[Ayuda] [OT] Open Source una Amenaza para la seguridad nacional (sera?)

Max Valdez maxvalde en fis.unam.mx
Mie Jul 28 10:19:14 CDT 2004 

On Wednesday 28 July 2004 03:08, Sandino Araico Sánchez wrote:
> Anibal J. Avelar wrote:
> > Pues para mi la diferencia es simple. Linux es tan seguro o inseguro
> > como la capacidad del administrador sea. Y como te dan el codigo,
> > cualquiera puede saber como funciona todo, incluso los programas de
> > interconectividad y cifrado. Asi, pareciera que es mas inseguro.
>
> Al parecer es más sencillo explotar programas para los que tienes el
> código fuente que para los que no lo tienes. Claro, una vez que has
> localizado un bug que sea explotable.
En teoria, en la practica no es cierto, se encuentran los hoyos tan facil en 
windows como en linux, y eso que nadie tiene el codigo de windows.

> > Pero este paradigma permite que a su vez todos colaboren en la
> > solucion del problema haciendo mas rapido su correcion y ademas va
> > involucrando cada vez a mas gente creando retroalimentación y mayor
> > conocimiento del sistema.
>
> Bonita teoría, pero en la práctica sólamente ha resultado cierto para
> proyectos grandes de miles de colaboradores y trietemente no en todos
> los módulos de esos proyectos grandes....
El resultado es un sistema en produccion mas confiable que windows, o no?

>
> > Mientras que Windows basa su defensa en el desconocimiento del
> > sistema. En ocultar información. Caja negra que sabes lo que hace pero
> > no sabes como lo hace y no lo puedes saberlo ya que no conoces el codigo.
>
> ¿Has escuchado hablar de la ingeniería reversa? ¿de los desensambladores?
Se supone que windows tiene proteccion contra desensambladores no?, de 
cualquier manera, eso contradice tu primer comentario, con lo cual creo que 
todos coincidimos en que es igual de facil explotar un programa si tienes su 
codigo, o si no lo tienes.
>
> > Estas a expensas de los parches de seguridad que el mismo vendedor de
> > software da. Y si falla. Pues no hay mas que hacer. Mas que rezar a
> > que salga otro parche.
>
> Ahí si ya te chupó la bruja, aunque ya existen algunos métodos
> preventivos y también los workarounds.....
>
> > ¿Se conocen mas huecos en Linux? Tal vez sea porque en Linux no se
> > oculta nada.
>
> Debemos tomar en cuenta que los agujeros de Apache, PHP, PHPNuke,
> Mozilla no cuentan como agujeros de Linux porque al ser software
> multiplataforma le pegan por igual tanto a Windows como a Linux como a
> cualquier otra plataforma donde corran. A excepción del último de
> Firefox que es específico para Windows.
Ese es el problema principal, no cuentan como hoyos de windows, los hoyos que 
se le encuentran a los programas que se usan en windows, asi como se hace com 
linux, lo cual no esta mal, lo que esta mal es que en linux si se cuentan.
>
> > Cada hueco descuebierto es difundido y asi la solucion puede llegar
> > mas rapido. Equipos completos especializados en la seguridad
> > informatica, los descubren, informan sobre de ellos, envian el parche
> > y asi por cada pieza de codigo del sistema.
>
> Ojalá así fuera la vida, pero en la realidad sucede que la mayoría de
> los proyectos Open Source tienen un equipo muy pequeño de desarrollo
> (menos de 10 personas) con distintos niveles de experiencia y pueden
> pasar años antes de que salgan a la luz defectos críticos y defectos
> explotables.
Ese es un problema dificil de solucionar, se han descubierto problemas en el 
kernel que tenian muchos años ahi sin ser detectados, y eso que se supone que 
1000 expertos en todo el mundo hacen colaboraciones constantemente, y por lo 
menos unos 20 son archiexpertos. 

No es un problema del SL, sino del concepto de seguridad en general, puedes 
descubrir dentro de 10 años que un metodo de cifrado era facilmente 
quebrable, asi como puedes descubrir dentro de 10 años que tus bombas 
atomicas no son tan poderosas como creias.

>
> > Para mi Linux y el SL es el futuro del software. Imaginen cuantos
> > beta-tester hay por cada programa y cada pieza de codigo.
>
> Muchos menos de los que te imaginas. Aunque haya mucha gente que use el
> software son muy pocos los que reportan los bugs y de ellos son todavía
> más pocos los que hacen buenos reportes que le sean de utilidad al
> desarrollador.
Lo bueno de eso es que es mas comun que el hoyo sea encontrado por un 
"white-hacker" que por un "black-hacker", lo cual hace muy facil mantener un 
sistema seguro con tener un sistema de acutalizacion correcto.

En fin, que bonito es el mundo con linux
Max

-- 
Linux garaged 2.6.7-rc3-mm2 #2 Sat Jun 19 15:43:32 CDT 2004 i686 Intel(R) 
Pentium(R) 4 CPU 2.80GHz GenuineIntel GNU/Linux
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GS/S d- s: a-29 C++(+++) ULAHI+++ P+ L++>+++ E--- W++ N* o-- K- w++++ O- M-- 
V-- PS+ PE Y-- PGP++ t- 5- X+ R tv++ b+ DI+++ D- G++ e++ h+ r+ z**
------END GEEK CODE BLOCK------
gpg-key: http://garaged.homeip.net/gpg-key.txt

 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda