[Ayuda] [OT] Open Source una Amenaza para la seguridad nacional (sera?)

Sandino Araico Sánchez sandino en sandino.net
Mie Jul 28 03:08:23 CDT 2004 

Anibal J. Avelar wrote:

>
> Pues para mi la diferencia es simple. Linux es tan seguro o inseguro 
> como la capacidad del administrador sea. Y como te dan el codigo, 
> cualquiera puede saber como funciona todo, incluso los programas de 
> interconectividad y cifrado. Asi, pareciera que es mas inseguro. 

Al parecer es más sencillo explotar programas para los que tienes el 
código fuente que para los que no lo tienes. Claro, una vez que has 
localizado un bug que sea explotable.

> Pero este paradigma permite que a su vez todos colaboren en la 
> solucion del problema haciendo mas rapido su correcion y ademas va 
> involucrando cada vez a mas gente creando retroalimentación y mayor 
> conocimiento del sistema.

Bonita teoría, pero en la práctica sólamente ha resultado cierto para 
proyectos grandes de miles de colaboradores y trietemente no en todos 
los módulos de esos proyectos grandes....

>
> Mientras que Windows basa su defensa en el desconocimiento del 
> sistema. En ocultar información. Caja negra que sabes lo que hace pero 
> no sabes como lo hace y no lo puedes saberlo ya que no conoces el codigo.

¿Has escuchado hablar de la ingeniería reversa? ¿de los desensambladores?

> Estas a expensas de los parches de seguridad que el mismo vendedor de 
> software da. Y si falla. Pues no hay mas que hacer. Mas que rezar a 
> que salga otro parche.

Ahí si ya te chupó la bruja, aunque ya existen algunos métodos 
preventivos y también los workarounds.....

>
> ¿Se conocen mas huecos en Linux? Tal vez sea porque en Linux no se 
> oculta nada.

Debemos tomar en cuenta que los agujeros de Apache, PHP, PHPNuke, 
Mozilla no cuentan como agujeros de Linux porque al ser software 
multiplataforma le pegan por igual tanto a Windows como a Linux como a 
cualquier otra plataforma donde corran. A excepción del último de 
Firefox que es específico para Windows.

> Cada hueco descuebierto es difundido y asi la solucion puede llegar 
> mas rapido. Equipos completos especializados en la seguridad 
> informatica, los descubren, informan sobre de ellos, envian el parche 
> y asi por cada pieza de codigo del sistema.

Ojalá así fuera la vida, pero en la realidad sucede que la mayoría de 
los proyectos Open Source tienen un equipo muy pequeño de desarrollo 
(menos de 10 personas) con distintos niveles de experiencia y pueden 
pasar años antes de que salgan a la luz defectos críticos y defectos 
explotables.

>
> Para mi Linux y el SL es el futuro del software. Imaginen cuantos 
> beta-tester hay por cada programa y cada pieza de codigo. 

Muchos menos de los que te imaginas. Aunque haya mucha gente que use el 
software son muy pocos los que reportan los bugs y de ellos son todavía 
más pocos los que hacen buenos reportes que le sean de utilidad al 
desarrollador.

> Que ademas, es una comunidad muy activa que no solo los descubre sino 
> los informa y muchas veces ellos mismos los arreglan y comparten esa 
> información.

Me parece que has asistido a muchas páticas de Miguel de Icaza.
En efecto, el proyecto GNOME es privilegiado por tener una comunidad muy 
grande y participativa, pero ni en el mismísimo proyecto GNOME puedes 
asegurar que todos los módulos o paquetes tengan el mismo nivel de 
participación, algunos tienen más, otros menos y otros peor porque hay 
que pagarle mucho dinero a un par de personas para hacer el trabajo 
aburrido que nadie quiere hacer y que el módulo no quede abandonado.
No se diga de otros muchos proyectos independientes que resucitan una 
vez cada verano (cuando su autor tiene vacaciones) para volver a 
hibernar otros diez meses.

>
> Hay mas que decir ...
>
> saludos
>
> F i x X x e R
>
>
>
>> --¿No existen o no las han descubierto?--
>>
>> El hoyo de seguridad de Windows mejor conocido como Blaster Worm me 
>> sigue
>> llegando prácticamente a diario y lo tengo que estar limpiando. Entonces
>> sirve de dos cosas el parche, la gente no lo pone. Entonces (aunque la
>> mayoría me odie) Linux es igual de bueno que Windows, los dos 
>> necesitan que
>> te pongas a buscarle en Internet. Creo que la enorme mayoría de los que
>> utilizamos Linux estamos conscientes de lo importante que es estar
>> actualizado. Pero la mayoría de los que usan Windows no administran 
>> (y nunca
>> lo harán) un servidor de nada y no se pueden aprender cómo actualizar 
>> su SO.
>>
>> Supongo que es posible que haya alguien que ponga un cacho de código 
>> para
>> fregarse a los EU (que no estaría mal). Falta todavía que __nadie__ 
>> se dé
>> cuenta, y que los admins de dichos servidores no lo detecten. Yo me 
>> conecto
>> por Infinitum y a diario se tratan de conectar al menos 50 veces de 
>> alguna
>> dirección *prod-infinitum* a mi máquina.
>> Si un pobre principiante como yo puede detectarlos, que no pueda un 
>> gurú o
>> alguien "certificado" por "horas de uso" de linux?
>> (Menos mal que tengo firewall)
>>
>> De nuevo igual y el comentario es bastante tonto, pero lo que me vino 
>> a la
>> mente al leerlo.
>>
>> Que vengan los Flames porque ya oigo los teclazos :-)
>>
>> Salu2
>> David
>> If Linux doesn't have the solution you have the wrong problem
>>
>>
>> ----- Original Message ----- From: <HVILLANU en gnp.com.mx>
>> [...]
>>
>>>   Open Source una Amenaza para la seguridad nacional
>>>   http://www.designnews.com/article/CA435615.html
>>>
>>
>>
>>
>>
>>  
>> _______________________________________________
>> Ayuda mailing list
>> Ayuda en linux.org.mx
>> Para salir de la lista: 
>> http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
>
>
>


-- 
Sandino Araico Sánchez
-- ... there's no spoon ...


 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda