[Ayuda] [OT] Open Source una Amenaza para la seguridad nacional (sera?)

Anibal J. Avelar aavelar en cofradia.org
Mie Jul 28 09:26:56 CDT 2004 

Sandino Araico Sánchez wrote:

> Anibal J. Avelar wrote:
>
>>
>> Pues para mi la diferencia es simple. Linux es tan seguro o inseguro 
>> como la capacidad del administrador sea. Y como te dan el codigo, 
>> cualquiera puede saber como funciona todo, incluso los programas de 
>> interconectividad y cifrado. Asi, pareciera que es mas inseguro. 
>
>
> Al parecer es más sencillo explotar programas para los que tienes el 
> código fuente que para los que no lo tienes. Claro, una vez que has 
> localizado un bug que sea explotable.
>
Pues eso es logico hacer re-ingenieria o ingenieria inversa es mucho mas 
dificil.

>> Pero este paradigma permite que a su vez todos colaboren en la 
>> solucion del problema haciendo mas rapido su correcion y ademas va 
>> involucrando cada vez a mas gente creando retroalimentación y mayor 
>> conocimiento del sistema.
>
>
> Bonita teoría, pero en la práctica sólamente ha resultado cierto para 
> proyectos grandes de miles de colaboradores y trietemente no en todos 
> los módulos de esos proyectos grandes....
>
Pues si, eso presisamente un paradigma que si bien no se aplica para 
todos los proyectos, lo cual es logico porque hay proyectos mas 
grandesde que otros. Con que sean 10 personas esa diez lo aplican.

>>
>> Mientras que Windows basa su defensa en el desconocimiento del 
>> sistema. En ocultar información. Caja negra que sabes lo que hace 
>> pero no sabes como lo hace y no lo puedes saberlo ya que no conoces 
>> el codigo.
>
>
> ¿Has escuchado hablar de la ingeniería reversa? ¿de los desensambladores?

No para nada que son .... hacer ingenieria inversa es varias veces mas 
dificil que teniendo el codigo. Y los desemsambladores en la mayoria de 
los casos son conocidos por los programadores, asi que programan su 
software con trampas para que no lean en su totalidad. Asi para software 
de mision critica si bien les va peuden desemsamblar un 70% a 90%. Claro 
eso ayuda bastante. Pero sigue siendo mucho mas facil teniendo el codigo 
original.

>
>>
>> ¿Se conocen mas huecos en Linux? Tal vez sea porque en Linux no se 
>> oculta nada.
>
>
> Debemos tomar en cuenta que los agujeros de Apache, PHP, PHPNuke, 
> Mozilla no cuentan como agujeros de Linux porque al ser software 
> multiplataforma le pegan por igual tanto a Windows como a Linux como a 
> cualquier otra plataforma donde corran. A excepción del último de 
> Firefox que es específico para Windows.
>
Pues no me referia tanto a huecos de Linux sino a huecos del SL, pero 
gracias por aclarar el punto.  CReo no puntualize.

>> Cada hueco descuebierto es difundido y asi la solucion puede llegar 
>> mas rapido. Equipos completos especializados en la seguridad 
>> informatica, los descubren, informan sobre de ellos, envian el parche 
>> y asi por cada pieza de codigo del sistema.
>
>
> Ojalá así fuera la vida, pero en la realidad sucede que la mayoría de 
> los proyectos Open Source tienen un equipo muy pequeño de desarrollo 
> (menos de 10 personas) con distintos niveles de experiencia y pueden 
> pasar años antes de que salgan a la luz defectos críticos y defectos 
> explotables.
>
Pues no me referia a cad proyecto del SL, sino a lso que tienen que ver 
con mision critica, interconectividad, seguridad, cifrado todo mas hacia 
servidor. Ejem. OpenSSH, OpenSSL, Sendmail, Qmail, Postfix,  Postgres, 
Mysql ....
No proyectos pequeños. Que aun asi aunque en una mucho menor medida 
siguen el paradigma. Claro habra algunos bugs que jamas se sabran. Pero 
eso pasa mucho en el software propietario te lo aseguro.

>>
>> Para mi Linux y el SL es el futuro del software. Imaginen cuantos 
>> beta-tester hay por cada programa y cada pieza de codigo. 
>
>
> Muchos menos de los que te imaginas. Aunque haya mucha gente que use 
> el software son muy pocos los que reportan los bugs y de ellos son 
> todavía más pocos los que hacen buenos reportes que le sean de 
> utilidad al desarrollador.


Pues mira, yo tengo 2 proyectos en sourceforge. Y pues si, somos dos 
cabrones programando. Pero aunque es un proyecto pequeño en GTK2 e 
Imlib2 me llegan mas mails de correciones y fallas de las que te imaginas.

>
>> Que ademas, es una comunidad muy activa que no solo los descubre sino 
>> los informa y muchas veces ellos mismos los arreglan y comparten esa 
>> información.
>
>
> Me parece que has asistido a muchas páticas de Miguel de Icaza.

Me creeras que desde lo tiempos que iba a nucleares alla por el 96 y 97 
no veo a Miguel.
Tal vez solo pensamos igual y somos idealistas :)

> En efecto, el proyecto GNOME es privilegiado por tener una comunidad 
> muy grande y participativa, pero ni en el mismísimo proyecto GNOME 
> puedes asegurar que todos los módulos o paquetes tengan el mismo nivel 
> de participación, algunos tienen más, otros menos y otros peor porque 
> hay que pagarle mucho dinero a un par de personas para hacer el 
> trabajo aburrido que nadie quiere hacer y que el módulo no quede 
> abandonado.
> No se diga de otros muchos proyectos independientes que resucitan una 
> vez cada verano (cuando su autor tiene vacaciones) para volver a 
> hibernar otros diez meses.
>
Si, en eso no hay que hacerle. Yo le programo a mi par de proyectos cada 
vacaciones, rato libre o estoy aburrido. Pero bueno la satisfaccion de 
ver que, podria decir miles lo usan, hace no lo abandone.

Es un hecho que soy algo idealista pero me sorprende tu con tantos años 
seas tan realista.

Saludos.


-- 
Anibal J. Avelar (FixXxeR)
Linux User 170607
debian/rules 


 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda