[Solar-general] Re: Nota de clarín de hoy

Mie Ene 11 21:25:36 CET 2006

Les reenvío un mail que mandó un amigo a Clarín, como muestra de qué
cosas se pueden decir (yo también mandé uno, pero esté me gusta más). 
Él lo había mandado con copia a esta lista, pero rebotó por no estar
suscripto.

Como decían por acá, es mejor hacer que discutir, sobre todo si
queremos que nuestra voz se escuche, creo que con mensajes como estos
es posible que se den cuenta del tremendo error que cometieron.

--------- Mensaje reenviado --------
De: Martín Ferrari <martin.ferrari en gmail.com>
Responder a: lug en listas.fi.uba.ar
Para: informatica en clarin.com
Cc: cartasdelectores en claringlobal.com.ar, lug en listas.fi.uba.ar,
cartasalpais en clarin.com, solar-general en lists.ourproject.org,
lug-list en lugmen.org.ar
Asunto: Artículo publicado en Clarín
Fecha: Wed, 11 Jan 2006 16:17:23 -0300

Sr. Julio Orione, editor del suplemento Informática 2.0 del diario Clarín.

En el día de hoy leí estupefacto una pequeña nota en la edición
electrónica del diario, que copio a continuación:

-------------------------------------------------------------------------------
http://www.clarin.com/suplementos/informatica/2006/01/11/f-01122111.htm

Ciberataques: ganó Linux

Linux padeció, durante 2005, más ataques de virus que Windows. Al
menos a esa conclusión llegó el US-CERT, de los Estados Unidos, una
oficina gubernamental encargada de monitorear el estado de las
computadoras y redes informáticas. Según su informe anual, del total
de 5.198 vulnerabilidades registradas en todas las plataformas, los
sistemas operativos Linux y Unix tuvieron 2.328, es decir, 45% del
total. Por su parte, Windows tuvo 812, cifra que equivale al 16%. El
resto (2.058), equivalente al 16% del total, correspondieron a otros
sistemas.

De cualquier manera, estos números del US-CERT deben tomarse como una
muestra acotada, ya que en ese listado no figura la aparición repetida
de un mismo virus ni las múltiples formas que suele cobrar cada uno.
-------------------------------------------------------------------------------

Esta nota es agraviante en varios planos. Paso a analizarla.

Desde lo más evidente y menos importante, está claro que si 812 es el
16% de algo, 2058 no puede ser también el 16% de ese mismo algo. Es
sólo un pequeño error.

Otro error evidente, pero gravísimo, porque en el mejor de los casos
demuestra ignorancia y si somos un poco desconfiados, hace pensar en
mala intención y/o publicidad encubierta. La nota habla de ataques de
*virus*, y lo dice dos veces, no hay error de tipeo posible. Cuando
cualquiera que haya leído el mencionado reporte de US-CERT sabe que se
trata de VULNERABILIDADES. En una parte del texto hablan de
vulnerabilidades, pero al lector ya le quedó la idea de que el sistema
operativo GNU/Linux, no sólo tiene ataques de virus, sino que además
son 3 veces más que en Windows.

El último párrafo directamente parece surgido de la creatividad de
alguien que ni siquiera ojeó el informe de US-CERT.

Luego, aumentando la gravedad, vemos que el título dice que "ganó
[GNU/]Linux", cuando es claro que el reporte habla de Linux Y UNIX (y
en el cuerpo de la nota lo nombran), pareciendo esta omisión un
intento deliberado de desinformar. De los 2328 ítems nombrados, unos
cuantos son exclusivos de SCO, IRIX, Solaris, sistemas operativos que
no tienen nada que ver con GNU/Linux. El resto, no "correspondieron a
otros sistemas", como incorrectamente dice el artículo, sino que,
copiando el texto del informe, corresponde a "Multiple operating
system vulnerabilities". Creo que es clara la traducción.

Además, si uno leé el informe, nota que la introducción de la que sin
más se extrajeron los números para este artículo contiene un error
conceptual. El número indicado no es de vulnerabilidades si no de
eventos, y sirve de muy poco, ya que casi la mitad de esos eventos son
simplemente ampliaciones de información sobre otras vulnerabilidades.
Por ejemplo:

# 3Com 3CDaemon Multiple Remote Vulnerabilities
# 3Com 3CDaemon Multiple Remote Vulnerabilities (Updated)
# 3Com 3CDaemon Multiple Remote Vulnerabilities (Updated)

Esto es contado como 3 vulnerabilidades de Windows. Doble error.

Sería interesante que al informar al público sobre temas tan
delicados, se evitase el "A le gana a B", que sólo confunde y es
siempre falaz. Pero primero es imprescindible que antes de escribir
sobre temas complejos, se investigue, y se consulten fuentes
confiables. Es claro que esto está ausente en esta nota.

Deberían saber que el reporte no habla de problemas sólo EN el sistema
operativo, sino también en aplicaciones que corren en ése sistema
operativo. Con pasar la vista por la lista de problemas queda claro,
salvo que "Apple iTunes Arbitrary Code Execution" o "Google Talk
Denial Of Service" puedan considerarse problemas del sistema operativo
Windows.

Además, y aquí hay un problema típico, estos números reflejan los
problemas hechos públicos. Es bien sabido que en la comunidad del
software libre, se alienta a los usuarios a reportar abiertamente los
problemas que encuentran, aunque las posibilidades de compromiso de la
seguridad sean mínimas, todos las vulnerabilidades se reportan y se
arreglan. En los sistemas privativos, como Windows y la mayoría del
software que corre en ellos, ocurre todo lo contrario: se intenta
tapar los problemas para evitar marketing negativo, en detrimiento de
los usuarios. Los únicos que salen a la luz son los críticos, porque
no hay otra alternativa.

Por lo tanto es lógico que haya más vulnerabilidades reportadas, y
esto es un signo de lo bien que funciona el modelo libre, porque todos
esos problemas se han arreglado. En el mundo cerrado y privativo, por
el contrario, muchos de esos errores nadie los conoce, por no poder
inspeccionar el código fuente y nunca son arreglados, porque no les
conviene a las empresas hacerlo.

Señor Orione, para que puedan corregir los groseros errores del
artículo, y descuento que lo harán, porque de lo contrario sólo queda
pensar que están trabajando para dar publicidad a Microsoft de manera
encubierta, le doy el link al reporte completo de US-CERT, y también
el de la carta abierta que publicó sobre el tema el editor de CVE,
entidad mucho más útil y respetada que CERT:

Open Letter on the Interpretation of "Vulnerability Statistics":
http://archives.neohapsis.com/archives/fulldisclosure/2006-01/0135.html

Cyber Security Bulletin 2005 Summary:
http://www.us-cert.gov/cas/bulletins/SB2005.html

Por último, sepan que en ambientes GNU/Linux y UNIX NO HAY virus,
salvo algunos intentos fallidos que nunca salieron del laboratorio.
Simplemente porque el modelo de sistema lo impide. Claro que hay otros
problemas, como gusanos y troyanos, pero por suerte no es difícil
protegerse de ellos y sin comprar ningún "anti virus".

Este email es copiado a varios grupos de usuarios de GNU/Linux, para
que estén atentos a la infinidad de desinformaciones que tendrán que
corregir a partir de esta nefasta nota.

--
Martín Ferrari

--
Besos,
Marga