Alan Cox: Se invierte mucho dinero en seguridad, pero también en intentar romperla


Se invierte mucho dinero en seguridad, pero, la situación es peor, porque también se invierte mucho dinero en intentar romperla" Esta es una de las afirmaciones que según news.com, ha lanzado Alan Cox mientras asistía a la LinuxWord de Londres celebrada hace pocos días. Alan Cox, respetado desarrollador del núcleo de Linux y actual trabajador de Red Hat, se queja de la autocomplacencia del mundo del código abierto con respecto a la seguridad.





Alan Cox conoce el mundo del código abierto. Ha programado activamente
el núcleo de Linux e incluso tenía su propia versión de la rama 2.4.
Según publica news.com, sus declaraciones no tienen desperdicio.

Advierte de que mucho código abierto está lejos de ser seguro y que se
están invirtiendo grandes sumas de dinero en intentar romper la
seguridad de este código. Aunque no lo menciona, es fácil constatar que
en los últimos meses se han puesto en marcha varias iniciativas desde
empresas privadas (más las iniciativas que con toda seguridad existen
"en la oscuridad") que incentivan el descubrimiento de problemas de
seguridad, que se ha convertido en un negocio a todos los niveles. No
sólo en el código abierto, sino en todo tipo de filosofía. Se paga a
cambio del conocimiento de los detalles de la vulnerabilidad, por la
exclusividad de la publicación del fallo bajo el nombre de la empresa.
Cuanto más crítico el problema, más jugoso el premio. Este es el caso de
iDefense, o TrippingPoint. Por ahora, se le pueden adjudicar varias
publicaciones de vulnerabilidades que han visto la luz a través de estos
proyectos, tanto en productos de código abierto como "cerrado".

"Lo que aparece en los medios de comunicación como que el código abierto
es seguro y más fiable y que tiene menos fallos son afirmaciones muy
peligrosas", dijo Cox. "Un análisis de 150 proyectos de SourceForge (un
repositorio de software de código abierto) no obtendría los mismos
buenos resultados que el núcleo de Linux. La alta calidad sólo se aplica
a algunos proyectos, los que tienen buenos autores y buenas revisiones
de código".

Alan Cox continua: "El debate de Microsoft diciendo "Mira qué seguros
somos" contra Linux afirmando "Nosotros somos más seguros" no se está
enfocando en los puntos importantes". Esta es una de las afirmaciones
que podemos considerar particularmente más lúcidas. En los últimos
meses, esta estéril discusión se ha materializado especialmente en la
constante comparación (casi competitiva) de la comunidad entre los
navegadores Internet Explorer y Firefox, su número de errores, la
criticidad, la rapidez para corregirlos... algo que como bien opina Cox,
no es realmente la cuestión.

Cox, por otro lado, también habló del nuevo proyecto llamado Software
Quality Observatory for Open Source Software (SQO-OSS) fundado por la
Comisión Europea y estrenado recientemente. Pretende medir la calidad
del código abierto de manera estricta y cuantificable a través de
fórmulas establecidas. Respecto al proyecto, parece no tenerlo del todo
claro y dijo que "es bueno establecer medidas, y SQO-OSS tiene un gran
potencial, pero existen problemas con esto, y riesgos asociados a este
tipo de metodología.

Más información:

Linux guru warns on security of open-source code
http://news.com.com/2100-1002_3-6129835.html

SQO-OSS: Software Quality Observatory for Open Source Software
http://www.sqo-oss.eu/

Zero Day Initiative
http://www.zerodayinitiative.com/

Vulnerability contributor program
http://labs.idefense.com/vcp/

Alan Cox
http://en.wikipedia.org/wiki/Alan_Cox

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Windows 8 ofrece más vulnerable que Windows 7
Un análisis de la versión de prueba de Windows 8 confirma que el sistema cuenta con más medidas de seguridad y protección que sus antecesores, pero también con una mayor superficie susceptible de ser atacada. Aunque Windows 8 es más seguro, los...
Se publica un tutorial sobre "GNU Privacy Guard"
GNUPG es un software Open Source (GPL) y gratuito, que permite la firma y cifrado de documentos mediante criptografía simétrica y asimétrica. GNUPG está inspirado en el popular PGP (Pretty Good Privacy), y nació como respuesta a la introducci...
Vulnerabilidad crítica en Netscape, Mozilla y Firefox
Una vulnerabilidad reportada como crítica ha sido identificada en los navegadores Netscape, Mozilla y Firefox, la cuál podría ser explotada por un atacante remoto para la ejecución arbitraria de comandos....
Mozilla perfila el lanzamiento de Firefox 3.6
La versión beta de Firefox 3.6 llegará el próximo 13 de octubre, pero para Firefox 4.0 habrá que esperar hasta dentro de un año....
Auditorías con metodología abierta (OSSTMM)
Muchas empresas suelen afrontar sus problemas de seguridad informática solicitando apoyo de consultoría a empresas especializadas, y es casi una norma general que se les indique que el primer paso a seguir es la realización de una auditoría de s...
Los usuarios de Facebook han sido más negligentes en 2009, según Sophos
La firma de seguridad TI Sophos ha anunciado los resultados de su última prueba para demostrar lo sencillo que resulta robar identidades vía Facebook y asegura que de ella se deduce que la negligencia de los usuarios ha sido mayor en 2009. El 46% d...
Preguntas Frecuentes sobre TCPA y Palladium
A continuación mostramos fragmentos de un interesante artículo publicado en bulmalug.net sobre TCPA y Palladium el cual recomendamos....
Diez fallas en la Máquina Virtual Java de Microsoft
Estas fallas, afectan incluso las últimas versiones de Windows (XP con SP1) e Internet Explorer 6 (SP1). Cómo vimos en la alerta mencionada antes, estas fallas podrían ser aprovechadas en forma remota para causar algún daño a los equipos vulnera...
Nueva amenaza para usuarios que no se actualizan
Se ha publicado un exploit para una vulnerabilidad en Microsoft Internet Explorer, que permite la ejecución de código en la computadora de la víctima que no tenga sus actualizaciones al día. ...
Webcam de Panasonic con sistema de identificación de iris
Panasonic ha presentado la cámara de autenticación BM-ET100E, su primer equipo para el reconocimiento de iris dentro de la generación de sistemas biométricos de identificación personal...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • alan
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cox
  • debian
  • dinero
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • intentar
  • internet
  • invierte
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • romperla
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra