Categoría: licencias
13 Diciembre 2005
Hace sólo unas horas que Renaud Deraison nos anunció la disponibilidad de la esperada nueva versión de Nessus con este mensaje:
From: "Renaud Deraison"
To: "Nessus List"
Sent: Monday, December 12, 2005 12:59 PM
Subject: Nessus 3.0.0 available !
I'm thrilled to announce the availability of Nessus 3.0.0 !
Nessus 3 is a complete rewrite of the Nessus engine, designed for speed and efficency -- as a result Nessus 3 is on average twice as fast as Nessus 2 (with spikes as high as five times faster) and is less resource intensive.
The Nessus 3 major enhancements are the following :
- New NASL3 engine
- Improved plugin storage for faster startup time
- Improved networking functions
- New scanner architecture to be both efficient and robust
- The Nessus daemon fetches the plugins automatically when registered (this can be disabled in nessusd.conf)
- Improved error handling
Nessus 3 is available on the following platforms :
- Red Hat ES3 and ES4
- SuSE 9.3 and 10.0
- FreeBSD 5 and 6
- Fedora Core 4
- Debian 3.1
The following platforms will be supported in early 2006 :
- Mac OS X 10.3 and 10.4
- Microsoft Windows 2000/XP Pro/2003
- Solaris 9 and 10
I'm also happy to announce that we're extending the service we offer to our direct feed customers to include full email support, with access to our customer portal which gives users the ability to reset their activation codes, track their support tickets, and have access to the Nessus Support Knowledge base.
We have also changed our plugins license agreement so that consultants do not have to fax us to ask permission to use the plugin feed any more.
Nessus 3 can be downloaded at http://www.nessus.org/download/
Thanks,
-- Renaud
Nessus es, con distancia, el mejor scanner de vulnerabilidades existente en la actualidad. Hasta la versión anterior a esta (la 2.2.5) se distribuía bajo licencia GPL pero hace tan sólo un par de meses que Renaud anunció en la lista asociada al proyecto la polémica decisión de abandonar este modelo de licencia para la futura versión 3.0.0. Las explicaciones que dio para este cambio de actitud fueron claras: hasta ahora había recibido poca o ninguna ayuda para desarrollar el motor de nessus y, sin embargo, las empresas privadas del sector se estaban beneficiando claramente de la inspección de su código. La noticia fue recogida pero, al menos en nuestro entorno, no con la polémica que cabía esperar. En castellano tenemos, entre otros, esta nota en el blog de Hispasec y este hilo con muy poco eco en barrapunto
La respuesta final de la comunidad ha sido crear un fork del proyecto a partir de la última versión GPL que en principio se pensó en llamar GNessus y finalmente parece que se llamará OpenVAS
Puedo comprender las razones de Renaud y también las reticencias de los usuarios y no me voy a meter en discutirlas pero lo que habría que esperar, para bien de todos, es un mínimo entendimiento entre ambos proyectos: uno de los mayores éxitos de Nessus ha sido, aparte de la indudable calidad de su motor, los centenares de plugins desarrollados por la gran cantidad de incondicionales que tiene el proyecto. Mantener la compatibilidad entre ambos a este nivel debería de ser del todo imprescindible para perpetuar el éxito de ambos.
Conseguir esto no debería de ser difícil con un mínimo de cooperación y entendimiento por ambas partes. Los plugins de Nessus se realizan mediante NASL (Nessus Attack Scripting Language, un potente lenguaje de scripts creado por el propio Renaud. En la lista de correo del proyecto ya se anunciaba la intención de no alejarse de esta especificación en la nueva versión de Nessus, entre otras cosas, imagino, porque Nessus no sería lo mismo sin esa importante colaboración externa:
I think a lot of people do not understand what the Nessus engine is it's a platform to run plugins effectively. When we improve a NASL plugin, the improvement works both on Nessus 2.x and on 3.x. So sticking to Nessus 2.x is fine if you don't want to upgrade.
Lo que pasará en realidad está aún por ver: la sana competencia entre ambos proyectos manteniendo la compatibilidad con el uso de un lenguaje común para el desarrollo de los plugins sería, creo, beneficioso para todos. Crucemos los dedos.
servido por unlugarenelmundo
sin comentarios
compártelo
5 Diciembre 2005
Lo lei hace unos días en el último número de Linux Magazine en castellano pero, a pesar de la extrema confianza que me merecen las publicaciones del señor Paul C. Brown, decidí hacer como Santo Tomás y meter el dedo en el socket (¿era así no?) ... Pero os pongo en antecedentes: la nota de Linux Magazine hablaba de una 'oferta' de DELL para comprar equipos sin sistema operativo (en realidad con una versión de FreeDOS) para que los usuarios de LINUX no tengamos que pagar el coste del windows impuesto en todos sus productos. Contra todo pronóstico, comentaban en la revista, sale más barato comprar el equipo con la licencia de windows y la misma configuración de hardware ¿en serio?
Lo primero que hice fue probar suerte en las páginas españolas de DELL para ver si tenían alguna oferta similar. Infructuosamente, he de decir: no fui capaz de encontrar ni un sólo modelo (ojo, de ordenadores de sobremesa, no estamos hablando de servidores) que se pudiera comprar sin sistema operativo o con una versión libre de lo que sea. Así que salto a las páginas de DELL en los EE.UU. y parto de la página reseñada en el LINUX Magazine donde, efectivamente, tenemos una 'oferta' de equipos DELL sin windows. Concretamente aquí. El equipo que he escogido como referencia es el más barato de ambos: 844,00$.
La prueba, a partir de aquí, es bastante fácil: ahora nos vamos a las páginas de productos, elegimos la misma configuración hardware y vemos a cuanto sale. Partimos de la página donde están los equipos de la
gama Dimension, tomamos el equipo base (699,00$) y lo completamos con los extras que vienen de base en el equipo ofertado sin sistema operativo, a saber, 50,00$ de una tarjeta gráfica superior y 25,00 $ de una
SounBlaster Live genuina: total 774,00 $, es decir, 70,00 $ menos! Si, además, comparamos la letra pequeña del 'Also included' de cada uno de los dos equipos, vemos que aparte del
Windows XP Media Center 2005 que ya hemos 'elegido' la configuración con software propietario tiene algunos añadidos más respecto a los que ofrecen con la otra configuración: PC Restore Recovery System by Symantec, 6 meses de cortesía en AOL, un Starter Entertainmen Pack, y el Corel WordPerfect.... posiblemente sean promocionales pero, digo yo que alguien tendrá que pagar, al menos, los soportes ópicos ¿no os parece?
Una nota adicional para que no haya malentendidos: aunque en la propaganda inicial del equipo sin sistema operativo dice que viene con 512 MB de serie al entrar en las opciones de personalización vemos que el precio de 844,00 $ es para una configuración con 256 MB, que es la misma con la que hemos comparado en el otro extremo. Si esto se debiera a un error en la oferta, aún así estamos hablando de una diferencia de 30,00 $ a favor de los de Microsoft. Ante la duda, los datos que aquí recojo corresponden a los precios que arroja la configuración personalizada de los equipos en ambos casos: 70,00$ de diferencia para equipos con 256 MB.
El asunto tiene muchas posibles lecturas... Lo primero que se me paso por la cabeza es que DELL es consciente de que el equipo con Windows XP es peor que el equipo sin sistema operativo y por eso lo vende más barato, ¿improbable verdad? Pues es la más lógica de las hipótesis que se me han ocurrido... porque Microsoft, imagino, no le regala las licencias a DELL así que ¿cómo es que DELL no repercute ese precio en el usuario final?
Si seguimos 'pensando bien' y que debe de haber una explicación lógica y honesta a todo esto lo siguiente que se nos ocurre es que, claro, el volumen de venta de unos equipos es seguramente mayor que la de los otros así que los costes de producción tendrían que repercutir en el precio final, pero ¿cual es la diferencia entre uno y otro? Pues el clonado del disco duro... ¿70,00$ de diferencia? No, 70,00$ no: 70,00$ más el coste que tenga la licencia de windows (quiero seguir suponiendo que no las regalan, vaya)
En definitiva: hablamos de que existe una diferencia de 70,00 $ entre uno y otro equipo ¡el equipo con Windows es 70,00 $ más barato que el que no lo trae! La única pregunta que cabe hacerse ante esto es ¿subvenciona DELL los equipos con Windows o lo hace la propia Microsoft?
servido por unlugarenelmundo
sin comentarios
compártelo
5 Diciembre 2005
A la vuelta de las vacaciones nuestros diputados se han encontrado un regalito inesperado: un ordenador!
Hemos tenido mucha información sobre esto, por ejemplo una nota de prensa de EFE publicada en Periodista Digital, una bonita animación en El Mundo que nos muestra el aspecto externo de los equipos (por cierto ¿no echais en falta un lector de smartcards que permita, por ejemplo, autenticación a través del futuro DNI digital?), los inevitables comentarios en Barrapunto, entradas en las bitácoras de algunos de los miembros de Hispalinux (Juantomas García, Benjamin Villoslada), etc.
No tenemos detalles (o al menos yo no los he encontrado) acerca de, por ejemplo, el hardware que usan. No sabemos por tanto si se trata de equipos DELL, HP o tal vez clónicos. Pero lo que si sabemos es el sistema operativo que usan: Windows XP...
No voy a opinar sobre esta decisión sin saber como se ha llegado a ella. Esto es, precisamente, lo que me gustaría saber ¿cómo se ha llegado a decidir que este es el sistema operativo idoneo? ¿alguien ha hecho un estudio previo?¿ha habido un concurso público?¿qué criterios de valoración se han seguido para esta adquisición? Cualquiera que esté familiarizado con los procedimientos administrativos sabe que, por regla general, el valor económico suele ser el criterio decisivo para la adjudicación de cualquier producto o servicio ¿Quizás sus señorías necesitan usar algún software que no funciona en LINUX? En ese caso ¿Cual?
No, no me parece este un asunto trivial y me considero una persona comprensiva en estos asuntos (en todos, por regla general...). Puedo entender (con repararos y siempre pensando que se trata de una visión a muy corto plazo) a alguien que me argumente seguir con windows simplemente por no afrontar el coste de una migración a LINUX, pero no puedo comprender en absoluto a quien se plantea hoy por hoy una nueva instalación y decide comprarle las licencias a la empresa de Redmon sin estudiar otras posibilidades. Y menos cuando esa compra se hace con dinero público. No puedo comprenderlo sin que me expliquen detalladamente como se ha llegado a esa decisión y el motivo por el cual alguien ha decidido tirar mi dinero a la basura de esta forma...
Pero bueno: obviemos el asunto económico que tampoco vamos a ir a ningún lado por unos cuantos miles de euros. Ningún perro lamiendo engorda, que diría mi madre. Pero ¿y la seguridad?¿y la privacidad?¿y la apuesta por iniciativas propias?¿Se han valorado estos puntos a la hora de elegir?¿Es pública esa valoración?
servido por unlugarenelmundo
sin comentarios
compártelo
5 Diciembre 2005
Allá por, creo recordar, la primera mitad del año 2001, Microsotf realizó un cambio en su política de licencias y lanzó el Software Assurance o seguro de software, una especie de servicio de subscripción que permite, a cambio de una cuota bianual un derecho de actualización inmediata a cualquier nueva versión del producto licenciado. Como en todo lo que se mueve alrededor de Microsoft hubo fuertes críticas y grandes alabanzas. Hoy, cuatro años después de su lanzamiento, podemos hacer numeros y ver quien tenía razón y quien no. Para ello nada mejor que un ejemplo práctico. Como en la escuela, primero el enunciado:
Supongamos el caso de una empresa pública que, por renovación tecnológica, decide cambiar todo su parque de ordenadores (1500). Estamos en mayo de 2001 y deciden retirar todo su hardware ya obsoleto y cambiar a la versión de Windows 2000 que su departamento de informática, después de una minuciosa evaluación, ya considera suficientemente estable. Necesitarán, además, la versión Profesional de Office. En el año 2003 su parque informático ha crecido en 300 puestos. El departamento de informática decide que la versión de Windows XP aún no es suficientemente madura ni les aporta mejoras como para considerar el elevado coste de la migración. Finalmente en 2005 la empresa ha crecido en 200 puestos más y, por fin, se decide acometer la migración a Windows XP Professional que con el Service Pack 2 ya les aporta la confianza suficiente. Para no complicar el ejemplo obviaremos las licencias necesarias en servidores, las de conexión etc. y nos centraremos en exclusiva en los puestos de trabajo aquí mencionados.
No es un caso rebuscado ¿verdad? seguro que, quien esté metido en esto, conoce muchas empresas que, variando los números, puedan ajustarse más o menos a esta realidad... Pero antes de empezar, introduciremos una nueva variante en nuestro problema:
Cuando nuestra empresa está buscando un proveedor de hardware para unificar sus equipos varios proveedores le ofrecen PC's a precios realmente muy competitivos pero que ya incluyen en versión preinstalada (y con su licencia pagada) el sistema operativo (una versión de Microsoft Windows, por supuesto...). El precio del equipo es bueno, el soporte que da la compañia también y, cuando se le insiste al proveedor de hardware que las licencias las vamos a comprar aparte porque somos una empresa pública, tenemos condiciones preferentes y, además, estamos valorando entrar en el modelo de software assurance la empresa proveedora nos dice que si nos descuenta el precio de las licencias no puede mantenernos el precio de los equipos porque se trata de configuraciones cerradas.
También os suena ¿verdad? Pues continúamos...
En la primera solución a este problema, nuestros aguerridos informáticos tras recibir la visita del comercial de Microsoft que les comenta los pingües beneficios económicos que van a obtener con el nuevo modelo de licencias deciden apuntarse a ello. Es una lástima que no puedas subscbirte al modelo salvo al comprar las licencias (que ellos ya han adquirido con los equipos) pero el comercial les insiste que aunque en realidad es como si pagaran dos veces el precio de la licencia el resultado será favorable... ellos dudan pero al final deciden aceptar. El comercial les regala a los responsables una camiseta, un bolígrafo y un bonito llavero (una vez finalizado el acuerdo para que nadie se piense que es un cohecho ¿eh?) y asunto resuelto... Nada que añadir a lo ya dicho en el enunciado
En la segunda solución que vamos a dar a este problema nuestros informáticos no se dejan convencer por el comercial. Son conscientes de que lo que realmente necesitan es un entorno de trabajo estable y no necesitan estar a la última. A poco que hacen números, tampoco les convence lo que les dice el comercial de que el coste de propiedad de las licencias será menor con este nuevo método y deciden usar el tradicional.
A continuación tenemos las tablas de costes de las licencias durante estos cuatro años para ambas soluciones:
Para hacerlo más simple he utilizado las mismas tablas de precios de software para todas las compras, las correspondientes a 2001-2002 para la modalidad GOLP:
Como se puede observar, la solución en la que se decide dejar de lado el modelo de Software Assurance proporciona un ahorro al cabo de los cuatro años de ¡más de un millón de euros!, es decir, un ahorro de alrededor del 32% del importe total de la operación ¿sorprendidos?
Llegados a este punto más de uno pensará "Eh, ¡este linuxero mal intencionado y tendencioso nos pone un ejemplo que no está muy claro!¡los números serían distintos si hubieran actualizado antes a Windows XP!" Evidentemente, esto no es así: los números serían EXACTAMENTE los mismos. Sólo he querido introducir un toque de realidad que será reconocible por muchos de los que trabajamos en estos entornos para ilustrar que, al margen de que este modelo resulta perjudicial para las empresas, muchas de ellas ni siquiera se benefician de las ventajas que supuestamente aportan...
En cualquier caso y para el que crea que si utilizamos la ventaja de actualización preferente este modelo si es conveniente, dejo como ejercicio para casa que hagais vosotros mismos los números para un entorno con Microsoft SQL Server 2000. ¿Cómo?¿Qué desde el año 2000 aún no ha salido ninguna nueva versión de SQL Server?¿Y estais pagando desde entonces el Software Assurance de vuestras licencias? Pero que mala suerte...
Eso si, que sepais que alguién se está comprando unos bonitos manuscritos de Leonardo Da Vinci con vuestro dinero...
servido por unlugarenelmundo
sin comentarios
compártelo
