Si te importa tu seguridad, mejor abierto


Después de nuestra "Primera Campaña por la implantación del software abierto en la Administración" (una iniciativa que ahora puede parecer antediluviana, pero que en 2001 era tan necesaria que fue enseguida apoyada por la Asociación de Internautas), no pensaba a estas alturas tener que escribir una sola palabra más sobre esto, pero en los últimos tiempos leo algunas opiniones en contrario que no son rebatidas, y me ha parecido que existe cierto riesgo de que una mentira mil veces repetida se acabe tomando como verdad.





Podemos clasificar las vulnerabilidades del software de mil formas distintas, pero una clasificación tan válida como las demás sería distinguir entre vulnerabilidades involuntarias y voluntarias...

Puesto que errar es humano, no existe ningún software totalmente libre de bugs involuntarios. Errores en el diseño o la implementación pueden dar al traste con las mejores intenciones del equipo de desarrollo, y manifestarse más o menos pronto en forma de desbordamientos de búfer, errores de validación de entradas, etc. Si bien estos errores son -por definición- involuntarios, la revisión del código por miles de ojos puede minimizar su número e importancia, en mucha mayor medida que cuando la revisión se limita al propio equipo de desarrollo. Una interesante experiencia en la captación y reparación de este tipo de errores, que a mi modo de ver confirma lo antedicho, ha sido el reciente trabajo realizado por Coverity con el patrocinio del gobierno norteamericano, que condujo a la solución de 900 bugs en diferentes aplicaciones de código libre en tan sólo dos semanas.

Pero si ya parece claro que la exposición pública del código facilita la detección y corrección de errores de programación involuntarios, es en el campo de los errores voluntarios (es decir, malintencionados o malware) donde esa realidad se hace totalmente evidente. De hecho, si existe desconfianza sobre el software de Microsoft no es por una sospecha fundada de que Bill Gates sea El Anticristo, sino porque nadie sabe lo que pueden hacer los 40 millones de líneas de código de Windows. Si se desconfía de Skype es por idéntica razón, y si muchos preferimos Firefox a Opera ahí tienen el motivo.

El código oculto, cerrado, genera desconfianza. A diferencia del código abierto, el código cerrado puede contener casi cualquier cosa y realizar casi cualquier acción. La ocultación del código es fuente segura de beneficios, pero el coste es la desconfianza.

Esto no lo digo sólo yo, sino que lo reconocen las propias compañías de software. ¿Qué hizo Microsoft para vencer las reticencias de los gobiernos a utilizar su software? Enseñar parte del código a sus respectivos organismos de seguridad e inteligencia. Mostrar el código elimina desconfianzas en la misma medida en que ocultarlo las genera y Microsoft lo sabe perfectamente.

¿Quieren un ejemplo más reciente? Como se informó hace poco en Kriptópolis, Panda Software detectó spyware (es decir, un tipo de software malintencionado que daña la seguridad y privacidad del usuario a propósito) en el navegador Browsezilla. ¿Cuál fue la reacción instantánea de Browsezilla ante una acusación tan grave? Mostrar parte de su código. Es cierto que ni siquiera así han logrado recuperar la confianza de los usuarios informados, pero su actitud instintiva confirma de nuevo la ecuación: Cerrado=Desconfianza, Abierto=Tranquilidad.

Señores: si el código puede ser examinado por cualquiera, 1) aumenta exponencialmente la posibilidad de que se descubran y reparen los errores involuntarios (mil ojos ven más que dos) y 2) disminuye en igual medida la posibilidad de que el software ejecute acciones maliciosas o indeseadas.

Por tanto (en mi opinión, que he tratado de argumentar), el código abierto sí es más seguro que el código cerrado.

Algunos pensamos -además- que el código libre es mucho mejor que el propietario (aunque sólo fuera desde el punto de vista de su utilidad social), pero ése es sin duda otro debate... ¿O no?

Referencias consultar
¿Trae malware o no? Crece la polémica entre la empresa Panda y el navegador Browsezilla.
http://www.xombra.com/go_news.php?articulo=2431

 

Fuente:
Por José Manuel Gómez
kriptopolis.org



Otras noticias de interés:

Internet es controlado por industria corrupta
En una carta, publicada a finales del pasado enero, se fueron con todo contra Hollywood y la industria cinematográfica....
Gadgets importados pueden ser una amenaza
Estados Unidos necesita estar más atento a los computadoras y a otros aparatos electrónicos importados que pueden estar cargados con software malicioso, según ha asegurado un destacado congresista experto en ciberseguridad....
Randi Zuckerberg: No al anonimato
La hermana de Mark Zuckerberg, directora de marketing de Facebook, expresó: Creo que el anonimato en Internet tiene que desaparecer....
#TuxInfo 42 disponible
Esta disponible para su descarga una nueva edición de una excelente revista digital, en esta oportunidad el N° 42....
URL maliciosas en los iPhone
De ese modo, los hackers pueden engañar a los usuarios y hacerles creer que están navegando por páginas legítimas....
Internet Explorer expone componentes instalados
Una vulnerabilidad en el Internet Explorer 6.0 de Microsoft, permite a terceros comprobar los componentes instalados en la computadora del usuario, a través de documentos HTML construidos maliciosamente (requiere el acceso a un sitio web)....
Seminario de Seguridad (Gratuito) Online
Este miercoles 21 de marzo el amigo José María Shenone voy a estar dictando un seminario sin cargo organizado por CLA Linux Institute y TUXINFO. Hora Venezuela: 19:30...
Windows XP infiltrado por Al-Qaeda ?
Durante interrogatorios realizados por la policía india, un supuesto miembro de la red terrorista Al-Qaeda advirtió que la organización ha infiltrado a Microsoft, instalando una puerta trasera secreta en Windows XP. ...
Microsoft intenta sorprender con nueva computadora
Una demostración de Bill Gates se concentrará en lo práctico -algo que a veces ha evadido la atención de la industria, donde unas compañías producen las máquinas y otras el software. ...
Los mejores 50 artículos de Seguridad0.com
Esta breve colección de artículos es para nuevos lectores de esta web (seguridad0.com) que quieran conocer parte de nuestra trayectoria. O para veteranos que quieran repasar conceptos. Además, por estas fechas, siempre hay ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • abierto
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • importa
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra