Ha sido la recomendación del día. Se la he oído a varias personas, por ejemplo, a la gente de Sophos, que ni cortos ni perezosos, recomiendan directamente a los usuarios de Windows que se pasen a Mac para evitar problemas con los troyanos. Me ha parecido ver que el responsable técnico de ISC SANS hacía recomendaciones parecidas, si bien no tengo a mano una fuente para enlazar que lo confirme.
Es cierto que la gran mayoría de los especímenes maliciosos, especialmente los relacionados con el fraude bancario y el phishing, están directamente pensados para Windows, con lo que emplear soluciones operativas como Mac reduciría considerablemente la exposición, al menos hoy en día. De hecho, la reduciría prácticamente a cero.
Lo que no cuentan es que los ataques a plataformas Apple Macintosh se han triplicado en los últimos dos años, y que la creciente popularidad de Apple Mac OS invita a pensar que habrá más y más problemas de seguridad para estos sistemas en adelante. Tampoco valoran qué pasaría si todo el mundo emplease Mac OS, ya que los ataques se diseñan para las plataformas mayoritarias, con el objetivo de maximizar la rentabilidad de los ataques. Por último echo muy en falta que reconozcan que los productos antivirus tienen cuotas de detección que no se acercan al 100% en ningún caso, y ese es un factor clave para que los virus, los troyanos y el malware en general sigan expandiéndose y causando perjuicios.
Me resulta muy extraño que uno de los implicados directos en la lucha contra el malware en plataformas Windows haga este tipo de declaraciones. Y me resulta más extraño aún que recomienden sólo Mac OS. Puestos a recomendar, ¿por qué Apple Mac y no GNU/Linux? ¿o los dos?
Pese a ser actualmente usuaria de Windows, me tira mucho la idea de adquirir un Mac.
Bueno, no tengo mucha idea de informática, pero hay cosas que no se pueden discutir. Valga un chistecillo de ejemplo:
Bill gates vs general motors
Bill Gates vs. General Motors
En una reciente feria de informática (COMDEX), Bill Gates comparó la industria de computación con la industria de automotores y declaró:
«Si la GM hubiese evolucionado tecnológicamente como lo hizo la industria de computación, estaríamos todos manejando autos que cuestan 25 dólares y que hacen 500 kilómetros por litro.»
Recientemente, la General Motors divulgó el siguiente comunicado con respecto a esa declaración:
Si Microsoft fabricara autos…
Cada vez que se repintasen las líneas de las calles, o se asfaltara nuevamente, usted tendría que comprar un auto nuevo.
Ocasionalmente su auto «moriría» en la calle sin ninguna razón aparente, y usted apenas tendría que aceptar eso, encenderlo nuevamente y seguir adelante sin saber que sucedió.
Ocasionalmente, la ejecución de una maniobra dada haría que su auto parase y fallase, y usted tendría que reinstalar el motor. Por alguna extraña razón, usted también aceptaría eso.
Usted podría tener nada mas que una persona dentro del auto a la vez, a menos que usted comprase el «Modelo95» o el «ModeloNT». Pero de todas maneras, luego debería comprar mas asientos.
Macintosh fabricaría un auto que estaría impulsado a energía solar, mucho más confiable, cinco veces más rápido y dos veces más fácil de manejar, pero apenas podría circular en el 5 por ciento de las calles.
Los propietarios de autos Machintosh podrían conseguir carísimos «upgrades» para autos Microsoft, lo que haría que sus autos se desplacen muchos mas lentamente.
Los indicadores luminosos de falta de aceite, combustible y bateria en el tablero, serian substituidos por un simple indicador luminoso general que dice: «Fallo de protección general del coche».
Los nuevos asientos obligarían a todas las personas a tener el mismo tamaño de cola.
El sistema de «airbag» preguntaría: «¿está seguro?» antes de entrar en acción.
Si usted tuviese una colisión con su auto, no tendría la menor idea de lo que podría suceder después.
El coche de un año determinado saldría al final de dicho año, no al principio.
Los usuarios se alegrarían por las ventajas de «Coche 95», olvidando que esas mismas ventajas ya están disponibles en las marcas rivales hace años.
Debido a una extraña razón, el motor tardaría 5 minutos en arrancar.
Al intentar realizar maniobras sencillas se encontraría a menudo con las opciones: «Cancelar, Repetir, Ignorar».
El velocímetro indicaría 100, a pesar de ir a 45.
Cada vez que suba un nuevo pasajero, deberá volver a configurar su vehículo.
Solo podría usar »Combustible Microsoft».
Aunque estoy de acuerdo que los virus, gusanos y malware en general suelen hacerse para la plataforma con más cuota, mayoritariamente, también es cierto que la plataforma mayoritaria, en este caso Windows, carece de muchas de las características que implementan otros sistemas como Mac OS X, UNIX o Linux.
En primer lugar, está la separación de privilegios. No conozco ninguna distribución de Linux en la que, durante la instalación, se cree un usuario tal que se permita no especificar una contraseña para él, y que además se le concedan, gratuitamente, permisos administrativos. En Windows 2000 y XP, por el contrario, durante la instalación, el primer usuario que se crear dispone, automáticamente, de privilegios administrativos y, por lo menos en Windows 2000, se permite no especificar una contraseña, de manera que el sistema inicia sesión automáticamente con dicho usuario. En Linux, por el contrario, el usuario creado es un usuario convencional que tiene que hacer uso, consciente, de alguna herramienta para adquirir, temporalmente, permisos administrativos para realizar una tarea (y sólo una), como usar el comando «sudo».
En segundo lugar, la integración del navegador con el sistema operativo, combinado con el apartado anterior, provoca que un simple control ActiveX pueda instalarse fácilmente y, gracias a los privilegios administrativos, tomar el control completo del ordenador para invadir la privacidad del usuario, destruir o robar datos, desactivar el firewall o el antivirus, o permitir a un tercero conectarse remotamente a la máquina para enviar spam, intentar comprometer otros sistemasm etc. Lo mismo ocurre con los controladores de dispositivo y impresoras. Podrá resultar más cómodo para el usuario, pero se ha visto que las consecuencias son desastrosas. Si además el programa de correo, en su nefasta línea, decide mostrar la vista previa de un mensaje con código JavaScript y ejecutar dicho código, potencialmente peligroso, sin el consentimiento del usuario, el efecto es doblemente dañino.
En tercer lugar, la mayoría de los servicios de Windows se ejecutan bajo la cuenta SYSTEM o no pueden desactivarse (y menos aún desinstalarse), y nadie sabe con total certeza cuál es su función. En Windows Vista el problema se agrava y surgen aún más servicios, algunos ejecutándose como SYSTEM, otros como NETWORK. La idea es justo lo contrario: KISS (Keep It Simple Stupid). En Ubuntu, los servicios de red instalados son cero, ninguno, nada. De hecho, es tal esa situación que el firewall ni siquiera se activa por defecto, puesto que no hay servicios de red que proteger. Además, la mayoría de los servicios, como Apache, el servicio de FTP, el servicio de RSync, el servicio Postfix de correo, etc., cuando se instalan y activan, se ejecutan con privilegios reducidos, y otros como SSH que requieren ejecutarse como root, implementan una perfecta separación de privilegios para evitar problemas.
¿Cúando piensa Microsoft dejar de invertir tiempo y dinero en Windows y se decide a construir un sistema operativo nuevo, desde cero, y con la seguridad en mente desde el primer día en lugar de ser un añadido? Déjenme recordarles que el servicio «Ejecutar como» fue un añadido que no estaba contemplado en el núcleo original de NT ni en su modelo de seguridad. Déjenme recordarles que, incluso aún pudiendo ejecutar software como usuario restringido, la mayoría de las aplicaciones, incluso de la propia Microsoft, requieren permisos administrativos para hacer casi cualquier cosa, como añadir un nuevo componente o funcionalidad. Déjenme recordarles que desactivar el servicio Servidor elimina, de un plumazo, la capacidad de compartir impresoras, ficheros y servir componentes DCOM/RPC, y que todas estas funcionalidades se multiplexan sobre el mismo puerto, en lugar de separar estos servicios (en UNIX, la impresión utiliza el servicio IPP con puerto 631/TCP, mientras que el servicio de ficheros utiliza NFS, y RPC otro puerto completamente distinto). ¿Es necesario que comente más defectos de Windows, o de su navegador, o de sus protocolos propietarios, o de su defectuosa implementación de la pila TCP/IP que provocó que NMAP implementara sistemas de rastreo como FIN, Xmas Tree y Null Scan?
Pues da mal que pensar sobre el software de la empresa de esos señores de Sophos. ¿Acaso ya tiene lista una versión para Mac?.
Aparte de los problemas que tiene la plataforma Mac con los DRM´s sin ir más lejos, es que sin irse de los PC´s hay otras opciones como Linux. ;-)