lunes, mayo 05, 2008

Get the facts

Creo que esto es cuento viejo pero mi maldita personalidad me impide leer una cosa de éstas y quedarme "quieto"

www.getthefacts.com es una pagina de Microsoft donde se "ayuda" a realizar una buena decisión a la hora de escoger la plataforma para el server. Hay una pequeña pestaña de "Compare Windows to Linux" y simplemente da vergüenza la falta de inteligencia de ésta campaña. Empecemos por la metodología:

Es muy sencillo, existen varias pestañas con temas como "How Windows Reduces TCO (Total Cost Ownership)", "Understanding Platform Reliability" "The Real Story on Security" Cada pestaña incluye una gráfica que solo puede convencer al mas ingenuo de los ingenuos, un pequeño texto explicativo y "Casos de estudio".

How Windows Reduces TCO

Tengo mis dudas sobre el famoso 7% del costo del software (licencias) pero la verdad no tengo nada contundente que decir. Así que cojamos un caso de estudio cualquiera.

Speedy Hire

Contexto:
"Since its creation in 1977, the group has expanded into different markets and sectors, largely by taking over competitors such as, most recently, the tool-hire division of Hewden Stuart. These successful takeovers left Speedy Hire at the head of unreliable, heterogeneous software environments, all running independently from one another."

Solución:
Speedy Hire decided to switch to a Microsoft environment across the board. The first stage was to change the hire application to Microsoft Dynamics™ AX, in what was one of the organization's biggest IT projects to date. As part of this project, Speedy Hire replaced all of the computers in its depots, replacing Linux personal computers with Wyse V90 Winterms running Windows XP Embedded, and open-source office products with the 2007 Microsoft Office system.

Wow... estos tipos en serio se ganan el premio! Cambian un ambiente heterogeneo a uno homogeneo usando windows y las conclusiones son obvias. "Windows es mejor!" "Windows ahorra dinero". Una plataforma homogénea ahorra dinero sin importar por que sistema se opte y porque? porque se necesita menos conocimiento en IT, y eso usualmente es equivalente a tener menos personas dando soporte.

Pero momento... no era acaso también esta una evaluación a nivel de plataforma de server? porque se utiliza este caso de estudio? es relevante? NO

Understanding Platform Reliability

Empecemos por la brillante deducción:
"Organizations define reliability as more than uptime. A reliable solution is one that is:
* Easy to configure and maintain
* Predictable, especially as business requirements evolve
* Therefore, available to end users. "

Hace falta el:



Caso de estudio: Western Materials

Pues resulta que ellos usaban Nitix y también tienen casos de estudio.

Y obvio... como estamos hablando de Reliability:

“Nitix wouldn’t support anything newer than Outlook 2000. Anyone using Outlook 2003 had to manually maintain two Inboxes on the desktop and use a rule to move messages from one Inbox to the other.”

Suena música de X-Files, porque como no se absolutamente nada del mundo real me pregunto... ¿Que tiene de diferente Outlook 2003? alguien que me responda! yo estaba seguro que era cuestión de configurar el protocolo adecuado (IMAP, POP3) que me hace falta?

The Real "Story" on Security

Ve uno una gráfica al lado derecho con unas barras: El típico encargado de IT dice "Oh veo unas barras de colores!! La de windows vista es la mas pequeña!! Instalemos vista! ergo, mas seguridad!!" (añadir el tono de imbécil)

La versión con la que comparan Linux es Ubuntu 6.06 de Escritorio. (Contra vista y XP) pero momento. No es ésta acaso la página para escoger mi plataforma server? Porque comparan los sistemas de escritorio? Y bueno... sigamos con la comparación. Cuantos paquetes trae Ubuntu vs Windows por Default? Supuestamente se trata de una versión reducida PERO si uno mira el reporte en el que está basado:

"I manually excluded gimp and OpenOffice from the package list. I didn’t exclude anything
else because I felt that most users would not go to the effort to manually remove packages
from the default desktop installation."

Wow... eso si que hace la diferencia!

Ahora las métricas:

Entre tantas se destaca una que se lleva fácilmente el premio a "la falacia de pez rojo" mas grande de la historia. La métrica de la que se sienten super orgullosos es el número de "patch events" pero... que tiene que ver el numero de patch-events con la seguridad?

Otra cosa interesante es que se mide "número de vulnerabilidades encontradas" y "número de vulnerabilidades de éste conjunto que fueron arregladas" Él número de vulnerabilidades en Vista y XP es mucho menor que en Ubuntu, PERO eso qiere decir que Ubuntu sea mas inseguro?

La falacia con la que pretende razonar Microsoft es una especie de proporcionalidad entre vulnerabilidades existentes vs vulnerabilidades encontradas. Al decir que en Vista se han encontrado menos vulnerabilidades se pretende llevar al lector a pensar "si encuentran menos es porque hay menos" lo cual resulta totalmente falso. Una vulnerabilidad es en esencia una característica del software que en alguna circunstancia puede dar una oportunidad al atacante de aprovecharla. (Desarrollar un exploit) Én el caso de Vista y XP encontrar una vulnerabilidad usualmente se basa en técnicas de ingeniería inversa.

Que es más facil, encontrar una vulnerabilidad de Buffer overflow en él código C con comentarios de Ubuntu 6.06 con reportes técnicos y demás. O en él código objeto Hexadecimal de Windows Vista justo después de su release sin ninguna documentación?

Ahora bien. La métrica que prefiero utilizar... usando los mismos datos es "porcentaje de Vulnerabilidades Arregladas"

Veamos las gráficas:



En Windows Vista es alrededor de un Ratio 50/50 una vulnerabilidad la arreglan, otra no. Muy perezosos para mi gusto la verdad... Porque con todo el dinero de microsoft y con lo costoso de una licencia tienen ese horrible ratio de vulnerabilidades arregladas?

(será que internamente usan una moneda y todo?)

y en Ubuntu? Usando el método súper científico de medir con el dedo sobre la pantalla el gráfico me da que el 95% de las vulnerabilidades fueron arregladas.

No hay comentarios.: