miércoles, 31 de octubre de 2007

Protección contra las Vulnerabilidades

Por Pat Edmonds
Gerente de Producción Senior, Microsoft Corporation


Cuando de Protección contra las Vulnerabilidades se Trata, el Proceso No Respeta a una "Mayor Cantidad de Observadores".

Existen diferencias sustanciales en la forma en que los modelos del Servidor de Windows (Windows Server) y el de Linux son desarrollados. Microsoft pone el énfasis en la implementación de un modelo de desarrollo que permita la inclusión de los atributos del software de importancia en el proceso de planificación. Un ejemplo muy claro de esto es la interoperabilidad. La interoperabilidad por diseño es el elemento clave que es habilitado a través del modelo de desarrollo de Microsoft.Al tomar en cuenta las necesidades de la interoperabilidad de la amplia base de datos de clientes de Microsoft, que incluye la necesidad de intercambiar datos sobre software y hardware de más de 100.000 otras compañías, durante la fase de diseño, Microsoft puede implementar los estándares adecuados y cimentar relaciones con otros proveedores para ayudar a sobrellevar dicho peso a los clientes que precisan integrar los productos de Microsoft con el software de otros proveedores incluyendo aquellos de código abierto.

Estas diferencias en modelos también se pueden traducir a las diferencias de seguridad en el mundo real para los clientes:

Cómo se identifican, informan y reparan los errores/virus.

La reducción de la severidad de las vulnerabilidades.

La reducción del total de Días de Riesgo para Windows en relación a Linux.

La seguridad es a menudo considerada cómo de suma importancia al momento de la decisión de compra del sistema operativo de un servidor. La realidad es que los Servidores de Linux y de Windows tienen filosofías muy diferentes sobre la seguridad de la información, que se traducen en experiencias diferentes para sus clientes. Luego de años de construir y mejorar un enfoque céntrico del proceso para el desarrollo de la seguridad, resulta claro que el modelo del Ciclo de Vida del Desarrollo de la Seguridad de Microsoft contribuye a que la plataforma del servidor de Windows sea altamente segura para cualquier empresa.

Nadie precisa decirle a los CIOs (por su sigla en inglés Chief Information Officers o Gerente Global del Área de Sistemas) que los riesgos a la seguridad de la información son cada vez más altos. De acuerdo con Forrester, un 10 por ciento promedio de los presupuestos de TI son destinados a la seguridad, 1 y por una buena razón. Por ejemplo:

Un estudio reciente de Consumer Reports estima que los esquemas de los virus de Internet, spyware y phishing (fraude electrónico) le han costado a los consumidores de los EE.UU. más de US$ 7 billones en los últimos dos años, y que la oportunidad de convertirse en una víctima cibernética es de 1 en 4.2

Uno de cada diez sitios Web son infectados con malware.3

En el 2006, el promedio del costo total en el que incurre una organización por informe de cliente perdido es de $182, con un aumento del 30 por ciento en el 2005. Desde febrero de 2005, el Centro de Distribución de Información de los Derechos Reservados (Privacy Rights Clearinghouse) ha identificado más de 93 millones de registros de residentes de los EE.UU. que han sido expuestos debido a violaciones a la seguridad.4

Un estudio recientemente conducido por la Asociación de Administración de Empresas (Enterprise Management Associates) de seis compañías con datos revelados públicamente por violaciones a la seguridad hace notar que el precio promedio de estas compañías disminuyó en un 5 por ciento al décimo sexto día hábil luego de la revelación (aproximadamente 3 semanas más tarde). Para las cuatro compañías cuyos precios en las acciones pueden ser rastreados hasta hace un año atrás, sus promedios permanecieron dentro de un rango del -2,4 por ciento del 8,5 por ciento hasta 195 días hábiles subsiguientes al episodio (aproximadamente 9 meses). El promedio no alcanzó el nivel pre-revelación hasta 229 días hábiles más tarde- casi un año después.5 (Vea la figura debajo. Las líneas en colores representan las compañías analizadas objeto del estudio).

Figure 1

Los cambios en los Precios de Cierre de las Acciones de las Seis Compañías que Informaron Violaciones a la Seguridad de la Información, Febrero 2005- Junio 20065

Cuando nos referimos a contrarrestar las amenazas a la seguridad, Windows y Linux adoptan enfoques totalmente diferentes.Tanto los vendedores de Microsoft y aquellos de la compañía líder Linux podrían utilizar un número de técnicas y herramientas de seguridad probadas similares, pero las filosofías de desarrollo de Windows y Linux son divergentes.

Por ejemplo, las distribuciones de Linux siguen el modelo de desarrollo de código abierto, que brinda flexibilidad a los usuarios para personalizar el código. Dependiendo de las intenciones y las habilidades del usuario, Linux puede personalizarse tornándose extremadamente seguro; en realidad, al punto de que existen anécdotas sobre usuarios que han personalizado SELinux al punto tal que luego no podían iniciar la sesión nuevamente. Con esta capacidad de personalización, sin embargo, se conlleva la responsabilidad en aumento por parte del usuario de asegurar el código. Las distribuciones más importantes soportadas por Linux tienen provisiones en sus contratos para parar su soporte del producto, incluyendo el soporte de seguridad como administración de parches, una vez que el código ha sido personalizado más allá de cierto punto.

Además, existe una percepción generalizada dentro de la comunidad Linux: "los ojos de muchos observadores hacen que los virus pierdan su fuerza", una referencia a la creencia de que la naturaleza comunitaria de Linux y su código abierto y visible alientan y permiten a que un mayor número de usuarios identifiquen virus y errores y ofrezcan las recomendaciones para la resolución de los problemas que estos presentan. En realidad, el mantra de la “mayor cantidad de observadores” para la seguridad de Linux ha sido ampliamente desaprobado por dos razones primordiales. Primero, asume que todos los "ojos observadores" se encuentran calificados para saber que están buscando. En realidad, la pericia en el área de seguridad no es mayormente conocida entre la mayoría de los usuarios, y constituye, un grupo de habilidades y prácticas bastante raras y valoradas. Segundo, el argumento del “mayor número de observadores” implica que todos los “ojos de los observadores” quieran en forma voluntaria examinar con detenimiento el código en busca de virus y errores.En realidad, la resolución de problemas y el código de evaluación no son necesariamente uno de los pasatiempos más excitantes para muchos desarrolladores voluntarios, quienes preferirán dedicar su tiempo libre a la creación de la próxima gran aplicación.Como resultado, no es sorprendente que Ben Laurie, Director de Seguridad de la Fundación Apache, haya dicho que “aunque todavía es usado a menudo como un argumento, me parece bastante claro que el argumento de la `mayor cantidad de ojos observadores´, no se aplica al tema de la seguridad” .6

La falta de un enfoque céntrico de proceso sobre la administración de seguridad parece estar al día con el desarrollo de Linux, dado que Linux se convierte en un proceso más complejo día a día. Andrew Morton, Líder Mantenedor del Kernel de Linux, ha dejado entrever, "Creo que el kernel 2.6 se está llenando de virus lentamente.Parece que estamos agregando virus a una tasa mayor de la que los estamos reparando".También notó que algunos pocos desarrolladores se encuentran motivados a trabajar para reparar virus y errores.7 Jonathan Corbet, co-fundador de LWN.net, comentó recientemente que “Los desarrolladores de Linux parecen permitir que los informes de los virus y errores se deslicen a través de las fracturas.Con 1.500 virus de núcleo en el sistema de rastreo, y 50 sin respuesta en la lista de correo, ¿precisan los desarrolladores un mejor proceso o tan sólo nuevas prioridades?”8

A diferencia del modelo de Linux, Microsoft promociona la seguridad de sus productos a través del Ciclo de Vida de Desarrollo de Seguridad (Security Development Lifecycle o SDL)El SDL surgió de un famoso memorando de Bill Gates9 en 1992 que marcaba el curso de Microsoft en dirección a convertirse en un líder en el área de la seguridad después de años de (generalmente justificadas) preocupaciones de clientes sobre el compromiso de Microsoft para con la seguridad.El propósito del SDL es doble:Reducir el número de vulnerabilidades en el código y reducir la severidad de los virus que se filtran por el.Dado que es virtualmente imposible atrapar todas las vulnerabilidades, la clave consiste en asegurar un proceso disciplinado capaz de identificación y corrección de los virus y errores de la forma más adecuada y priorizada que sea posible. (Más información sobre el SDL en un lanzamiento Web reciente con John Pescatore de Gartner and Michael Howard y James Whittaker de Microsoft).

La ventaja del SDL consiste en que la seguridad es “cocinada dentro” de los productos de Microsoft a cada paso del desarrollo a través de una serie de portales y controles severos de seguridad realizados por expertos.La seguridad también se ver reforzada en el desarrollo del producto a través de las amplias inversiones que Microsoft continua realizando en el área de capacitación para la seguridad y la prioritización ejecutiva de arriba a abajo para asegurarse que esta sea parte de la cultura corporativa. Como parte de este compromiso, Microsoft invirtió más de US$ 200 millones en la capacitación de más de 13.000 empleados de Windows en técnicas de desarrollo centradas en la seguridad y nuevos procesos de ingeniería, resultando en una revisión de la seguridad línea por línea del Servidor de Windows 2003.10 En un giro del modelo de Linux de “muchos ojos observadores”, Microsoft a menudo realiza versiones de pre-lanzamiento de su software disponible y tiene un amplio programa interno de “autoalimentación de seguimiento” para que los empleados evalúen los betas y brinden información al respecto. Por ejemplo, más de 2.25 millones de copias de prelanzamiento del Windows Vista fueron distribuidas,11 para ayudar a asegurar su estabilidad y que cumpliese con los requisitos del mundo real. Diferente al modelo de “muchos ojos observadores” de Linux, los productos de Microsoft son probados por un número de profesionales dedicados cuyo sustento se base en su capacidad para encontrar y solucionar problemas en los códigos. Dicho de otro modo, más de 2.500 evaluadores llevan a cabo evaluaciones y pruebas del Servidor de Windows 2003 (Windows Server 2003).12

La seguridad no termina con el desarrollo del SDL. Cuando surge un problema con un software, los clientes pueden enviar un informe anónimo a Microsoft.Los temas relacionados con la falla en los sistemas involucran el servicio de Análisis de Caídas en Línea de Microsoft, que realiza una investigación e informa más en detalle. Los datos son utilizados para mejorar los últimos productos, y de ese modo reforzar las lecciones aprendidas en lanzamientos futuros y manejar un ciclo de seguridad de mejora continua.

Un área de seguridad en la que Microsoft se ha dejado estar detrás de Linux ha sido la habilidad de esta última para personalizar las distribuciones para excluir componentes innecesarios, y por este medio reducir el área de superficie de la vulnerabilidad del producto. Con el Servidor de Windows 2008, Microsoft ha dado un gran paso en la misma dirección permitiendo a los usuarios desmontar aplicaciones innecesarias para reducir el área de superficie de vulnerabilidad a través del Núcleo del Servidor. La instalación del Núcleo del Servidor es tan sólo una fracción del tamaño de la Instalación del Servidor de Windows porque excluye un número de características de Windows tradicionales, incluyendo la interfaz del usuario gráfico de Windows (a excepción de una capacidad de un conjunto mínimo de gráficos), el Microsoft Internet Explorer y el Windows File Explorer.

Dadas las diferencias obvias en el enfoque de la seguridad que Linux y Windows poseen, ¿qué resultados brindan estos a los clientes? Mediante cualquier tipo de medida, el SDL ha brindado a los clientes de Windows menor cantidad de vulnerabilidades en los sistemas operativos.En una comparación recientemente llevada a cabo de las vulnerabilidades en los sistemas operativos en cuestión durante los primeros seis meses de sus lanzamientos, el Windows Vista tuvo bastante menos vulnerabilidades que sus rivales de Linux. Además, a modo de evidencia adicional del ciclo de mejora continua generado por el SDL, el Windows Vista también tuvo menos de la mitad del número de vulnerabilidades que su predecesor, el Windows XP, tuvo a los seis meses de su lanzamiento.13 (Vea las cifras debajo.)

Figure 2

De la misma maneara, una comparación de las vulnerabilidades entre el Windows Server 2003 y sus rivales empresariales de Linux desde enero a julio del 2007 mostraron que el Windows Server 2003 tuvo muchas menos vulnerabilidades, incluyendo menor cantidad de vulnerabilidades de alta criticidad.14 (Ver las cifras debajo).

Figure 3

Al comparar la seguridad entre diferentes productos, una medida común de la vulnerabilidad es la de los Días de Riesgo (DoR).Las DoR miden el tiempo desde el cual la vulnerabilidad ha sido públicamente dada a conocer hasta que una actualización de un proveedor se encuentra disponible para dar fin a dicha vulnerabilidad.

En una comparación de Microsoft, Red Hat, Novell, Sun y Apple llevada a cabo en el 2006 con respecto al promedio de Días de Riesgo, Windows demostró nuevamente ser más seguro que sus rivales, incluyendo sus rivales de Linux. El análisis agrego múltiples versiones de productos para cada proveedor dado que muchos clientes habían implementado varias versiones. Los resultados indican que, en promedio general los clientes que utilizan el Windows arriesgan exponerse a las vulnerabilidades, incluyendo aquellas del tipo de gran criticidad, por un período significativamente más corto de tiempo que aquellos quienes utilizan los sistemas operativos del rival. El Novell Enterprise Linux tuvo un DoR promedio de más de 2.5 de duración que el de Windows, y el Red Hat Enterprise Linux tuvo un DoR promedio de casi 4 veces más de duración que el de Windows.Además, los clientes del Novell Enterprise Linux fueron expuestos a vulnerabilidades del tipo severo casi dos veces más frecuentemente que los usuarios de Windows, y los clientes del Red Hat Enterprise Linux fueron expuestos a vulnerabilidades del tipo de alta criticidad con una frecuencia en más de 3 veces que los usuarios de Windows.15 (Ver las cifras debajo).

Figure 4

Windows y Linux son desarrollados y soportados a través de diferentes modelos, y estos enfoques divergentes llevan a diferentes experiencias de seguridad e interoperabilidad para los usuarios finales.En la elección entre el Windows y el Linux, el enfoque céntrico del proceso SDL disciplinado así como la interoperabilidad por diseño, han permitido que el modelo de desarrollo de Microsoft ofrezca beneficios convincentes para los clientes. El enfoque de Microsoft brinda a los clientes elecciones reales en lo que se refiere a estructura y les brinda seguridad en cuanto a las elecciones que estos realicen.

Más información sobre la comparación de la seguridad ofrecida por Microsoft y Linux en http://www.microsoft.com/windowsserver/compare/linux/security.mspx

Fuentes

1.

Investigación Forrester, citado textualmente del artículo por Joanne VanAuken, “Proveedores de Servicios de Seguridad Administrada (Managed Security Service Providers),” Network Computing.com, 3 de agosto de 2006. http://www.networkcomputing.com/showArticle.jhtml;jsessionid=NGR54YQR132R0QSNDLPCKH0CJUNN2JVN?articleID=191203015&pgno=10

2.

Consumer Report's 2007 "El Estado de la Red" un estudio, como se lo brinda en Brian Prince, “Encuesta: El Costo del Crimen Cibernético Alcanza los $7B (Survey: Cost of Cybercrime Reaches $7B),” eWeek, 6 de agosto de 2007. http://www.eweek.com/article2/0,1759,2167203,00.asp

3.

Investigación Forrester, analista Chenxi Wang, citado textualmente de Brian Prince, “Encuesta: El Costo del Crimen Cibernético Alcanza los $7B (Survey: Cost of Cybercrime Reaches $7B),” eWeek, 6 de agosto de 2007. http://www.eweek.com/article2/0,1759,2167203,00.asp

4.

Estudio del Instituto Ponemon patrocinado por Vontu, Inc., y PGP Corp, “Estudio Annual 2006: El Costo de una Violación de Seguridad a la Información.” http://www.pgp.com/downloads/research_reports/index.html

5.

Asociados para la Administración de Empresas, “La Convergencia de la Administración de la Seguridad y los Sistemas: Hacia la Eficacia de la TI (The Convergence of Security and Systems Management: Towards IT Efficacy),” Abril de 2007. http://download.microsoft.com/download/2/7/9/27940DDA-2B42-460A-A921-6D9E5B1226EE/EMA_Microsoft-Security-SystemsMgmt_WP.PDF

6.

Ben Laurie, “Open Sources 2.0,” p. 60. http://safari.oreilly.com/0596008023/opensources2-CHP-4-SECT-1

7.

Andrew Morton, citado textualmente de Ingrid Marson, “El Núcleo de Linux `cada vez contiene más virus y errores,' dice su líder”, CNet News.com 6 de mayo 2006. http://www.news.com/Linux+kernel+getting+buggier,+leader+says/2100-7344_3-6069363.html

8.

Jonathan Corbet, “El Espacio de Kernel: ¿Están los desarrolladores de Linux ignorando los informes de error?” LinuxWorld.com, 12 de septiembre 2007. http://www.linuxworld.com/news/2007/091207-kernel.html?page=3

9.

Bill Gates, “Bill Gates: Informática Confiable,” Wired.com, 17 de enero de 2002. http://www.wired.com/techbiz/media/news/2002/01/49826

10.

Microsoft, “El Servidor de Windows 2003 en Números: Uno de los Lanzamientos más Grandes de Productos en la Historia de Microsoft,” 23 de abril de 2003. http://www.microsoft.com/presspass/features/2003/apr03/04-23WinServerFacts.mspx

11.

Microsoft, “El Caso Comercial del Windows Vista”. 2007.

12.

Microsoft, “El Servidor de Windows 2003 en Números.” http://www.microsoft.com/presspass/features/2003/apr03/04-23WinServerFacts.mspx

13.

Jeffrey R. Jones. “Informe de Vulnerabilidades del Windows Vista para los últimos seis meses”, CSO.com, 15 de junio de 2007. http://www.csoonline.com/pdf/6_Month_Vista_Vuln_Report.pdf

14.

Jeff Jones, “Julio de 2007 – Puntuación de Vulnerabilidad del Sistema Operativo,” Technet.com, 16 de agosto de 2007. http://blogs.technet.com/security/archive/2007/08/16/july-2007-operating-system-vulnerability-scorecard.aspx

15.

Jeff Jones, “Días de Riesgo en el 2006: Linux, Mac OS X, Solaris y Windows”, CSO.com, 13 de junio de 2007. http://blogs.csoonline.com/days_of_risk_in_2006


Fuente: http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/octubre/sm1007.mspx