Microsoft prepara a empleados de Best Buy para descalificar a Linux

GodofGrunts que aparentemente trabaja en una tienda Best Buy ha publicado en el foro Overclock una serie de imágenes que son parte del curso de formación Microsoft ExpertZone, un curso para ser “experto calificado” en los productos Windows. Pero lo que llama la atención es que dentro de este curso se encontraba un módulo llamado “Linux vs Windows 7” donde es interesante leer los argumentos con los Microsoft descalifica a Linux.

La mayoría de software que se desarrolla está destinada a Windows… Nada es tan completo como Windows 7 que ha sido diseñado para ser la versión más compatible de Windows que ha habido nunca, soportando más de 3.000 modelos de impresoras, 700 cámaras digitales, 240 webcams y 180 cámaras de vídeo. Linux no es compatible con muchas aplicaciones comunes y servicios en línea, como iTunes, Zune, Quicken, Photoshop u Office 2007.

No es fácil actualizar Linux, ya que requiere mucho tiempo de mantenimiento, Por ejemplo Ubuntu puede tener cientos de actualizaciones en un mes, y no es claro para los usuarios si el software es no necesario para aplicarse inmediatamente o solo es opcional.

Obviamente este curso esta aplicado para ser un buen vendedor de productos Microsoft y está claro que Windows 7 desempeña un papel importante con respecto a sus versiones anteriores, pero en cuanto a sus argumentos contra Linux debemos señalar lo siguiente:

• Mientras hay poco soporte (en realidad nada de manera oficial) “oficial” para el iPod en Linux, Zune tampoco tiene soporte en Mac, aún así hay algunos avances de la comunidad Linux.
• Hay muchas alternativas libres para todo el software ahi mencionado
• Juegos como World of Warcraft pueden correrse fácilmente en Linux con WINE o que tal Crossover Games
• Sobre las actulizaciones, que tal los Service Packs para cubrir vulnerabilidades atacadas por virus, por ejemplo Conficker

Fuente: [FayerWayer]

Cuando pequeños detalles desencadenan complejos problemas

Hace más de un mes se divulgó una falla de seguridad en Linux que hasta el día de hoy se discute desde varios puntos de vista: La reacción de los desarrolladores, la forma en que se manejan estos problemas, y las decisiones de diseño que pueden ayudar a que éstas ocurran.

El problema en sí es bastante sencillo, y es fácil de entender para todo aquél que alguna vez haya tenido que programar en lenguajes cercanos a la máquina como es el caso del lenguaje C.  Uno de los problemas comunes es el uso de variables no inicializadas, específicamente referencias a la dirección 0, también conocida como null.

Esto ocurre cuando se usa una variable que debería apuntar a un objeto válido en memoria, pero al no ser inicializada apunta a la dirección 0 (null pointer dereference).  Esto podría provocar resultados indeterminados, pero en Linux se usa una característica del hardware para que este tipo de errores se detecte inmediatamente.  Lo que se hace es que en la dirección cero no se mapea ninguna página de memoria, por lo tanto cualquier intento de acceder a esa zona provocará una excepción de hardware indicando que no hay nada en esa ubicación, lo que el usuario ve como un Segmentation Fault.

Los programadores, confiando en este sistema de detección pueden asumir que estos casos serán manejados siempre de esta forma, con un resultado conocido.  Pero qué pasa si alguien efectivamente pone código en esa zona para que un error de este tipo no provoque una excepción de hardware, sino que la ejecución de código malicioso.

El kernel impide que esto se pueda hacer, estableciendo un límite inferior de dirección de memoria mapeable.  Pero cuando se da mayor privilegio al código, estos límites no son considerados, y es ahí en donde se puede abusar del sistema.

Un usuario mostró que este caso es posible, y que las referencias a null podrían ser abusadas si se lograba poner código en la zona prohibida.  La demostración la hizo con PulseAudio, que permite cargar bibliotecas indicadas por el usuario, si el ejecutable de PulseAudio se ejecuta con privilegios de root, como lo hacen algunas distribuciones, y se usa SELinux en donde los límites no son considerados, se puede cargar código que se activará cuando se use un puntero no inicializado.

Aunque parezca contradictorio, en este caso en particular, el sistema de seguridad SELinux originado en la National Security Agency (NSA) dejaba al sistema vulnerable frente a esta falla de seguridad.

Las correcciones no tardaron (tanto) en llegar, aunque este tipo de problemas son igual que los accidentes, se debe dar una compleja combinación de factores para que ocurran, pero eventualmente ocurrirán.

¿Qué es lo que falló?  ¿Las auditoría son insuficientes? ¿Problemas de diseño? Es la naturaleza imperfecta del humano, manifestada en el software.  Se generó una gran discusión respecto a aumentar los niveles de control y revisión, y es aquí en donde nuevamente Linus enseña algo importante en la lista de correo del kernel:

La buena memoria no se trata de recordar todo.  La buena memoria se trata de olvidar lo irrelevante, de tal forma que las cosas importantes permanezcan y se puedan recordar.  Pero el asunto es que: Sí, debes olvidar cosas. Y eso significa que vas a perder los detalles – pero se espera que se pierdan aquellos detalles que no son importantes.  Aquí las palabras claves son “se espera”.  La mayor parte del tiempo funciona, pero todos sabemos que a veces somos capaces de olvidar detalles que resultan ser cruciales después de todo.

Fuente: [FayerWayer]