En respuesta al informe realizado por Forrester acerca de que sistema operativo (
ver aqui)es mas fiable, si Linux o Windows, las mayores distribuciones de Linux se han unido para realizar este comunicado comun(esta es una de mis traducciones para mandrake):
Los desarrolladores de GNU/Linux, Debian, Mandrakesoft, Red Hat, y SUSE se han unido para realizar un comunicado conjunto en respuesta al informe publicado por Forrester y titulado "Is Linux more Secure than Windows?" (¿Es Linux mas seguro de Windows?). Aunque el informe asegura incluir una vision cualitativa acerca de la reaccion de los Desarrolladores ante vulnerabilidades serias, las trata todas de igual manera, sin tener en cuenta el riesgo real para el usuario. Como resultado, la conclusion a la que llega Forrester limita extremadamente su utilidad en el mundo real, para que los usuarios puedan determinar en la practica como de rapido se resuelven las vulnerabilidades serias.
Los Equipos de Respuesta de Seguridad de los distribuidores de GNU/Linux, Debian, Mandrakesoft, Red Hat y SUSE han ayudado a Forrester a recopilar y corregir datos sobre las vulnerabilidades de en sus productos. Los datos recopilados fueron utilizados en Forrester para un informe que se convirtió en "Is Linux more Secure than Windows?". Mientras que los datos sobre las vulnerabilidades de Linux que que forman la base de este informe se consideran suficientemente exactos y útiles, Debian, Mandrakesoft, Red Hat y SUSE, de ahora en adelante "Nosotros", estamos preocupados acerca de la corrección de las conclusiones realizadas en el informe.
Creemos que está en el interés de nuestros usuarios y de la comunidad OpenSource de responder al informe de Forrester mediante una declaración conjunta:
Forrester entro en contacto con nosotros en Febrero de 2004 para que le ayudaramos a refinar sus datos en bruto. Forrester recolecto datos sobre las vulnerabilidades que afectaron a Linux durante el periodo de un año y observó cuantos dias nos tomo el proveer a nuestros usuarios de una solucion. Se han tomado grandes esfuerzos, no solo en que los datos subyacentes sobre las vulnerabilidades fueran correctos, sino tambien en articular los especiales cuidados tecnicos y organizativos tomados en el proceso de respuesta en el campo de la Seguridad profesional del Software Libre. Esta maestria es muy apreciada por nuestros usuarios, puesto que agrega un valor añanido a nuestros productos, pero comprobamos que la mayoria de este valor ha sido ignorado en la metodologia utilizada en el analisis de los datos de las vulnerabilidades, llegando a conclusiones erroneas.
Nuestros Equipos de Respuesta de Seguridad y nuestras organizaciones especializadas en seguridad de reputacion reconocida ( como el CERT/DHS, BSI, NIST, NISCC) intercambian informacion acerca de vulnerabilidades y cooperan en las medidas y los procedimientos para reaccionar ante ellas. Cada vulnerabilidad es investigada y evaluada individualmente, la peligrosidad de la vulnerabilidad es determinada por cada uno de los equipos individuales, basandose en el riesto y el impacto, teniendo tambien en cuenta otras caracteristicas tecnicas, como las caracteristicas de la vulnerabilidad y del software afectado. Esta peligrosidad es entonces usada para determinar la prioridad que se le otorgara para reparar la vulnerabilidad, comparandola con la prioridad de otras vulnerabilidades que se encuentren en nuestra cola de trabajo. Nuestros usuarios saben que en casos de fallos criticos nuestro tiempo de respuesta puede reducirse a unas horas. Esta priorizacion hace que en vulnerabilidades de peligrosidad mas baja seran retrasadas para solventar primero las vulnerabilidades mas criticas.
Aunque el Informe de Forrester asegura que asi lo hace, realmente no hace esa distincion cuando mide el tiempo transcurrido entre el conocimiento de una vulnerabilidad, y la disponibilidad de una solucion para el problema. Para cada Distribuidor, el informe da apenas unos simples datos, una media entre los dias que pasan desde que se descubre una vulnerabilidad, hasta que una solucion para ella esta disponible, esto produce una imagen distorsionada de la realidad que perciben nuestros usuarios. Lo cierto es que esa media trata todas las vulnerabilidades por igual, sin importar su riesgo y su importancia. No todas las vulnerabilidades tienen un impacto igual en todos los usuarios. Se ha tratado de aplicar a las vulnerabilidades una severidad utilizando datos de otras fuentes, sin embargo la clasificacion de vulnerabilidades de "alta importancia" no es suficiente. El mero hecho de que una vulneravilidad sea publicada por una Organizacion de Seguridad externa no hace necesariamente grave a esa vulnerabilidad- de forma similar, la capacidad de explotar una debilidad sobre la red (remota) es a menudo inaplicable a la severidad de la vulnerabilidad.
Nosotros creemos que el Informe no trata de igual manera a los distribuidores de software libre y al unico distribuidor de software de codigo cerrado. El Software de Codigo Abierto es conocido por su variedad y por la libertad de elegir entre los estandares definidos. Multiples implementaciones de estos estandars son puestas a disposicion tanto de los usuarios e escritorio como de los servidores, que dan a los usuarios la libertad de elegir el software basandose en su propio criterio mas que en los del distribuidor. La franqueza, la transparencia y la trazabilidad del codigo fuente es un valor añadido en añadidura a la larga variedad de los paquetes de software disponibles. Finalmente el hecho de que uno de los distribuidores de software haya arreglado el 100% de sus defectos durante el periodo del informe debe ser un incentivo para una revision mas exhaustiva de las conclusiones que el Informe presenta.
firmado,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmueller, SUSE
