistemas operativos es como el de las religiones, hay Windows-Católicos, GNU/Linux-Protestantes, OpenBSD-Budistas, MacOS-Musulmanes… con sus Gates-Benedictos, Stallman-Luteros y Wozniak-Mahomas… y cada una con sus simpatizantes, sus críticos, sus devotos, sus falsos profetas y hasta sus fanáticos. Lo mejor: ser ateo, estudiarlas todas pero no creer ciegamente en ninguna. Los ordenadores ni tienen alma ni funcionan mejor a base de fé.

  2. mballano
    Comment por mballano | 06/03/06 at 7:44 am

    Está claro, estoy ya cansadisimo de oir sobre todo a los linuxeros (será que es con los que más me encuentro) que se han probado los diezmil paquetes de su debian y todos y cada uno de ellos son mejor que cualquier soft comercial …. por favor!, intentemos ser un poco objetivos…

    Yo personalmente soy usuario de Windows y linux más o menos a partes iguales, cada cosa la hago donde más me apetece o donde más cómodo me siento, hay muchisimas cosas con las que sólo trabajo en Linux, de hecho el servidor que aloja esta página se encuentra en una Debian instalada en un cutre AMD 300 del año la polka, pero ahí está! :-).

    Lo que estoy harto es de tópicos del estilo:

    – Windows está lleno de bugs (¿Y quien está libre de ellos? … quizá lo único que se acerque a un modelo de seguridad aceptable sea OpenBSD como bien comentaba Rubén arriba, aunque claro eso tiene un precio, es decir… no esperes que las últimas tecnologías estén implantadas)
    – El kernel de Windows es una m**rda comparado con el de Linux. (Perdonad que me ria queridos linuxeros… )
    – Linux es mucho mejor porque está documentado todo y puedes mirar el fuente de lo que te apetezca (mwhahaha, si si, poder puedes mirar lo que quieras ahora que sea facilmente comprensible es otra cosa y por cierto estoy esperando la «MSDN» de Linux …. )
    – Los usuarios de Windows son tontos (Si, todos somos tontos y ninguno tenemos ni idea de nada)
    – Los usuarios de Linux son frikis (Sí, todos tenemos porrones de gadgets, camisetas de juegos de rol, las paredes del cuarto forradas con posters de matrix, adoramos a Linus Torvalds o al Stallman y no salimos nunca de la mazmorra )

    En fin … BASTA YA de idioteces!!, hay que perseguir la objetividad, aunque parece que a algunos les va a costar mucho trabajo…

    Un saludo,

  3. lebrel
    Comment por lebrel | 06/03/06 at 11:13 pm

    Amen. Creo que con firefox esta pasando lo mismo que con OpenOffice y el resto del software libre que esta ganado notoriedad. Soy de la opinión que si es para los productos de M$ para los que se reportan más fallos es únicamente porque son los más extendidos, los que provocan más repercusión mediatica y proporcionan más notoriedad para el descubidor.

    Por supesto el aspecto económico tambien tiene mucha culpa, no creo que sea casualidad que empresas como iDefense paguen más por vulnerabilidades de productos de M$ que por otras (de esto sabe más ruben, seguro). Hasta las estadísticas nos hablan de X vulnerabilidades por cada Y número de lineas de código, y las estadísticas no entienden de compañías, esos datos son tan válidos para productos de M$ y los de código propietario como para los open surce. La única diferencia esta en cual es el software que atrae más la ateción de los investigadores de vulnerabilidades (creo que este mes están de moda las bases de datos).

    Por otro lado soy de la opinión que, en ocasiones, es más interesante buscar fallos en aplicaciones menos extendidas… seguro que nos enendemos. 😉

    S2

  4. ggonzalez
    Comment por ggonzalez | 06/04/06 at 4:27 pm

    Totalmente de acuerdo con las cosas que pleanteais sobre los fanatismos informaticos, aunque yo particularmente,haya sido bastante fanatico en algunos temas, el tiempo te hace ver las cosas un poco mas claras, es decir, que lo que pensaba era cierto 😛

    En cuanto a los temas de fallos de seguridad en productos software, yo creo que problema radica de que no se le da la importancia al que tiene a los desarrollos informaticos, aunque la cosa esta cambiando.
    Como poca gente se preocupa por hacer las cosas bien, poca gente esta formado para escribir codigo «seguro» o bien hecho y todo es una cadena.
    Es intolerable que el software propietaro tenga fallos tan graves que permitan el robo de informacion confidencial, pero tambien es intolerable que el software libre, open source, tenga fallos criticos!
    Que pasaria si un voluntario de la Cruz Roja hiciera mal su tareas «criticas»?

    Quizas no haya sido todo lo claro que me hubiera gustado, pero seguro que me habeis entendido.

  5. Ivan Hernandez
    Comment por Ivan Hernandez | 07/20/06 at 5:13 pm

    Lo mismo pienso. En particular, uso ambos, aunque en mi trabajo (administro redes) se usa la plataforma de Microsoft. Si el software de microsoft, puede tener una gran falla, es la facilidad de uso. Por eso es que es inseguro en algunos sitios, porque ponen un mono que uso alguna vez windows, y facilmente le encargan toda una red. Pero volvemos al punto, el fallo no es el software, sino el que lo maneja. Dicho caso no sucede con linux, porque probablemente, se ha sentado a leer par de libros de varias paginas, debido a su dificultad.
    Lo que quiero expresar, es que la falla no es el software, si no el usuario. el hacker, no es el que usa este o aquel, es el que sabe usar efectivamente todas las opciones de que dispone, en la plataforma «x». hay que entender, que no es un asunto de software si no de conocimiento del mismo…

  6. Anónimo
    Comment por Anónimo | 05/08/08 at 10:07 pm

    Alguien sabe donde puedo encontrar estadisticas fiables de vulnerabilidades clasificadas por sistemas operativos? La razón es que estoy haciendo una investigación para intentar averiguar qué sistema operativo es más seguro y necesito datos fiables.

    Un saludo

Se han cerrado los comentarios

48Bits Blog is proudly powered by WordPress & equiX.
Code is Poetry | CSS | XHTML