Si te importa tu seguridad, mejor abierto


Después de nuestra "Primera Campaña por la implantación del software abierto en la Administración" (una iniciativa que ahora puede parecer antediluviana, pero que en 2001 era tan necesaria que fue enseguida apoyada por la Asociación de Internautas), no pensaba a estas alturas tener que escribir una sola palabra más sobre esto, pero en los últimos tiempos leo algunas opiniones en contrario que no son rebatidas, y me ha parecido que existe cierto riesgo de que una mentira mil veces repetida se acabe tomando como verdad.





Podemos clasificar las vulnerabilidades del software de mil formas distintas, pero una clasificación tan válida como las demás sería distinguir entre vulnerabilidades involuntarias y voluntarias...

Puesto que errar es humano, no existe ningún software totalmente libre de bugs involuntarios. Errores en el diseño o la implementación pueden dar al traste con las mejores intenciones del equipo de desarrollo, y manifestarse más o menos pronto en forma de desbordamientos de búfer, errores de validación de entradas, etc. Si bien estos errores son -por definición- involuntarios, la revisión del código por miles de ojos puede minimizar su número e importancia, en mucha mayor medida que cuando la revisión se limita al propio equipo de desarrollo. Una interesante experiencia en la captación y reparación de este tipo de errores, que a mi modo de ver confirma lo antedicho, ha sido el reciente trabajo realizado por Coverity con el patrocinio del gobierno norteamericano, que condujo a la solución de 900 bugs en diferentes aplicaciones de código libre en tan sólo dos semanas.

Pero si ya parece claro que la exposición pública del código facilita la detección y corrección de errores de programación involuntarios, es en el campo de los errores voluntarios (es decir, malintencionados o malware) donde esa realidad se hace totalmente evidente. De hecho, si existe desconfianza sobre el software de Microsoft no es por una sospecha fundada de que Bill Gates sea El Anticristo, sino porque nadie sabe lo que pueden hacer los 40 millones de líneas de código de Windows. Si se desconfía de Skype es por idéntica razón, y si muchos preferimos Firefox a Opera ahí tienen el motivo.

El código oculto, cerrado, genera desconfianza. A diferencia del código abierto, el código cerrado puede contener casi cualquier cosa y realizar casi cualquier acción. La ocultación del código es fuente segura de beneficios, pero el coste es la desconfianza.

Esto no lo digo sólo yo, sino que lo reconocen las propias compañías de software. ¿Qué hizo Microsoft para vencer las reticencias de los gobiernos a utilizar su software? Enseñar parte del código a sus respectivos organismos de seguridad e inteligencia. Mostrar el código elimina desconfianzas en la misma medida en que ocultarlo las genera y Microsoft lo sabe perfectamente.

¿Quieren un ejemplo más reciente? Como se informó hace poco en Kriptópolis, Panda Software detectó spyware (es decir, un tipo de software malintencionado que daña la seguridad y privacidad del usuario a propósito) en el navegador Browsezilla. ¿Cuál fue la reacción instantánea de Browsezilla ante una acusación tan grave? Mostrar parte de su código. Es cierto que ni siquiera así han logrado recuperar la confianza de los usuarios informados, pero su actitud instintiva confirma de nuevo la ecuación: Cerrado=Desconfianza, Abierto=Tranquilidad.

Señores: si el código puede ser examinado por cualquiera, 1) aumenta exponencialmente la posibilidad de que se descubran y reparen los errores involuntarios (mil ojos ven más que dos) y 2) disminuye en igual medida la posibilidad de que el software ejecute acciones maliciosas o indeseadas.

Por tanto (en mi opinión, que he tratado de argumentar), el código abierto sí es más seguro que el código cerrado.

Algunos pensamos -además- que el código libre es mucho mejor que el propietario (aunque sólo fuera desde el punto de vista de su utilidad social), pero ése es sin duda otro debate... ¿O no?

Referencias consultar
¿Trae malware o no? Crece la polémica entre la empresa Panda y el navegador Browsezilla.
http://www.xombra.com/go_news.php?articulo=2431

 

Fuente:
Por José Manuel Gómez
kriptopolis.org



Otras noticias de interés:

¿Vulnerabilidades en usuarios sin privilegios?
La seguridad de las aplicaciones que dan soporte a un negocio son cruciales para su éxito. Por ello, las normas y códigos de buenas prácticas en los sistemas de SGSI, aconsejan la creación y el uso de usuarios con permisos restringidos....
Casi el 80% de los cracks contienen virus
Aproximadamente más del 50% de los juegos de Android tienen acceso al número de teléfono, 1 de cada 4 tiene permiso para obtener la ubicación del jugador y el 1% puede enviar SMS Premium de coste elevado....
Suplantación biométrica
Lo que hasta ahora parecía solo posible en las películas de cine, empieza a ser estudiado como una posible amenaza: engañar los sistemas de identificación biométricos mediante suplantación....
Botnets latinoamericanas
Es común que se hable de las botnet y se mencione sus características para infectar y controlar usuarios, pero no es habitual encontrar centro de Comandos y Control Latinoaméricanos....
Diez boletines de seguridad de Microsoft en junio
Como cada segundo martes, Microsoft ha publicado sus ya habituales boletines de seguridad. Este mes se han publicado diez nuevos boletines (MS05-025 al MS05-034). Entre los nuevos boletines, según la propia clasificación de Microsoft, hay tres q...
La privacidad de su computadora en la oficina
La gente suele actualmente usar las computadoras tanto en el trabajo como en casa. Y, a veces, es difícil mantener los límites. Conozca cuales son los riesgos de usar las computadoras del trabajo o instalar su laptop en la oficina....
Ciberdelincuencia, del reto personal a las mafias
Motivados por los grandes ingresos, los ciberdelincuentes profesionales han sustituido a los aficionados que buscaban emociones como la mayor amenaza en la web. La revista Business Week publicaba en 2005 que algo estaba cambiando en las amenazas onli...
Fallo en Windows Vista impide que se desactive la autoejecución en la forma descrita por Microsoft
La autoejecución (AutoRun) es una característica presente desde Windows 95 -y habilitada por defecto- que permite que se realice automáticamente alguna acción al introducir un dispositivo extraible como un CDROM. Desde Windows XP, existe además ...
Microsoft niega que vaya a matar a Outlook Express
Microsoft ha negado estar planteándose retirar su producto Outlook Express, tal como habían asegurado ciertos rumores que apuntaban a que la compañía iba a terminar con su cliente de correo. ...
Adecuada implementación SSL, clave para seguridad de un site
El 80% de las páginas web no han implementado SSL correctamente, por lo que podrían estar enviando información sensible sin ningún tipo de seguridad....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • abierto
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • importa
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra