Portada
mis comunidades
otras secciones
#69:
#68 Sí claro. Imagino que no eres informático, por la pregunta, asi que intentaré evitar terminología farragosa.
Las aplicaciones y los Sistemas Operativos estan formados por funciones que se llaman unas a otras formando una cadena de llamadas. La función A llama a la B y esta a la C...etc. Cada funcion hace una tarea y devuelve un resultado.
Sin embargo las funciones pueden tener fallos(bugs). A mayor cantidad de funciones más probable es que encuentres alguna que tenga un bug.
Hay bugs que no comprometen la seguridad del Sistema Operativo (simplemente cuando haces click en un botón este botón no funciona tal y como esperarías) pero hay bugs que sí lo hacen. Un típico bug explotable suelen ser los buffer overflows. Explicarte como se utilizan es complicado pero basicamente digamos que cuando programas una función tienes que asegurarte que no escribes en una zona de memoria que no deberías. Y es bastante fácil que puedas hacer una cagada y escribas fuera de la zona de memoria asignada. Fácil no. Lo siguiente. Como no sé tu nivel de programación permiteme que no entre en tecnicismos.
Lo peor de los buffer overflows es que pueden pasar muy inadvertidos, pero son una potencial puerta de acceso para que un programa(llamalo virus) llame a esa funcion con el bug de tal forma que pueda obtener ciertos privilegios en tu Sistema Operativo.
Por tanto cuanto mas grande sea un Sistema Operativo más facil es encontrar funciones con bugs. Precisamente las Actualizaciones de Windows es una forma de "no asustarte" y decirtr: Miles de fallos solucionados.
En ReactOS estudiamos en profundidad las APIs de Windows y puedes ver probablemente mi nombre y el de mis compañeros en la lista de vulnerabilidades detectadas (básicamente informamos de un fallo detectado a Microsoft antes de que alguien pueda explotarlo).
Hemos creado mas de 13.000.000 de tests y gracias a nuestra investigacion (y estos tests) detectsmos dichas vulnerabilidades. A veces incluso informamos a Microsoft y esperamos su parcheo antes de publicar el test publicamente pues muchas empresas de seguridad e inseguridad nos siguen de cerca y podrían usar la vulnerabilidad para un WannaCry o similar.
Informar a Microsoft sobre estas vulnerabilidades es simplemente un comportamiento ético. También podríamos venderlas a una empresa de "inseguridad" por 100.000€. No están mal pagadas pero nosotros tampoco lo estamos
Las aplicaciones y los Sistemas Operativos estan formados por funciones que se llaman unas a otras formando una cadena de llamadas. La función A llama a la B y esta a la C...etc. Cada funcion hace una tarea y devuelve un resultado.
Sin embargo las funciones pueden tener fallos(bugs). A mayor cantidad de funciones más probable es que encuentres alguna que tenga un bug.
Hay bugs que no comprometen la seguridad del Sistema Operativo (simplemente cuando haces click en un botón este botón no funciona tal y como esperarías) pero hay bugs que sí lo hacen. Un típico bug explotable suelen ser los buffer overflows. Explicarte como se utilizan es complicado pero basicamente digamos que cuando programas una función tienes que asegurarte que no escribes en una zona de memoria que no deberías. Y es bastante fácil que puedas hacer una cagada y escribas fuera de la zona de memoria asignada. Fácil no. Lo siguiente. Como no sé tu nivel de programación permiteme que no entre en tecnicismos.
Lo peor de los buffer overflows es que pueden pasar muy inadvertidos, pero son una potencial puerta de acceso para que un programa(llamalo virus) llame a esa funcion con el bug de tal forma que pueda obtener ciertos privilegios en tu Sistema Operativo.
Por tanto cuanto mas grande sea un Sistema Operativo más facil es encontrar funciones con bugs. Precisamente las Actualizaciones de Windows es una forma de "no asustarte" y decirtr: Miles de fallos solucionados.
En ReactOS estudiamos en profundidad las APIs de Windows y puedes ver probablemente mi nombre y el de mis compañeros en la lista de vulnerabilidades detectadas (básicamente informamos de un fallo detectado a Microsoft antes de que alguien pueda explotarlo).
Hemos creado mas de 13.000.000 de tests y gracias a nuestra investigacion (y estos tests) detectsmos dichas vulnerabilidades. A veces incluso informamos a Microsoft y esperamos su parcheo antes de publicar el test publicamente pues muchas empresas de seguridad e inseguridad nos siguen de cerca y podrían usar la vulnerabilidad para un WannaCry o similar.
Informar a Microsoft sobre estas vulnerabilidades es simplemente un comportamiento ético. También podríamos venderlas a una empresa de "inseguridad" por 100.000€. No están mal pagadas pero nosotros tampoco lo estamos
#8:
#1 Existe otro fallo en el protocolo RDP (Escritorio remoto). Es igual que EternalBlue pero sólo afecta a Windows Server 2003. Ejecución remota de código con permisos de SYSTEM. Muy crítico.
Aqui se puede conseguir el exploit estemaudit https://github.com/misterch0c/shadowbroker
Usando el buscador shodan filtrando por puerto 3389 y sistema XP aparecen 28844 resultados de los cuáles:
United States
20,297
China
1,931
Hong Kong
531
Germany
490
Russian Federation
469
Aqui se puede conseguir el exploit estemaudit https://github.com/misterch0c/shadowbroker
Usando el buscador shodan filtrando por puerto 3389 y sistema XP aparecen 28844 resultados de los cuáles:
United States
20,297
China
1,931
Hong Kong
531
Germany
490
Russian Federation
469
#19:
#12 Normalmente los fallos aparecen por situaciones que no fueron probadas con anterioridad. Como es muy difícil o directamente imposible probar toda la combinatoria, es muy probable que haya errores no detectados en todo el software que se usó, se usa y se usará.
Hay algunas contramedidas genéricas para actuar como cortafuegos (aislamiento entre programas, permisos en archivos y bloques de memoria, etc...), pero aun así no son infalibles.
Hay algunas contramedidas genéricas para actuar como cortafuegos (aislamiento entre programas, permisos en archivos y bloques de memoria, etc...), pero aun así no son infalibles.
#17:
#12 Al contrario
Si funciona bien para el uso que le das para que lo vas a cambiar?
Tú lo mismo instalas juegos o programas nuevos que por compatibilidad te obligan a cambiar
Pero si hicieras siempre lo mismo en una oficina o en tu casa y te funcionase bien porque tienes un PC antiguo y no quieres cambiarlo para que complicarse?
Si funciona bien para el uso que le das para que lo vas a cambiar?
Tú lo mismo instalas juegos o programas nuevos que por compatibilidad te obligan a cambiar
Pero si hicieras siempre lo mismo en una oficina o en tu casa y te funcionase bien porque tienes un PC antiguo y no quieres cambiarlo para que complicarse?
#18:
#12
El ratio de errores en código de sistema operativo ronda el
Cito:
Despite recent research advances, commodity operating
systems still fail to meet public demand for dependabil-
ity. Studies seem to indicate that unplanned downtime is
mainly due to faulty system software [13, 37]. A survey
across many languages found well-written software to have
6 faults/KLoC; with 1 fault/KLoC as a lower bound when
using the best techniques [16]. In line with this estimate,
FreeBSD reportedly has 3.35 post-release faults/KLoC [5],
even though this project has strict testing rules and anyone
is able to inspect the source code.
It is now beyond a doubt that extensions, such as de-
vice drivers, are responsible for the majority of OS crashes.
Even though extensions typically comprise up to two-thirds
of the OS code base, they are generally provided by un-
trusted third parties and have a reported error rate of 3–
7 times higher than other code [3]. Indeed, Windows XP
crash dumps showed that 65–83% of all crashes can be at-
tributed to extensions and drivers in particular [10, 26].
«3.35 fallos por 1000 líneas de código en FreeBSD, pese a que este proyecto tiene estrictas reglas de verificación y cualquiera puede inspeccionar el código fuente».
El crecimiento del código de Linux:
Our analysis of the Linux
2.6 kernel shows a sustained growth in LoC of about 5.5%
every 6 months, as shown in Fig. 1. Over the past 4.5 years,
the kernel has grown 49.2% and now surpasses 5.1M lines
of executable code—largely due to device drivers, compris-
ing 57.6% of the kernel or 3.0M lines of code.
5.5% cada 6 meses. En 4.5 años el tamaño de Linux aumentó en un 49.2%. El 57.6% de ese aumento es debido a los controladores de dispositivo.
5.1 millones de código en la rama 2.6 (ahora tiene más) hacen 17850 fallos en Linux que NADIE conoce, nadie ha encontrado todavía (en aquél entonces).
Más artículos de temática variopinta relacionada con sistemas operativos los puedes encontrar en la web de MINIX 3.
El ratio de errores en código de sistema operativo ronda el
Cito:
Despite recent research advances, commodity operating
systems still fail to meet public demand for dependabil-
ity. Studies seem to indicate that unplanned downtime is
mainly due to faulty system software [13, 37]. A survey
across many languages found well-written software to have
6 faults/KLoC; with 1 fault/KLoC as a lower bound when
using the best techniques [16]. In line with this estimate,
FreeBSD reportedly has 3.35 post-release faults/KLoC [5],
even though this project has strict testing rules and anyone
is able to inspect the source code.
It is now beyond a doubt that extensions, such as de-
vice drivers, are responsible for the majority of OS crashes.
Even though extensions typically comprise up to two-thirds
of the OS code base, they are generally provided by un-
trusted third parties and have a reported error rate of 3–
7 times higher than other code [3]. Indeed, Windows XP
crash dumps showed that 65–83% of all crashes can be at-
tributed to extensions and drivers in particular [10, 26].
«3.35 fallos por 1000 líneas de código en FreeBSD, pese a que este proyecto tiene estrictas reglas de verificación y cualquiera puede inspeccionar el código fuente».
El crecimiento del código de Linux:
Our analysis of the Linux
2.6 kernel shows a sustained growth in LoC of about 5.5%
every 6 months, as shown in Fig. 1. Over the past 4.5 years,
the kernel has grown 49.2% and now surpasses 5.1M lines
of executable code—largely due to device drivers, compris-
ing 57.6% of the kernel or 3.0M lines of code.
5.5% cada 6 meses. En 4.5 años el tamaño de Linux aumentó en un 49.2%. El 57.6% de ese aumento es debido a los controladores de dispositivo.
5.1 millones de código en la rama 2.6 (ahora tiene más) hacen 17850 fallos en Linux que NADIE conoce, nadie ha encontrado todavía (en aquél entonces).
Más artículos de temática variopinta relacionada con sistemas operativos los puedes encontrar en la web de MINIX 3.
#9:
Tengo clientes que lo siguen usando y funciona perfectamente
Comentarios
#10 Mas los que crees. Si accedes a shodan.io y filtras como he dicho y por pais España, nada menos hay 200 Windows Server 2003 con RDP activado en WAN.
#68 Sí claro. Imagino que no eres informático, por la pregunta, asi que intentaré evitar terminología farragosa.
Las aplicaciones y los Sistemas Operativos estan formados por funciones que se llaman unas a otras formando una cadena de llamadas. La función A llama a la B y esta a la C...etc. Cada funcion hace una tarea y devuelve un resultado.
Sin embargo las funciones pueden tener fallos(bugs). A mayor cantidad de funciones más probable es que encuentres alguna que tenga un bug.
Hay bugs que no comprometen la seguridad del Sistema Operativo (simplemente cuando haces click en un botón este botón no funciona tal y como esperarías) pero hay bugs que sí lo hacen. Un típico bug explotable suelen ser los buffer overflows. Explicarte como se utilizan es complicado pero basicamente digamos que cuando programas una función tienes que asegurarte que no escribes en una zona de memoria que no deberías. Y es bastante fácil que puedas hacer una cagada y escribas fuera de la zona de memoria asignada. Fácil no. Lo siguiente. Como no sé tu nivel de programación permiteme que no entre en tecnicismos.
Lo peor de los buffer overflows es que pueden pasar muy inadvertidos, pero son una potencial puerta de acceso para que un programa(llamalo virus) llame a esa funcion con el bug de tal forma que pueda obtener ciertos privilegios en tu Sistema Operativo.
Por tanto cuanto mas grande sea un Sistema Operativo más facil es encontrar funciones con bugs. Precisamente las Actualizaciones de Windows es una forma de "no asustarte" y decirtr: Miles de fallos solucionados.
En ReactOS estudiamos en profundidad las APIs de Windows y puedes ver probablemente mi nombre y el de mis compañeros en la lista de vulnerabilidades detectadas (básicamente informamos de un fallo detectado a Microsoft antes de que alguien pueda explotarlo).
Hemos creado mas de 13.000.000 de tests y gracias a nuestra investigacion (y estos tests) detectsmos dichas vulnerabilidades. A veces incluso informamos a Microsoft y esperamos su parcheo antes de publicar el test publicamente pues muchas empresas de seguridad e inseguridad nos siguen de cerca y podrían usar la vulnerabilidad para un WannaCry o similar.
Informar a Microsoft sobre estas vulnerabilidades es simplemente un comportamiento ético. También podríamos venderlas a una empresa de "inseguridad" por 100.000€. No están mal pagadas pero nosotros tampoco lo estamos
#69 ¿Vais a implementar pronto políticas de grupo? Sería genial
Ah, y bueno, si NTFS no tira, quizá algun FS de UNIX con soporte de alternate streams...
#77 De hecho ya estamos implementando sesiones y políticas de grupo. El año pasado empezamos a crear un driver NTFS para sustituir nuestro FastFAT gracias al apoyo económico de Google a traves del GSOC. Este año hemos podido volver a contar con el mismo estudiante (una máquina) y continua con el desarrollo del NTFS. Probablemente los posts de coderTrevor (nick del estudiante) son de lo mejorcito para comprender como funciona NTFS: https://reactos.org/blogs/codertrevor Te aconsejo que les pegues un vistazo porque son de quitarse el sombrero(herramientas que ha necesitado crear para comparar diferencias, estudio blackboxed del NTFS de Windows, etc). El objetivo es terminar el año con un driver NTFS que sea totalmente funcional y que permita reemplazar nuestro FastFAT.
Respecto a otros FS, actualmente incluimos de manera nativa varios drivers para leer y escribir que nos sitúan incluso por delante de Microsoft Windows: BTRFS, NFS, EXT2, EXT3,...
Probablemente la cuenta de Twitter de@ReactOS sea de lo mejorcito, en el mundo del open source, para estar actualizado. Compartimos a tiempo real los bugs que se están arreglando, videos de aplicaciones funcionando en ReactOS, las noticias de desarrollo, etc... Y todo gracias a la Comunidad detrás de esta alternativa open source.
Para terminar de rematar, se están reescribiendo parte de los drivers USB que estaban provocando la mayor parte de incompatibilidades a nivel de hardware durante la fase de arranque. Los nuevos drivers son espectaculares. Ayer integramos el primero de ellos, USBPORT.sys, tras 6 meses de desarrollo gracias a las donaciones de la Comunidad. Aquí el el commit que demuestra el trabajazo que lleva: https://git.reactos.org/?p=reactos.git;a=commitdiff;h=9e682081ab9b634d294e2643767a078ad4b890d5
Seguimos siendo medio ignorados por los medios...pero creo que la version 0.5 va a ser una grata sorpresa a nivel de compatibilidad, estabilidad y rendimiento.
#82 Mola. ¿Con qué versión de Windows queréis crear drivers compatibles? Y sobre todo, ¿se podrá arrancar desde USB?
#83 ReactOS es una version que busca solventar los problemas que tiene muchas empresas que se ven obligadas a cambiarse a Windows 7 y 10 pero que no pueden hacerlo porque tienen un lockin debido al software. Por lo que los drivers son compatibles con Windows 2003 Server SP2. Mientras tanto estamos madurando todas nuestras APIs, tenemos 13.000.000 de unit tests y fallamos 12.000. Esto nos da tiempo para ver cuales son los siguientes movimientos de Microsoft (si va a cambiar su modelo de drivers o si ya definitivamente se quedan con el que están) para así luego pegar el salto necesario, aunque se puede ver que Microsoft sigue desarrollando para XP debido a que sigue siendo "demasiado" usado. Lógico, pues se trata de un SO bastante estable, ligero, y que cubre el 90% de las necesidades de la mayoría.
Microsoft ha tocado cierto techo y eso nos permite avanzar más rápido hacia ellos (evitando sus propios pitfalls como Windows Vista, o sus esfuerzos para meter tecnologías que luego terminan descartando).
Nuestra idea es que sea bootable desde USB, ya hay mas de uno que han conseguido hacer un BootUSB con Rufus, pero las nuevas mejoras a nivel de drivers USB serán las que hagan posible tener un BootUSB real. Tenemos un LiveCD asi que hacer un BootUSB no solo es factible sino que ya estamos en ello.
#85 https://sdi-tool.org/download/
Ya lo conocerás pero bueno.
El torrent puede servir como base para la compatibilidad de drivers con XP.
Tengo clientes que lo siguen usando y funciona perfectamente
#9 Y si te cuento los que andan utilizando aún NT 4.0 service pack 5 ó 6..., o incluso Windows 98...
Lo de siempre, si funciona no lo toques.
#25 hasta que deja de funcionar y te encuentras con el marron de que tus programas de hace 20 años ya no pueden ser ejecutados en sistemas operativos actuales, ni instalar tus sistemas operativos de hace 20 años en ordenadores de hoy en dia y lo necesitas tener en marcha para ayer.
#35 tienes razón.
#25 en una empresa un poco sería mo puedes tener servidores y software del año catapun y que luego un día te encuentres que nada sirve.
#43
en una empresa un poco sería mo puedes tener servidores y software del año catapun
No debería ... pero si yo te contara con lo que me encuentro a veces.
#51 por eso digo lo de un poco seria
#65
Sería no coincide con "debería ser seria"
Vamos, que te hablo de empresas del IBEX 35.
#70 en esas como se sub sub contrata Togo está todo cogido con alfileres
#71
Y en algunas, ni eso.
#35 > ni instalar tus sistemas operativos de hace 20 años en ordenadores de hoy en dia y lo necesitas tener en marcha para ayer.
KVM o VirtualBOX. Hasta OS/2 tira.
#60 ya, pero eso ya no es "si funciona no lo toques" ademas, otra cosa es que los disquetes o cds de hace 20 años sigan funcionando
#35 Si yo te contara cuanta gente sigue con programas en MS-DOS que han sido programados a finales de los 80, principios de los 90
Muchos ponen la escusa de que el programa o programas les costó un dineral hace 30-35 años, nada más y nada menos.
Hasta hace aproximadamente 10 años había algunos terminales en El Corte Inglés que iban bajo MS-DOS, lo normal era encontrarte con unos terminales en un entorno operativo parecido al MS-DOS, también en modo texto, creo que estos IBM eran AS/400, así que correrían IBM i (OS/400)
Hoy en día casi todos terminales de este centro comercial se han renovado pero siguen emulando el programa este en modo texto.
#25
Eso es mentalidad de abogado o de economista.
Un ingeniero de verdad siempre piensa ¿cómo puedo hacer que funcione mejor?
#50 Un ingeniero de verdad analiza inconvenientes y no lo toca.
#58
Eso es un funcionario.
#64 No. Acceso al medio por encima del rendimiento.
Lo importante son los datos y la fiabilidad, no el que WIndows 7 tire mejor que XP.
Si Windows 7 no es compatible, se virtualiza XP y a correr.
#50 La mayoría de estos equipos me los suelo encontrar en despachos de abogados, gestorías y demás, que no quita que hace unos año me tocó un WinNT 4.0 en una cadena de TV, pero esto yo creo que ya era más bien por vagancia/pereza por parte de ellos, creo que el era un Pentium III 800 y casi ni lo utilizaban, lo encendían todos los días para nada, pues para que van a preocuparse por el cacharro.
¿Vienen con bugs nuevos?
#1 a estrenar
#1 no lo dudes
#1 Tienen que actualizar los backdoors.
#1 Existe otro fallo en el protocolo RDP (Escritorio remoto). Es igual que EternalBlue pero sólo afecta a Windows Server 2003. Ejecución remota de código con permisos de SYSTEM. Muy crítico.
Aqui se puede conseguir el exploit estemaudit https://github.com/misterch0c/shadowbroker
Usando el buscador shodan filtrando por puerto 3389 y sistema XP aparecen 28844 resultados de los cuáles:
United States
20,297
China
1,931
Hong Kong
531
Germany
490
Russian Federation
469
#8 ¿Y quien es el loco que tiene activo el escritorio remoto?
La pregunta clave es: suponiendo que el 90% de los usuarios legales de XP estuviesen interesados en pagar por soporte anual y actualizaciones... no será negocio volver a ponerlo en las estanterías? Por mucho que renieguen: XP tiene algo que la mayoría de los usuarios aprecian y parece no encuentran o encontraron en Vista, 7, 8 y 10. La clave, creo, es la simplicidad. Es muy intuitivo y versátil. El 7 mantuvo algo de esa simplicidad. Pero ya el 8 con sus widget y demás chirimbolos es muy incómodo.
#24 para ms sería un tiro en el pie o en ja cabeza vender un software de hace más de una década.
Win7 o 10 van bien.
Winxp va bien pero en tu pc de hace 10 años.
#44 en un pc de hace 10 años van mejor el 7 o el 10.
#49 Win7/10 necesita el doble o el triple de RAM que XP sólo para arrancar. De CPU, el XP también es bastante más ligero. En 7 o 10 sólo el proceso audiodg.exe está consumiendo un 2-3% de CPU constantemente. Es lamentable.
#54 Un pc de hace 10 años tiene como mísnimo 2gb de ram, win 10 funciona bien.
#91 Con 2GB de RAM, seis pestañas del Chrome ya te han consumido toda la RAM. Lo sé porque tengo un netbook con 2GB de RAM y Win10.
#49 y mejor el xp, no te jode.
#44 Sí. XP no puede aprovechar CPU s de varios núcleos, y no tiene una versión 64 bits decente, así que olvídate de usar más de 4gb. Pocos fabricantes siguen sacando drivers para XP... Así que no sé quién querría usarlo para un equipo moderno
#52 El multicore funciona de sobra en XP. El único problema grave son los 64bits, aunque yo me conforma con que hubiesen hecho funcionar PAE en el de 32 bits, tal como Linux, y poder manejar más de 4GB de RAM.
#24 Intuitivo, versátil y que aún te dejaba "meter mano" en la configuración, no como Vista (agghhhh), 7, 8 y 10, que el uusario pinta más bien poco.
Yo lo sigo usando, ¿qué pasa?
#6 pues claro, hombre. Como dijo aquel, "tie que haber gente pa to".
#6 Bastante mejor que el Vista. Lo ideal sería tener drivers para una tarjeta gráfica actual.
#75 Ciertos proramas están hechos ad-hoc y no hay dios ni forma que tiren en 7 para arriba. Y algunos de Windows 9x, olvídate.
Y Microsoft es cojonuda en retrocompatiblidad, pero a veces es imposible.
... duda para la informáticos:
si no se añaden nuevas características. ¿cómo demonios un programa que tiene tanto tiempo desde su lanzamiento, siendo además tan intensamente testeado y atacado puede seguir teniendo nuevos bugs?. ¿Tan mal se diseñan los programas?.
#12 Pregúntale a los monos de la proverbial sala de picacódigos de Microsoft.
#12
Buff hay decenas de bugs porque un SO como Windows tiene millones de líneas de código. Cada función es un potencial punto de ataque.
ReactOS, y no es tan completo como Windows, tiene 9 millones de lineas de codigo programadas y mas de 12.000.000 de tests cases. Ahora imaginate Windows
#16 me puedes explicar eso de que cada función es un punto de ataque?
#12 Al contrario
Si funciona bien para el uso que le das para que lo vas a cambiar?
Tú lo mismo instalas juegos o programas nuevos que por compatibilidad te obligan a cambiar
Pero si hicieras siempre lo mismo en una oficina o en tu casa y te funcionase bien porque tienes un PC antiguo y no quieres cambiarlo para que complicarse?
#17 me has recordado las líneas de módem clásicas que at&t sigue teniendo activas en Estados Unidos (funcionando, no que sean altas que no se utilizan o que las paga un muerto), que si no recuerdo mal son más de 4 millones.
Hay gente que si le funciona lo que tiene, no lo cambian, por muy malo o inseguro que sea
#17 Poco a poco quedarías desconectado y expuesto a errores que existen en la versión que ya usas. Pon como ejemplo un pc del apo 2005 con XP, con el tiempo no funcionarán nuevos protocolos como http2, o nuevos formatos como html5, o decodificadores de video como x264, o nuevo hardware como las nuevas variantes de wifi (g,n,ac) (tengo alguna tarjeta que solo soporta wifi b).
Actualizar tiene riesgos, pero quedarse en la misma versión, también.
#21 > o nuevos formatos como html5, o decodificadores de video como x264,
Esos si tiran.
#12
El ratio de errores en código de sistema operativo ronda el
Cito:
Despite recent research advances, commodity operating
systems still fail to meet public demand for dependabil-
ity. Studies seem to indicate that unplanned downtime is
mainly due to faulty system software [13, 37]. A survey
across many languages found well-written software to have
6 faults/KLoC; with 1 fault/KLoC as a lower bound when
using the best techniques [16]. In line with this estimate,
FreeBSD reportedly has 3.35 post-release faults/KLoC [5],
even though this project has strict testing rules and anyone
is able to inspect the source code.
It is now beyond a doubt that extensions, such as de-
vice drivers, are responsible for the majority of OS crashes.
Even though extensions typically comprise up to two-thirds
of the OS code base, they are generally provided by un-
trusted third parties and have a reported error rate of 3–
7 times higher than other code [3]. Indeed, Windows XP
crash dumps showed that 65–83% of all crashes can be at-
tributed to extensions and drivers in particular [10, 26].
«3.35 fallos por 1000 líneas de código en FreeBSD, pese a que este proyecto tiene estrictas reglas de verificación y cualquiera puede inspeccionar el código fuente».
El crecimiento del código de Linux:
Our analysis of the Linux
2.6 kernel shows a sustained growth in LoC of about 5.5%
every 6 months, as shown in Fig. 1. Over the past 4.5 years,
the kernel has grown 49.2% and now surpasses 5.1M lines
of executable code—largely due to device drivers, compris-
ing 57.6% of the kernel or 3.0M lines of code.
5.5% cada 6 meses. En 4.5 años el tamaño de Linux aumentó en un 49.2%. El 57.6% de ese aumento es debido a los controladores de dispositivo.
5.1 millones de código en la rama 2.6 (ahora tiene más) hacen 17850 fallos en Linux que NADIE conoce, nadie ha encontrado todavía (en aquél entonces).
Más artículos de temática variopinta relacionada con sistemas operativos los puedes encontrar en la web de MINIX 3.
#18
#12 Normalmente los fallos aparecen por situaciones que no fueron probadas con anterioridad. Como es muy difícil o directamente imposible probar toda la combinatoria, es muy probable que haya errores no detectados en todo el software que se usó, se usa y se usará.
Hay algunas contramedidas genéricas para actuar como cortafuegos (aislamiento entre programas, permisos en archivos y bloques de memoria, etc...), pero aun así no son infalibles.
#19 De momento la mejor respuesta. #12 El que funcione bien en la situación típica, no significa que funcione bien en cualquier situación.
#12 Creo que tienes un pequeño fallo de concepto, pues la gran mayoría de 'fallos explotables' que se descubren no son fallos del software en absoluto. Son puertecitas dejadas ahí para algo por alguien. Solo que son muy difíciles de encontrar. Es decir que se encuentre un 'fallo de seguridad' nuevo no significa que se haya encontrado ni mucho menos un fallo en la programación. Simplemente se ha descubierto como acceder a una puertecita trasera que no se sabía que estaba ahí.
¿despues de tantos años aún quedan? Buah! Y no se acabarán nunca. Hace poco vi un truco nuevo de Mario Bros de NES. Mira si tiene años y ha sido 'testeado' veces. Y aún le salen.
Es un software propietario de código cerrado. Es posible incluso que esas puertas que ahora puedes abrir estuvieran diseñadas para abrirse a partir del año 2015. Por ponerte un ejemplo imaginario.
#12 Esos "nuevos" bugs, son errores de programación, en la inmensa mayoría de los casos, que ya estaban allí desde mucho antes de su descubrimiento (podría ser incluso desde el mismo momento que se instalo el sistema operativo), pero que no habían sido detectados (o si habían sido detectados, lo saben unos pocos que no lo comunican para explotarlos). La novedad se refiere a cuando han sido "descubiertos" a nivel público o explotados de forma masiva.
Y la otra posibilidad, mucho menos probable, pero que a veces también sucede, es que sean agujeros de seguridad puestos en el código a propósito, lo que se denominan puertas traseras, algo que debería ser absolutamente ilegal, pero actualmente no lo es, y que muchos gobiernos y agencias de seguridad obligan a incluir de forma oculta en los sistemas operativos tipo Windows. Hay una máxima en informática: la seguridad por el desconocimiento (de la existencia de la puerta trasera en este caso) u ocultación (el código fuente de Windows es propietario y no es público) no funciona, al final casi siempre alguien descubre como explotarlo, o lo cuenta quién no debería y libera (hace públicas) las herramientas necesarias para usarlo, dejando la seguridad a la altura de un simple secreto.
La página donde están todas las actualizaciones.
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
#29 ¿Y como se descargan los parches desde un navegador bajo GNU/Linux?
El firefox me ha dejado descargar uno. Ni el Chrome ni el Opera ni el Firefox dan opción a descargar después de elegir el lenguaje y se queda así... Al menos... ?¿?¿
#53 Igual, se supone que debe haber un botón para descargar un ejecutable, y que mediante un trigger de javascript debería actualizarse la página al modificar el idioma, la web va lentíssima y no aparece tal botón de descarga, a lo mejor espera alguna comunicación con la mierda de "Windows Genuine Advantage", en fin, m$.
#53 #62 Son parches para Windows XP, la web sólo funciona con Internet Explorer 7
#59 si, ese es el caso de mi amigo, los redhat estan virtualizados, bajo que sistema, no se, mi amigo lleva años luchando por que se los dejen cambiar por debian.
ayer vi una rana con pelo, va a ser verdad que el mundo se acaba
#2 https://es.m.wikipedia.org/wiki/Trichobatrachus_robustus
Lo malo es que puedes parchear el sistema operativo, pero no el cerebro del que lo utiliza.
#73 Pues sabes perfectamente los beneficios de la virtualización en cuanto a seguridad y sobre todo restauración de sistemas.
XP es soportado en VirtualBOX decentemente, no es como Win9X donde ya las pasarías bastante más putas, con un driver SVGA y gracias.
En KVM tambien, aunque no creo que los drivers de virtio tiren.
#74 Sé los beneficios que tiene la virtualización, para eso tienes que conocerla bien y saberla administrar.
Hay una cosa que esta muy clara, si todo el mundo que ha estado afectado supiese lo que tiene en sus manos, no hubiese habido este ataque.
Los sistemas tienen que estar actualizados, si o si, si no hay plan A hay plan B. Es una de las normas básicas que un buen administrador de sistemas, tiene que saber.
#79 >Los sistemas tienen que estar actualizados, si o si, si no hay plan A hay plan B. Es una de las normas básicas que un buen administrador de sistemas, tiene que saber.
También el downtime en hospitales y así es crítico.
#84 Se puede también, se puede.
El downtime, no es problema, te lo puedes montar sin necesidad de afectar al downtime. Solo hace falta una cosa, dinero y conocimientos. Cuando hablo de conocimientos no me refiero al típico blog o la lectura que se lee por internet.
#87 Si, balanceos de carga, redundancia y demás. Pero acojona.
#88 Tu lo has dicho. Ese es el verdadero problema, les acojona, No significa que no se pueda.
Este soporte no lo hay en software libre
#26 En RedHat si. En los BSD, al ser sistemas cuya base cambia muy muy poco en el caso de OpenBSD, las actualizaciones graduales son siempre posibles.
#32 tengo un amigo con varios servidores redhat 4 en el trabajo (miles de estaciones de trabajo, no te creas que es una pyme) y te puedo asegurar que NO tienen soporte.
#36 También en RH4 recomiendan virtualiarlo sobre RH6. Sobre XP, MS lo debería dejar morir.
Vería estupendo que llevasen a juicio a los responsables de las empresas u organizaciones que no cambian de SO.
Tan responsable es el que no cambia el SO de su red, una vez ha vencido el soporte y poniendo en peligro a otras redes, como aquellos que realizan el ataque.
Si no paso ITV con el coche, la policía me para y se lo lleva...
#28 Menuda cuñadez. ¿Y si el software no es compatible?
#31 Si no es compatible, haces que sea compatible. Para eso las empresas ganan dinero y si no, que usen software libre.
Pero no pongas en peligro a los demás, por ser vago o que el jefe por tocarse los huevos y no gastar dinero la pueda liar bien liada.
No es ninguna cuñadez, es la realidad, hay software suficiente y técnicos suficientes para adaptar el software. Llevo muchos años en esto, no me sirve esas opiniones de técnicos de nueva hornada.
Cuando vayas con el coche por la calle, dile eso a un agente de tráfico, le comentas de que no has podido pasar la ITV y que es una cuñadez, no te dará un negativo, te dará unas cuantas lecciones!
#39 >Si no es compatible, haces que sea compatible. Para eso las empresas ganan dinero y si no, que usen software libre.
Si son programas de hace 20 años, igual el código ya no existe.
>No es ninguna cuñadez, es la realidad, hay software suficiente y técnicos suficientes para adaptar el software. Llevo muchos años en esto, no me sirve esas opiniones de técnicos de nueva hornada.
Soy técnico de sistemas. Para evitar problemas, virtualización y VPN.
#57 Soy director técnico, más que nada para que sepas lo que dices.
#28 Estás mezclando temas que no tienen nada que ver.
Si un coche se deja de fabricar y el fabricante deja de dar soporte (piezas y actuaciones sobre elementos de desgaste problemáticos), la policia no te va a parar a llevárselo ni te pueden denegar pasar la ITV si funciona, tampoco te pueden obligar a cambiar de coche, a una nueva versión / actualización del coche, por muy segura que te la vendan, teniendo que pasar por caja.
En demasiados casos no se cambia de sistema operativo por que no hay opción para ello, ya sea por el hardware limitado o por ciertos desarrollos específicos, que pueden ser parte del negocio de empresa, que sólo funcionan en una versión de sistema operativo determinado (fueron diseñaron en un tiempo en el que sólo existía ese sistema operativo y no sus actualizaciones). En otros casos porque los nuevos sistemas operativos son una mierda absoluta, al menos en la experiencia de los usuarios, y me incluyo, me quedo para trabajar con el windows 7 pro y que se metan el windows 8.1 y 10 por donde les quepa.
Lo que habría que hacer es obligar a dar un soporte mientras haya demasiada gente utilizándolos, eso de vender software, millones de copias y desentenderse de él porque le han puesto fecha de caducidad en la empresa que lo vende, pero que siguen utilizando millones de personas, eso sí debería ser denunciable.
#34 hasta que sacan leyes que te lo prohiben utilizar los coches de hace 20 años en determinados sitios y van ampliando los sitios donde no te dejan utilizarlos.
http://ccaa.elpais.com/ccaa/2017/03/06/catalunya/1488800064_042834.html
#37 Que el mundo está corrupto, no es nada nuevo, si el objetivo de una ley así, fuera como dicen, contaminar menos, pues que empiecen por hacer un control de emisiones efectivo y más frecuente en la ciudad y no poner una caducidad a los vehículos como si fueran filetes. Igual muchos vehículos nuevos mostrarían niveles de contaminación inaceptables y por ello no lo hacen (caso Wolkswagen ampliado).
Pero está claro que el objetivo es otro y no está del todo relacionado con la seguridad ni con las emisiones, siendo además el caso que fabricar un vehículo nuevo, es muchísimo más contaminante en su totalidad que reutilizar un vehículo viejo de baja emisión y bien cuidado. Aquí hay además intereses económicos importantes.
Lo mismo con los sistemas operativos, el caso es que pases por caja y por los nuevos mecanismos de espionaje masivos insertados a cientos en los "mejorados" y "más seguros" sistemas operativos... hasta que se vuelvan a descubrir mil y un agujero de seguridad, que con los mecanimos intrusivos y de "vigilancia" agregados... ¿qué podría salir mal?
#38 "por los nuevos mecanismos de espionaje masivos insertados a cientos en los "mejorados" y "más seguros" sistemas operativos..."
¿Dime cuantos bugs has explotado tú? ¿y cuantos backdoors has detectado en un SO? Pero dime tú lo que has podido comprobar, no lo que hayas leído tú por ahí. Leer todos sabemos leer, pero ninguno analiza si eso que lee es cierto o como llegar a esa conclusión.
Internet esta llena de información tóxica.
#38 si controlaran bien las emisiones se pondría de manifiesto que todas las marcas son malas cuando el usuario maltrata los motores, se queman con unas cuantas veces de pedirles más reprise y velocidad de lo que pueden dar y los filtros o otros sistemas de depuración de humos dejan de hacer su función.
Se demostraría que el sistema de filtros de humos no sirve, y habría que implementar alguno de los sistemas de mezcla previa a la combustión en que usan combustible+aire+agua; hace más de un siglo que se patentan diversas maneras de hacerlo, yo llevo uno en mi diesel, me lo he hecho en casa, tan pequeño y disimulado que paso la ITV y no saben verlo, gracias al que sus aparatos no consiguen medir nada de emisiones. Supongo que no los ponen de serie porque no les interesa; disminuyen bastante el consumo, la temperatura y el régimen de trabajo del motor y por consiguiente el desgaste aumentando considerablemente su vida.
Mi coche es diesel, tiene 14 años y no tengo pegatina de baja contaminación mientras que cada dos por tres veo coches bastante nuevos que van echando humo a cada golpe de gas.
#34 Te dejo un enlace y lee a ver que tal.
http://www.abc.es/motor-reportajes/20141127/abci-pasa-circulo-201411241626.html
#34
En demasiados casos no se cambia de sistema operativo por que no hay opción para ello, ya sea por el hardware limitado o por ciertos desarrollos específicos, que pueden ser parte del negocio de empresa, que sólo funcionan en una versión de sistema operativo determinado (fueron diseñaron en un tiempo en el que sólo existía ese sistema operativo y no sus actualizaciones). En otros casos porque los nuevos sistemas operativos son una mierda absoluta, al menos en la experiencia de los usuarios, y me incluyo, me quedo para trabajar con el windows 7 pro y que se metan el windows 8.1 y 10 por donde les quepa.
Si que existe opciones, hombre otra cosa es que de "palo" migrar, pero eso no es el problema de los demás, es problema de quien no quiere migrar el software, del administrador de redes, del director, o el nivel económico que tenga esa empresa, para poder costear las migración.
Yo he visto software en SO antiguos que han realizado migraciones, adaptándolo a los nuevos SO y no precisamente en una red pequeña. Son más las excusas, que el no poder realizarlo. Si impusieran multas los inspectores, ya verías como se las apañaban para migrar todo.
#28 comparar el software anticuado con un coche sin ITV...
Pues el único que se arriesga es el que lo tiene desactualizado no?
#45 Si está conectado a Internet se arriesga todo Internet a que se usen los componentes desactualizados para hacer ataques DOS.
Y si el SO desactualizado es de un sector crítico entonces si que hay riesgo. Los médicos del NHS decían que el "Ramonguare" Wanacry iba a producir muerte seguro. No se si al final alguien se paró a contarlas.
#45 Un hospital bloqueado por culpa de un ransomware pone en peligro a mucha gente, un robo de datos de una gestoría por culpa de software sin actualizar pone en riesgo a sus clientes. Miles de cámaras con bugs o con la contraseña por defecto permiten hacer uno de los DDoS más grandes hasta la fecha, fastidiando a la empresa objetivo.
#45 No es el software anticuado, es el daño que puedes hacer con ese software.
El soiftware en si, no es nada, pero si que tiene un riesgo y es afectar a los demás.
Lo mismo ocurre, con los coches, porque puede afectar a los demás y a tu vida propia.