Haciendo como que trabaja hace unos días me tope con este post de Jorge Cortell que comentaba la seguridad de Apache y la de IIS. Este hombre ha hecho tantos cursos y cosas en su vida que mejor no intento decir a que se dedica porque fijo que me equivoco.
A lo que íbamos. En ese post se hacía eco de un artículo en ZDNet muy alarmante: "Why Windows is less secure than Linux". Ya está, ya la hemos cagado. Yo tan contento con mi nuevo y flamante Windows Vista que tanto me había costado instalar (dejamos esa historia para otro día) y ahora resulta que ya no valía para nada. Para los que estén vagos y no quieran leerl, la argumentación de Richard Stiennon en esa entrada de abril de 2006 se basa en que Apache hace menos llamadas al Sistema que IIS, por lo que es más fácil de proteger. Y ya está, se queda más ancho que pancho. IIS hace más llamadas por lo que Windows es una basura. Fin de la discusión. Es lógico, ¿no? Entonces porque según Secunia IIS 6.0 desde que salió solo ha tenido 3 "Secunia advisories" frente a los 34 de Apache 2.x y las 4 de Apache 2.2.x (ambos tienen todavía una pendiente). Para los talibanes de ahí fuera de ambos grupos: esto no significa que piense que IIS es más seguro que Apache. Solo quiere decir que IIS no es más inseguro que Apache por hacer más llamadas al Sistema y que extrapolar una parte al todo me parece un tanto arriesgado y pretencioso.
Y volvemos con el post de Cortell. En su segunda parte habla del Malware encontrado en ambos servidores (la fuente es este artículo de Google). Cito textualmente:
Y por si te quedan dudas, Google ha publicado un estudio de 80 millones de servidores de dominio que demuestra que hay el doble de posibilidades de que un malware venga de IIS que de Apache: el 49% de los servidores de malware son IIS —el mismo porcentaje que Apache. (”Otros”: 2%.) Pero en total sólo el 23% de los servidores web analizados son IIS comparado con el 66% de Apache. O sea, un total de (49% contra 23%).
Si nos vamos a la fuente del artículo vemos la manera en la que esta información se ha maquillado para dar ese toque de alarmismo y de "que malos que son los de M$ que además de vendernos una mierda de productos también nos meten malware". Las cifras son las que hay, pero es que incluso en el mismo artículo dan una posible explicación del porqué es así (también en los comentarios se sigue hablando). Si os interesa os lo leéis, no os voy a dar yo toda la papilla.
¿Y qué es lo que más me molesta de todo esto? Pues varias cosas. Por una parte que se hagan resúmenes poco objetivos de los hechos y que se maquille la realidad (de forma voluntaria o no). Por otra que la gente se haga eco de estos artículos sensacionalistas y que no se informe en lo más mínimo (Cortell ha llegado con un año de retraso, pero ha habido un montón más que han hablado del tema). Y, finalmente, lo que más me fastidia es que en un blog en el que se aboga por las libertades (de expresión y de software) se me censure cuando intentaba comentar todo esto. Por lo visto el mensaje nunca llegó a su destino.
Por cierto, si alguien es capaz de leer algo en las imágenes de Apache e IIS que avise porque yo ahí no veo nada.