[Ayuda] [OT] Open Source una Amenaza para la seguridad nacional (sera?)

Hugo J. Ordonez-Rodriguez H.Ordonez en hw.ac.uk
Mie Jul 28 08:01:59 CDT 2004 

Creo que se desviaron un poco de la intencion de la noticia
GHS, Green Hills Software es (o era?) una compania fuerte en el mercado
de sistemas embebidos de tiempo real, ahora que linux esta haciendo
caminos en esta industria donde el tener el codigo abierto es una
ventaja muy grande para la fiabilidad de los sitemas (aniadiendo coste 0
por regalias es una combinacion imposible de ignorar). El mercado de GHS
se desmorona y por eso andan esparciendo FUD. 

Los sistemas de defensa para empezar, no estan conectados a internet, ni
corren gnome ni apache o php, mas bien monitoeran sensores toman
decisiones y luego utilizan actuadores, y es mas posible que tengan
codigo con IA o una maquina finita de estados, lo que si puede ser causa
de ataque es la pila de TCP/IP o algun ataque remoto al kernel pero
usando versiones verificadas del kernel y la pila se soluciona.




On Wed, 2004-07-28 at 09:08, Sandino Araico Sánchez wrote:
> Anibal J. Avelar wrote:
> 
> >
> > Pues para mi la diferencia es simple. Linux es tan seguro o inseguro 
> > como la capacidad del administrador sea. Y como te dan el codigo, 
> > cualquiera puede saber como funciona todo, incluso los programas de 
> > interconectividad y cifrado. Asi, pareciera que es mas inseguro. 
> 
> Al parecer es más sencillo explotar programas para los que tienes el 
> código fuente que para los que no lo tienes. Claro, una vez que has 
> localizado un bug que sea explotable.
> 
> > Pero este paradigma permite que a su vez todos colaboren en la 
> > solucion del problema haciendo mas rapido su correcion y ademas va 
> > involucrando cada vez a mas gente creando retroalimentación y mayor 
> > conocimiento del sistema.
> 
> Bonita teoría, pero en la práctica sólamente ha resultado cierto para 
> proyectos grandes de miles de colaboradores y trietemente no en todos 
> los módulos de esos proyectos grandes....
> 
> >
> > Mientras que Windows basa su defensa en el desconocimiento del 
> > sistema. En ocultar información. Caja negra que sabes lo que hace pero 
> > no sabes como lo hace y no lo puedes saberlo ya que no conoces el codigo.
> 
> ¿Has escuchado hablar de la ingeniería reversa? ¿de los desensambladores?
> 
> > Estas a expensas de los parches de seguridad que el mismo vendedor de 
> > software da. Y si falla. Pues no hay mas que hacer. Mas que rezar a 
> > que salga otro parche.
> 
> Ahí si ya te chupó la bruja, aunque ya existen algunos métodos 
> preventivos y también los workarounds.....
> 
> >
> > ¿Se conocen mas huecos en Linux? Tal vez sea porque en Linux no se 
> > oculta nada.
> 
> Debemos tomar en cuenta que los agujeros de Apache, PHP, PHPNuke, 
> Mozilla no cuentan como agujeros de Linux porque al ser software 
> multiplataforma le pegan por igual tanto a Windows como a Linux como a 
> cualquier otra plataforma donde corran. A excepción del último de 
> Firefox que es específico para Windows.
> 
> > Cada hueco descuebierto es difundido y asi la solucion puede llegar 
> > mas rapido. Equipos completos especializados en la seguridad 
> > informatica, los descubren, informan sobre de ellos, envian el parche 
> > y asi por cada pieza de codigo del sistema.
> 
> Ojalá así fuera la vida, pero en la realidad sucede que la mayoría de 
> los proyectos Open Source tienen un equipo muy pequeño de desarrollo 
> (menos de 10 personas) con distintos niveles de experiencia y pueden 
> pasar años antes de que salgan a la luz defectos críticos y defectos 
> explotables.
> 
> >
> > Para mi Linux y el SL es el futuro del software. Imaginen cuantos 
> > beta-tester hay por cada programa y cada pieza de codigo. 
> 
> Muchos menos de los que te imaginas. Aunque haya mucha gente que use el 
> software son muy pocos los que reportan los bugs y de ellos son todavía 
> más pocos los que hacen buenos reportes que le sean de utilidad al 
> desarrollador.
> 
> > Que ademas, es una comunidad muy activa que no solo los descubre sino 
> > los informa y muchas veces ellos mismos los arreglan y comparten esa 
> > información.
> 
> Me parece que has asistido a muchas páticas de Miguel de Icaza.
> En efecto, el proyecto GNOME es privilegiado por tener una comunidad muy 
> grande y participativa, pero ni en el mismísimo proyecto GNOME puedes 
> asegurar que todos los módulos o paquetes tengan el mismo nivel de 
> participación, algunos tienen más, otros menos y otros peor porque hay 
> que pagarle mucho dinero a un par de personas para hacer el trabajo 
> aburrido que nadie quiere hacer y que el módulo no quede abandonado.
> No se diga de otros muchos proyectos independientes que resucitan una 
> vez cada verano (cuando su autor tiene vacaciones) para volver a 
> hibernar otros diez meses.
> 
> >
> > Hay mas que decir ...
> >
> > saludos
> >
> > F i x X x e R
> >
> >
> >
> >> --¿No existen o no las han descubierto?--
> >>
> >> El hoyo de seguridad de Windows mejor conocido como Blaster Worm me 
> >> sigue
> >> llegando prácticamente a diario y lo tengo que estar limpiando. Entonces
> >> sirve de dos cosas el parche, la gente no lo pone. Entonces (aunque la
> >> mayoría me odie) Linux es igual de bueno que Windows, los dos 
> >> necesitan que
> >> te pongas a buscarle en Internet. Creo que la enorme mayoría de los que
> >> utilizamos Linux estamos conscientes de lo importante que es estar
> >> actualizado. Pero la mayoría de los que usan Windows no administran 
> >> (y nunca
> >> lo harán) un servidor de nada y no se pueden aprender cómo actualizar 
> >> su SO.
> >>
> >> Supongo que es posible que haya alguien que ponga un cacho de código 
> >> para
> >> fregarse a los EU (que no estaría mal). Falta todavía que __nadie__ 
> >> se dé
> >> cuenta, y que los admins de dichos servidores no lo detecten. Yo me 
> >> conecto
> >> por Infinitum y a diario se tratan de conectar al menos 50 veces de 
> >> alguna
> >> dirección *prod-infinitum* a mi máquina.
> >> Si un pobre principiante como yo puede detectarlos, que no pueda un 
> >> gurú o
> >> alguien "certificado" por "horas de uso" de linux?
> >> (Menos mal que tengo firewall)
> >>
> >> De nuevo igual y el comentario es bastante tonto, pero lo que me vino 
> >> a la
> >> mente al leerlo.
> >>
> >> Que vengan los Flames porque ya oigo los teclazos :-)
> >>
> >> Salu2
> >> David
> >> If Linux doesn't have the solution you have the wrong problem
> >>
> >>
> >> ----- Original Message ----- From: <HVILLANU en gnp.com.mx>
> >> [...]
> >>
> >>>   Open Source una Amenaza para la seguridad nacional
> >>>   http://www.designnews.com/article/CA435615.html
> >>>
> >>
> >>
> >>
> >>
> >>  
> >> _______________________________________________
> >> Ayuda mailing list
> >> Ayuda en linux.org.mx
> >> Para salir de la lista: 
> >> http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/
> >
> >
> >
> 


 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda