Los sospechosos de siempre

En una noche de imsomnio -digamos, ahora- me topé con el origen de UTF-8, el bastante popular método de hacer utilizable Unicode sin romper compatibilidad con ASCII ni hacer crecer enormemente el espacio ocupado por un texto. Por lo visto es algo que se atribuía a IBM (tampoco sabía eso), pero resulta que los autores de la versión en uso son Rob Pike y Ken Thompson. Si no los conoce, venda la PC.

De yapa, una frase del viejo Pike:

"Those days are dead and gone and the eulogy was delivered by Perl." - sobre "one tool for one job"

Clarín

Email enviado al diario Clarin:

Sr. Julio Orione, editor del suplemento Informática 2.0 del diario Clarín.

En el día de hoy leí estupefacto una pequeña nota en la edición electrónica

del diario, que copio a continuación:

-----------------------------------------------------

http://www.clarin.com/suplementos/informatica/2006/01/11/f-01122111.htm

Ciberataques: ganó Linux

Linux padeció, durante 2005, más ataques de virus que Windows. Al menos a esa conclusión llegó el US-CERT, de los Estados Unidos, una oficina gubernamental encargada de monitorear el estado de las computadoras y redes informáticas. Según su informe anual, del total de 5.198 vulnerabilidades registradas en todas las plataformas, los sistemas operativos Linux y Unix tuvieron 2.328, es decir, 45% del total. Por su parte, Windows tuvo 812, cifra que equivale al 16%. El resto (2.058), equivalente al 16% del total, correspondieron a otros sistemas.

De cualquier manera, estos números del US-CERT deben tomarse como una muestra acotada, ya que en ese listado no figura la aparición repetida de un mismo virus ni las múltiples formas que suele cobrar cada uno.

-----------------------------------------------------

Esta nota es agraviante en varios planos. Paso a analizarla.

Desde lo más evidente y menos importante, está claro que si 812 es el 16% de algo, 2058 no puede ser también el 16% de ese mismo algo. Es sólo un pequeño error.

Otro error evidente, pero gravísimo, porque en el mejor de los casos demuestra ignorancia y si somos un poco desconfiados, hace pensar en mala intención y/o publicidad encubierta. La nota habla de ataques de *virus*, y lo dice dos veces, no hay error de tipeo posible. Cuando cualquiera que haya leído el mencionado reporte de US-CERT sabe que se trata de VULNERABILIDADES. En una parte del texto hablan de vulnerabilidades, pero al lector ya le quedó la idea de que el sistema operativo GNU/Linux, no sólo tiene ataques de virus, sino que además son 3 veces más que en Windows.

El último párrafo directamente parece surgido de la creatividad de alguien que ni siquiera ojeó el informe de US-CERT.

Luego, aumentando la gravedad, vemos que el título dice que "ganó [GNU/]Linux", cuando es claro que el reporte habla de Linux Y UNIX (y en el cuerpo de la nota lo nombran), pareciendo esta omisión un intento deliberado de desinformar. De los 2328 ítems nombrados, unos cuantos son exclusivos de SCO, IRIX, Solaris, sistemas operativos que no tienen nada que ver con GNU/Linux. El resto, no "correspondieron a otros sistemas", como incorrectamente dice el artículo, sino que, copiando el texto del informe, corresponde a "Multiple operating system vulnerabilities". Creo que es clara la traducción.

Además, si uno leé el informe, nota que la introducción de la que sin más se extrajeron los números para este artículo contiene un error conceptual. El número indicado no es de vulnerabilidades sino de eventos, y sirve de muy poco, ya que casi la mitad de esos eventos son simplemente ampliaciones de información sobre otras vulnerabilidades. Por ejemplo:

# 3Com 3CDaemon Multiple Remote Vulnerabilities

# 3Com 3CDaemon Multiple Remote Vulnerabilities (Updated)

# 3Com 3CDaemon Multiple Remote Vulnerabilities (Updated)

Esto es contado como 3 vulnerabilidades de Windows. Doble error.

Sería interesante que al informar al público sobre temas tan delicados, se evitase el "A le gana a B", que sólo confunde y es siempre falaz. Pero primero es imprescindible que antes de escribir sobre temas complejos, se investigue, y se consulten fuentes confiables. Es claro que esto está ausente en esta nota.

Deberían saber que el reporte no habla de problemas sólo EN el sistema operativo, sino también en aplicaciones que corren en ése sistema operativo. Con pasar la vista por la lista de problemas queda claro, salvo que "Apple iTunes Arbitrary Code Execution" o "Google Talk Denial Of Service" puedan considerarse problemas del sistema operativo Windows.

Además, y aquí hay un problema típico, estos números reflejan los problemas hechos públicos. Es bien sabido que en la comunidad del software libre, se alienta a los usuarios a reportar abiertamente los problemas que encuentran, aunque las posibilidades de compromiso de la seguridad sean mínimas, todos las vulnerabilidades se reportan y se arreglan. En los sistemas privativos, como Windows y la mayoría del software que corre en ellos, ocurre todo lo contrario: se intenta tapar los problemas para evitar marketing negativo, en detrimiento de los usuarios. Los únicos que salen a la luz son los críticos, porque no hay otra alternativa.

Por lo tanto es lógico que haya más vulnerabilidades reportadas, y esto es un signo de lo bien que funciona el modelo libre, porque todos esos problemas se han arreglado. En el mundo cerrado y privativo, por el contrario, muchos de esos errores nadie los conoce, por no poder inspeccionar el código fuente y nunca son arreglados, porque no les conviene a las empresas hacerlo.

Señor Orione, para que puedan corregir los groseros errores del artículo, y descuento que lo harán, porque de lo contrario sólo queda pensar que están trabajando para dar publicidad a Microsoft de manera encubierta, le doy el link al reporte completo de US-CERT, y también el de la carta abierta que publicó sobre el tema el editor de CVE, entidad mucho más útil y respetada que CERT:

Open Letter on the Interpretation of "Vulnerability Statistics":

http://archives.neohapsis.com/archives/fulldisclosure/2006-01/0135.html

Cyber Security Bulletin 2005 Summary:

http://www.us-cert.gov/cas/bulletins/SB2005.html

Por último, sepan que en ambientes GNU/Linux y UNIX NO HAY virus, salvo algunos intentos fallidos que nunca salieron del laboratorio. Simplemente porque el modelo de sistema lo impide. Claro que hay otros problemas, como gusanos y troyanos, pero por suerte no es difícil protegerse de ellos y sin comprar ningún "anti virus".

Este email es copiado a varios grupos de usuarios de GNU/Linux, para que estén atentos a la infinidad de desinformaciones que tendrán que corregir a partir de esta nefasta nota.

Primer día

Parto para mi primera clase de la facu, luego de unos 7 años lejos de los claustros... ¡¡Qué momento!!