La razón principal por la que Windows es menos seguro que Linux es el hábito del usuario. Cuando se pregunta a los usuarios de Windows cómo instalan los programas, la mayoría de ellos descargarán de forma aleatoria ejecutables de Internet y los ejecutarán como usuarios privilegiados. En Linux, la mayoría vería primero el gestor de paquetes y solo descargaría los archivos ejecutables precompilados como último recurso. Tenga en cuenta que en la mayoría de las distribuciones de Linux, el administrador de paquetes revisa el administrador de paquetes, no cualquiera puede registrar una cuenta y luego publicar un paquete. Tenga en cuenta que, aunque en apariencia es similar, este modelo de seguridad es diferente al modelo de App Store, donde cualquiera puede registrarse y pagar una tarifa para publicar en la tienda o gestores de paquetes no garantizados como npm o pypi, donde cualquiera puede registrarse para obtener un nombre de paquete en lo que es esencialmente lo primero Viene primero servir base.
Todas las características de seguridad en el mundo no pueden ayudar cuando el propio usuario compromete la seguridad del sistema.
Los archivos binarios de Windows llevan una firma digital de su desarrollador para que no pueda modificarse sin romper la firma. Uno puede configurar Windows para que solo ejecute código firmado por desarrolladores de confianza que se aplica desde el inicio seguro
La firma digital, como se implementó en Windows, es bastante inútil en lo que respecta a la seguridad. Es bastante fácil obtener un certificado de firma de código. Todo lo que la firma digital de Windows realmente aplica es que el ejecutable fue firmado por alguien cuya identidad se puede verificar. El problema es que cualquiera puede pedir a cualquier CA que firme un código que le emita un certificado, ya que el trabajo principal de la CA es simplemente verificar la identidad del solicitante y no mucho más. Esta verificación de identidad permite a los usuarios establecer quién publicó el software, pero la mayoría de los usuarios no comprueban el cuadro de alerta de identidad del editor cuando instalaron el software, ni se puede esperar que la mayoría de los usuarios sepan cuál debería ser el nombre correcto del editor para cada software que publican. instalar, por lo que simplemente haga clic en Aceptar.
Además, para los más criminales, un "desarrollador" puede incluso intentar obtener certificados de firma de código de una CA utilizando una identidad falsificada o robada para que la firma no se pueda rastrear. Si bien se supone que el proceso de CA hace que esto sea bastante difícil, esto no es imposible, dadas las circunstancias correctas.
En comparación, en las principales distribuciones de Linux, dichas comprobaciones de identidad las realiza el mantenedor del paquete, que tiene mucha experiencia con estos procedimientos, en lugar de los usuarios finales. Todas las principales distribuciones de Linux tienen requisitos y procedimientos de empaquetado que garantizan de manera efectiva que el software instalado desde el administrador de paquetes esté libre de software malicioso.
Además, lo que falta en el modelo ejecutable firmado de Windows es que la CA no comprueba si el código del paquete es de código abierto (la mayoría de las distribuciones de Linux solo permiten el software de código abierto en el repositorio o solo permiten el software de código cerrado muy limitado) ), si el desarrollador es competente y el software está maduro (la mayoría de las distribuciones de Linux solo permiten el software establecido en el repositorio), o si el proceso de descarga y compilación es seguro (muchas distro compilarán el paquete utilizando su propia granja de servidores de compilación, por lo que no dependen de binario opaco del desarrollador), o si hay un proceso de descarga confiable por parte del desarrollador (muchas distribuciones de Linux tienen requisitos sobre cómo el código fuente debe ser descargado por la comunidad de compilación, esto puede implicar que el desarrollador haya firmado GPG con las versiones del código fuente) o para requerir un sitio HTTPS / SSH desde el sitio de descarga).
Entonces, ¿por qué las personas siguen creyendo que Linux es más 'seguro'?
Aunque no estoy en desacuerdo con el hecho de que Windows no se haya retrasado demasiado en términos de seguridad técnica, la cultura del usuario realmente no ha cambiado mucho y, en mi opinión, este es el mayor problema de seguridad de Windows.
Tenga en cuenta que en el mundo de Linux, hace algún tiempo hubo una mala tendencia de algunos de los principales proveedores de software que alentaban a curl getblah.com | sudo sh como un procedimiento de instalación fácil. Afortunadamente, esta es solo una tendencia fugaz, ya que los usuarios más experimentados gritaron mal y la mayoría de la gente ahora se da cuenta de que es una idea extremadamente mala, tan mala como la descarga aleatoria de Windows desde Internet.