• Tweet

Las compañías hacen frente a los riesgos a los que se enfrentan hospedando sus sitios Web bajo una plataformas Linux en lugar de una plataforma Windows, fue la conclusión de un estudio financiado por Microsoft.

El años pasado, los Servidores Web basados en Windows Server 2003 tuvieron menos vulnerabilidades que los basados en Red Hat Enterprise Linux ES 3 en una configuración Standard, comentaron los investigadores en un en articulo lanzado el martes.

Por otra parte, el estudio indicó que los servidores Web basados en Microsoft han tenido pocos días de riesgos -una medida de los días en las que se dan a conocer las vulnerabilidades, pero sin actualizaciones a diferencia del softwate rival, es decir software libre.

"Todo lo que estos estudios pueden brindar a la gente es dar pauta para hacer una reflexión sobre el hecho de que la plataforma que se esta usando no es precisamente la que tienen más seguridad".

Herberto Thompson, uno de los tres autores del artículo y el director de investigación y de entrenamiento en Security Innovations, una compañía de aplicaciones en seguridad. “La creencia común es que Linux es más seguro que Windows”.

El artículo ha causado controversia, como algunos detalles fueron presentados en una conferencia de RSA la semana pasada. Estudios previos compararon medidas de seguridad en Linux y Windows, que de igual forma causaron controversia.

"Creemos que pueden ser expresiones inexactas", Mark Cox, líder del equipo de respuesta a incidentes de Red Hat, escribió acerca del reciente estudio publicado en el sitio Web del software el pasado martes. Comentó que el estudio no separa las vulnerabilidades críticas de las menos serias, comparación que puede favorecer a Red Hat.

Red Hat no hizo ninguna observación respecto al artículo ni a los comentarios publicados.

Contando las vulnerabilidades

Para el estudio, en el 2004, los investigadores contaron las actualizaciones publicadas para arreglar las vulnerabilidades de los servidores Web. Además marcaron días de riesgo, el número acumulativo de días entre el tiempo que se tarda en ser publicado una vulnerabilidad y el tiempo en el que el proveedor del software lanza una actualización para reparar la vulnerabilidad.

Un servidor con Red Hat Enterprise Linux ES 3 tenía más de 12000 días de riesgo, mientras que otro servidor con Microsoft tenía alrededor de 16000.

En cuanto a defectos, en este estudio se encontró que un servidor Web basado en Red Hat con el software libre Apache, el manejador de bases de datos MySQL y con programas escritos en PHP se encontraron 174 vulnerabilidades en su instalación por default. Un servidor Web basado en Microsoft Server 2003 y ASP.NET tuvo 52 vulnerabilidades en su configuración por default.

De igual forma, los investigadores estudiaron servidores Web con configuraciones en Red Hat y Windows, eliminando aplicaciones que no son necesarias para la publicación de sitios Web estos en su configuración mínima. Incluso en esta situación, Microsoft batió contra Red Hat, con tan sólo 52 vulnerabilidades, comparados con 132 vulnerabilidades que presentó Red Hat.