La seguridad en los sistemas operativos: habló Charlie Miller
El PWN2OWN trajo algunas sorpresas interesantes, como que OS X fuera el primer sistema operativo en caer gracias a una vulnerabilidad en Safari. Charlie Miller fue el artífice de ello, no sé si lo recordaréis; y el mismo Charlie Miller declaró algo explosivo en la red de redes.
Según él, «Windows es más seguro que OS X, incluso en su última versión». Se basa para decir ésto en que Apple no implementa dos tecnologías que dificultan mucho el trabajo de un hacker: ASLR y DEP. Cabe decir que ambas tecnologías están implementadas por software en Windows.
ASLR son las siglas de Address Space Layout Randomization. Es una tecnología que asigna aleatoriamente espacios de memoria a las distintas aplicaciones, haciendo impredecible el espacio que ocupará cada aplicación, de manera que el hacker no puede saber donde está almacenado el dato en la memoria RAM para poder leerlo o modificarlo. En Leopard la implementación de ésta tecnología dejaba mucho que desear, y según Charlie Miller en Snow Leopard no ha cambiado nada.
Por su parte, DEP (Data Execution Prevention) es una feature que evita que programas accedan sin autorización a zonas ‘ajenas’ a las que les corresponde de la memoria RAM. Apple mejoró un poco ésta característica en Snow Leopard, pero todavía tiene mucho que mejorar. Según dice el hacker, la ausencia de una sola de éstas dos características facilita mucho el trabajo de un hacker. Es la correcta inclusión de ambas la que hace que un sistema operativo sea seguro.
También constató un hecho: es mucho más dificil escribir exploits para Windows que para OS X. La razón por la que encontramos infinitas veces más exploits para el sistema operativo de Microsoft que para el de Apple es la obvia: se busca más infectar la mayor cantidad de máquinas posible, y para bien o para mal el 90% de los equipos del mundo ejecutan alguna versión de Windows.
Sin duda estoy de acuerdo en todo con éste hombre; aunque estoy seguro de que a más de uno le habrá molestado leer ésto en miles de blogs a lo ancho y largo de la serie de tubos, dado que tira por tierra algo que se proclama acerca del sistema operativo más avanzado del mundo, y es que sea el sistema operativo más seguro. No es que el sistema operativo sea más seguro, sino que hay menos hackers interesados en él.
Via | Neowin