Experto opina sobre la seguridad en Linux
Kurt Seifried, experto en seguridad en Linux, da su punto de vista de cómo la seguridad en Linux se ha incrementado y de cuáles son las carencias del sistema. Seifried es parte del equipo técnico de iDefense/Verisign. También está trabajando en un sitio nuevo denominado RiskBloggers.com, revista con artículos sobre seguridad y riesgo.
La entrevista fue realizada por Linux.com.
Linux.com: ¿Es verdad que estás planeando lanzar una lista de seguridad específica de Linux pronto?
Kurt Seifried: Sí, “Tan pronto como tenga tiempo”. Serán básicamente todas las listas de vendedores (Debian, Slackware, etc.) recopiladas en una, de modo que habrá mucho traslape ya que ellos tienden a enviar el mismo software, pero debido a que algunos vendedores son más rápidos que otros para enviar actualizaciones de seguridad, también se proveerá de advertencias anticipadas.
Linux.com: Linux ha estado alrededor de 15 años. ¿Cómo ha cambiado el área de seguridad en Linux en ese tiempo?
KURT SEIFRIED: Ha madurado considerablemente. Los proyectos como SELinux y StackGuard (antes SubDomain) han tenido un verdadero impacto.
Yo uso ahora SELinux en mis servidores y verdaderamente me permite hacer un mejor uso de servicios orientados a Internet como Apache. También hay mucho más software –la instalación Linux promedio cuando comencé era de 50 a 100 megabytes (más o menos del 50% al 70% de mi disco duro disponible en ese momento)-. Ahora, típicamente instalo de uno a dos gigabytes de software (menos del 1% de mi espacio disponible de disco duro). Añadir complejidad y tamaño significa más agujeros potenciales para que aprovechen atacantes.
Linux.com: El año pasado, Microsoft afirmó que la seguridad en Linux es un “mito” y que Linux era “demasiado inmaduro” para usarse en cómputo de tareas críticas. ¿Hay algo de verdad en eso?
KURT SEIFRIED: Microsoft afirma muchas cosas. La mayoría de las grandes compañías afirman muchas cosas. ¿Recuerdas el anuncio de campaña “irrompible” de Oracle? ¿Recuerdas a Microsoft diciendo que tenían controlado el desbordamiento de buffer [ubicación en memoria para almacenamiento temporal] en Windows y que ya no sería un problema? Es la naturaleza de la industria, hay muchas difamaciones (también conocido como FUD).
Linux.com: Mitos de seguridad o no, Linux es más popular hoy de lo que nunca ha sido, especialmente en cómputo de tareas críticas. ¿Esta popularidad creciente cambia algo desde la perspectiva de la seguridad?
KURT SEIFRIED: Sí, pienso que el cambio más grande es el nivel de revisión. Por ejemplo, el reciente Month of Kernel Bugs [Mes de Errores en el Núcleo] encontró numerosas cuestiones en el soporte del núcleo Linux para varios sistemas de archivos, lo que puede conducir a una denegación de servicio local o ejecución de código.
A diferencia de, digamos, el proyecto OpenBSD, que ha estado revisando su código base exhaustivamente durante un largo periodo de tiempo, el código base Linux está relativamente desordenado en ese sentido, pero está mejorando.
Linux.com: ¿Cuáles son las cuestiones importantes en la seguridad Linux hoy en día?
KURT SEIFRIED: La calidad del código sigue siendo pésima, Cuestiones conocidas de seguridad como desbordamiento de buffer, y aún cuestiones simples de creación de archivos continúan acosándonos. Es completamente embarazoso cuando errores de programación de hace 20 años siguen ocurriendo.
Linux.com: Conforme el uso de Linux crece entre usuarios finales, ¿Vamos a ver más software malicioso o Linux es inmune a ello?
KURT SEIFRIED: Ciertamente Linux no es inmune, pero es altamente resistente.
Déjame ponerlo de este modo: ¿Me preocuparía por el software malicioso en servidores?, No en realidad. ¿Me preocuparía por usuarios en hogares haciendo cosas riesgosas que los infecte? Es posible.
Sin embargo, un sistema bien construido y configurado con un usuario que no tiene permitido acceso de administrador sería relativamente inmune a dichos ataques.
Linux.com: ¿Están los usuarios de Linux generalmente en mayor o menor riesgo que usuarios de otros sistemas operativos?
KURT SEIFRIED: Depende cómo defines riesgo en primer lugar. Sólo insertando una caja Linux sin parches con una instalación por defecto de tu distribución favorita es más seguro que insertar una caja Windows sin parches (que sería atacada y comprometida, normalmente en menos de media hora).
Si corres servicios vulnerables en tu máquina, o realizas un uso no seguro de Internet como abrir y ejecutar archivos adjuntos en correos electrónicos o navegas por Internet con navegadores viejos que tienen cuestiones bien conocidas, existen oportunidades de que encuentres problemas a pesar del sistema operativo.
Linux.com: Hay muchas distribuciones allá fuera. ¿Puede alguien ser un experto en “seguridad Linux” hoy en día sin tener que estar por encima de todos los matices de todas las distribuciones, o es otra capa de complejidad que tienen que conocer?
KURT SEIFRIED: Esta bien, la buena noticia es que la mayoría de los sistemas Linux son bastante parecidos. Tienes el mismo tipo de vulnerabilidades y ataques en la mayoría de los casos: permisos pobres de archivo, aplicaciones mal escritas, etc.
Hay, por supuesto, diferencias (¿Dónde caramba! Está el archivo de configuración X? y ¿Porqué permitieron este servicio por defecto?), pero una vez que aprendes los fundamentos del núcleo, como leer páginas de manuales, y probablemente lo más importante de todo cómo usar Google, deberías de estar bien.
Linux.com: Con respecto a la seguridad, ¿Son creadas todas las distribuciones de la misma forma, o son algunas mejores que otras?
KURT SEIFRIED: Algunas distribuciones definitivamente están haciendo un mejor trabajo. Red Hat, por ejemplo, ahora envía una configuración por defecto bastante cerrada – ej. Sendmail sólo presta atención en localhost [sistema de cómputo donde se encuentra trabajando el usuario], no en todas las interfaces. La mayoría de vendedores han abandonado Telnet en beneficio de OpenSSH, etc.
Linux.com: ¿Qué piensas acerca del exceso de distribuciones especiales enfocadas a la seguridad y software de seguridad para Linux como los scripts [conjunto de instrucciones en un programa] endurecidos y paquetes de seguridad añadidos?
KURT SEIFRIED: Siempre que la tecnología de seguridad sea madura, segura, estable, funcional y configurable sin incidentes, estoy totalmente con ella. Pero añadir seguridad compleja, en favor de la seguridad compleja que parece elaborada, casi nunca es una buena idea. Recuerdo una cita de Crispin Cowan que fue algo como, “Sub Dominio significa la diferencia entre tener que correr y parchar el servidor, y caminar hacia el servidor y parcharlo”.
Linux.com: ¿Tienes algunas herramientas favoritas de seguridad Linux?
KURT SEIFRIED: SELinux para seguridad de host [dispositivo conectado a una red] (control suave, pero un monstruo para configurar). Nmap para verificar que las reglas de mi cortafuego son correctas. Emacs para editar archivos para configurar mi sistema de forma segura. Literalmente no hay una herramienta que sea mi favorita, sino en realidad cientos.
Linux.com: ¿Cuál es la cosa más importante que el administrador Linux promedio puede hacer para incrementar la seguridad?
KURT SEIFRIED: Supongo que sería correr el actualizador automático que viene con tu distribución Linux. Solamente eso, minimizará el número de agujeros grandes en tu sistema. La seguridad es una práctica integral, eres tan fuerte como tu eslabón más débil, un atacante sólo necesita encontrar un error para aprovecharse de un sistema.
Linux.com: Así que puede ser dicho que el software nuevo –como en las liberaciones inestables o beta– es en general más seguro que el software viejo, probado que ha estado unos pocos años.
KURT SEIFRIED: No. [El software nuevo] probablemente contiene una tonelada de agujeros de seguridad así como — precisamente unos no tan ampliamente conocidos (aún).
La diferencia es que, una versión más vieja tiene agujeros por los que puedo obtener código para sacar provecho de Packet Storm o Metasploit, y detenerme en la trivialidad. Toma un poco más de tiempo desarrollar código para sacar provecho de los agujeros nuevos.
Linux.com: ¿Todo administrador tiene que ser un experto en seguridad hoy en día?
KURT SEIFRIED: Tristemente sí. Pienso que esto es uno de los defectos más grandes de la mayoría de los sistemas operativos. Para instalar uno y configurarlo para su uso en línea debes de tener un grado de conocimiento de seguridad para hacerlo sin incidentes. La mayoría de las aplicaciones y sistemas operativos fallan de la manera en que no son seguros (ej. El desbordamiento del buffer resulta en ejecución de código más que en un mensaje de error).
Espero que la industria de la computación entrará en un periodo de madurez similar al de, digamos, la industria automotriz, en donde la seguridad y estabilidad se convierten en un factor importante y los productos son diseñados y construidos para ser seguros, fiables e inocuos.
Sin embargo, no pienso que esto vaya a ocurrir pronto, si alguna vez, debido a la cultura general circundante al desarrollo de software.
Fuente: http://www.pcultimate.net/program-one/archives/68/experto-opina-sobre-la-seguridad-en-linux/
___
La entrevista fue realizada por Linux.com.
Linux.com: ¿Es verdad que estás planeando lanzar una lista de seguridad específica de Linux pronto?
Kurt Seifried: Sí, “Tan pronto como tenga tiempo”. Serán básicamente todas las listas de vendedores (Debian, Slackware, etc.) recopiladas en una, de modo que habrá mucho traslape ya que ellos tienden a enviar el mismo software, pero debido a que algunos vendedores son más rápidos que otros para enviar actualizaciones de seguridad, también se proveerá de advertencias anticipadas.
Linux.com: Linux ha estado alrededor de 15 años. ¿Cómo ha cambiado el área de seguridad en Linux en ese tiempo?
KURT SEIFRIED: Ha madurado considerablemente. Los proyectos como SELinux y StackGuard (antes SubDomain) han tenido un verdadero impacto.
Yo uso ahora SELinux en mis servidores y verdaderamente me permite hacer un mejor uso de servicios orientados a Internet como Apache. También hay mucho más software –la instalación Linux promedio cuando comencé era de 50 a 100 megabytes (más o menos del 50% al 70% de mi disco duro disponible en ese momento)-. Ahora, típicamente instalo de uno a dos gigabytes de software (menos del 1% de mi espacio disponible de disco duro). Añadir complejidad y tamaño significa más agujeros potenciales para que aprovechen atacantes.
Linux.com: El año pasado, Microsoft afirmó que la seguridad en Linux es un “mito” y que Linux era “demasiado inmaduro” para usarse en cómputo de tareas críticas. ¿Hay algo de verdad en eso?
KURT SEIFRIED: Microsoft afirma muchas cosas. La mayoría de las grandes compañías afirman muchas cosas. ¿Recuerdas el anuncio de campaña “irrompible” de Oracle? ¿Recuerdas a Microsoft diciendo que tenían controlado el desbordamiento de buffer [ubicación en memoria para almacenamiento temporal] en Windows y que ya no sería un problema? Es la naturaleza de la industria, hay muchas difamaciones (también conocido como FUD).
Linux.com: Mitos de seguridad o no, Linux es más popular hoy de lo que nunca ha sido, especialmente en cómputo de tareas críticas. ¿Esta popularidad creciente cambia algo desde la perspectiva de la seguridad?
KURT SEIFRIED: Sí, pienso que el cambio más grande es el nivel de revisión. Por ejemplo, el reciente Month of Kernel Bugs [Mes de Errores en el Núcleo] encontró numerosas cuestiones en el soporte del núcleo Linux para varios sistemas de archivos, lo que puede conducir a una denegación de servicio local o ejecución de código.
A diferencia de, digamos, el proyecto OpenBSD, que ha estado revisando su código base exhaustivamente durante un largo periodo de tiempo, el código base Linux está relativamente desordenado en ese sentido, pero está mejorando.
Linux.com: ¿Cuáles son las cuestiones importantes en la seguridad Linux hoy en día?
KURT SEIFRIED: La calidad del código sigue siendo pésima, Cuestiones conocidas de seguridad como desbordamiento de buffer, y aún cuestiones simples de creación de archivos continúan acosándonos. Es completamente embarazoso cuando errores de programación de hace 20 años siguen ocurriendo.
Linux.com: Conforme el uso de Linux crece entre usuarios finales, ¿Vamos a ver más software malicioso o Linux es inmune a ello?
KURT SEIFRIED: Ciertamente Linux no es inmune, pero es altamente resistente.
Déjame ponerlo de este modo: ¿Me preocuparía por el software malicioso en servidores?, No en realidad. ¿Me preocuparía por usuarios en hogares haciendo cosas riesgosas que los infecte? Es posible.
Sin embargo, un sistema bien construido y configurado con un usuario que no tiene permitido acceso de administrador sería relativamente inmune a dichos ataques.
Linux.com: ¿Están los usuarios de Linux generalmente en mayor o menor riesgo que usuarios de otros sistemas operativos?
KURT SEIFRIED: Depende cómo defines riesgo en primer lugar. Sólo insertando una caja Linux sin parches con una instalación por defecto de tu distribución favorita es más seguro que insertar una caja Windows sin parches (que sería atacada y comprometida, normalmente en menos de media hora).
Si corres servicios vulnerables en tu máquina, o realizas un uso no seguro de Internet como abrir y ejecutar archivos adjuntos en correos electrónicos o navegas por Internet con navegadores viejos que tienen cuestiones bien conocidas, existen oportunidades de que encuentres problemas a pesar del sistema operativo.
Linux.com: Hay muchas distribuciones allá fuera. ¿Puede alguien ser un experto en “seguridad Linux” hoy en día sin tener que estar por encima de todos los matices de todas las distribuciones, o es otra capa de complejidad que tienen que conocer?
KURT SEIFRIED: Esta bien, la buena noticia es que la mayoría de los sistemas Linux son bastante parecidos. Tienes el mismo tipo de vulnerabilidades y ataques en la mayoría de los casos: permisos pobres de archivo, aplicaciones mal escritas, etc.
Hay, por supuesto, diferencias (¿Dónde caramba! Está el archivo de configuración X? y ¿Porqué permitieron este servicio por defecto?), pero una vez que aprendes los fundamentos del núcleo, como leer páginas de manuales, y probablemente lo más importante de todo cómo usar Google, deberías de estar bien.
Linux.com: Con respecto a la seguridad, ¿Son creadas todas las distribuciones de la misma forma, o son algunas mejores que otras?
KURT SEIFRIED: Algunas distribuciones definitivamente están haciendo un mejor trabajo. Red Hat, por ejemplo, ahora envía una configuración por defecto bastante cerrada – ej. Sendmail sólo presta atención en localhost [sistema de cómputo donde se encuentra trabajando el usuario], no en todas las interfaces. La mayoría de vendedores han abandonado Telnet en beneficio de OpenSSH, etc.
Linux.com: ¿Qué piensas acerca del exceso de distribuciones especiales enfocadas a la seguridad y software de seguridad para Linux como los scripts [conjunto de instrucciones en un programa] endurecidos y paquetes de seguridad añadidos?
KURT SEIFRIED: Siempre que la tecnología de seguridad sea madura, segura, estable, funcional y configurable sin incidentes, estoy totalmente con ella. Pero añadir seguridad compleja, en favor de la seguridad compleja que parece elaborada, casi nunca es una buena idea. Recuerdo una cita de Crispin Cowan que fue algo como, “Sub Dominio significa la diferencia entre tener que correr y parchar el servidor, y caminar hacia el servidor y parcharlo”.
Linux.com: ¿Tienes algunas herramientas favoritas de seguridad Linux?
KURT SEIFRIED: SELinux para seguridad de host [dispositivo conectado a una red] (control suave, pero un monstruo para configurar). Nmap para verificar que las reglas de mi cortafuego son correctas. Emacs para editar archivos para configurar mi sistema de forma segura. Literalmente no hay una herramienta que sea mi favorita, sino en realidad cientos.
Linux.com: ¿Cuál es la cosa más importante que el administrador Linux promedio puede hacer para incrementar la seguridad?
KURT SEIFRIED: Supongo que sería correr el actualizador automático que viene con tu distribución Linux. Solamente eso, minimizará el número de agujeros grandes en tu sistema. La seguridad es una práctica integral, eres tan fuerte como tu eslabón más débil, un atacante sólo necesita encontrar un error para aprovecharse de un sistema.
Linux.com: Así que puede ser dicho que el software nuevo –como en las liberaciones inestables o beta– es en general más seguro que el software viejo, probado que ha estado unos pocos años.
KURT SEIFRIED: No. [El software nuevo] probablemente contiene una tonelada de agujeros de seguridad así como — precisamente unos no tan ampliamente conocidos (aún).
La diferencia es que, una versión más vieja tiene agujeros por los que puedo obtener código para sacar provecho de Packet Storm o Metasploit, y detenerme en la trivialidad. Toma un poco más de tiempo desarrollar código para sacar provecho de los agujeros nuevos.
Linux.com: ¿Todo administrador tiene que ser un experto en seguridad hoy en día?
KURT SEIFRIED: Tristemente sí. Pienso que esto es uno de los defectos más grandes de la mayoría de los sistemas operativos. Para instalar uno y configurarlo para su uso en línea debes de tener un grado de conocimiento de seguridad para hacerlo sin incidentes. La mayoría de las aplicaciones y sistemas operativos fallan de la manera en que no son seguros (ej. El desbordamiento del buffer resulta en ejecución de código más que en un mensaje de error).
Espero que la industria de la computación entrará en un periodo de madurez similar al de, digamos, la industria automotriz, en donde la seguridad y estabilidad se convierten en un factor importante y los productos son diseñados y construidos para ser seguros, fiables e inocuos.
Sin embargo, no pienso que esto vaya a ocurrir pronto, si alguna vez, debido a la cultura general circundante al desarrollo de software.
Fuente: http://www.pcultimate.net/program-one/archives/68/experto-opina-sobre-la-seguridad-en-linux/
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!