On Wednesday 04 October 2006 15:35, Alan Ortiz wrote: > Bueno, salió la noticia de que MS no dará acceso a las fuentes del kernel > de Vista a terceros. Las perjudicadas serán compañías como Symantec y > McAfee. MS argumenta no revelar la fuente del código por razones de > seguridad. Esto tiene que ver con una vieja "verdad" del open source (OS): > que es mentira que el ocultamiento del código fuente haga más seguro un > sistema (incluso que es más inseguro ocultar que mostrar). > > > > El argumento de Microsoft está apuntalado por dos afirmaciones, bastante > ciertas, sobre seguridad: Tu atacante debe tener la menor cantidad de > información posible y mientras menos personas conozcan la información más > difícil será que llegue a las manos equivocadas.
En el caso del software, en general, esto no tiene en cuenta lo q uno apetece mas atacar. Aprovechar una vulnerabilidad para la cual tuviste q hacer reingenieria a base de prueba y error de input/output, hacerte una idea de como es el codigo al otro lado de la caja negra, descubrir q estabas en lo cierto y aprovecharte del mismo, es muchisimo mas divertido y entretenido q solo aprovechar algo q esta visible en el codigo fuente abierto. > Por otro lado, la teoría del OS, hasta donde he escuchado y leído, dice que > al poner las fuentes a disposición del público hace que muchas más personas > puedan encontrar y corregir los errores. Sin embargo, este planteamiento > tiene dos puntos débiles contra los que quizá alguien de la lista pueda > argumentar: Asume buena voluntad por parte de toda la gente que encuentra > el error y no toma en cuenta la evaluación que se tiene que hacer antes de > aceptar la solución. Sobre el primer punto, NO asume buena voluntad de TODA la gente q encuentra un error. Asume q AL MENOS UNO lo corregira, una vez q el error sea descubierto. Puede facilmente ser aprovechada una vulnerabilidad (y lo es) pero basta solo una persona q lo corrija. Sobre el segundo punto, pues muchos proyectos open source tienen un grupo de QA, y otros son exageradamente promiscuos. El desarrollo del kernel antes de ganar su actual organizacion era promiscuo en extremo, aceptando parches de cualquiera q los subiera. Como se garantizo su exito actual? una sola palabra, Linus. El se encargo de manejar todo ese conjunto de aportaciones y saber reconocer las valiosas e importantes y saber evitar los caminos q hubieran llevado a forks sin sentido. Ese factor adicional en los proyectos open source, ya sea un liderazgo fuerte de una persona como el caso de Linus o de van Rossum, o una organizacion importante como el caso de los proyectos de apache o mozilla es lo q garantiza tambien ese exito. > La prueba a favor del open source es Linux. Pero este argumento no toma en > cuenta el escaso interés de los hackers por las workstations linux. Tampoco > toma en cuenta que el entorno Linux es más especializado y que un troyano > es más fácil de pescar por un home user que por un administrador de > sistema. Ya le está pasando a Firefox que mientras más usuarios tiene más > ataques esta sufriendo. Yo uso Konqueror ^_^ (y seguro la fanaticada gnomera aqui es hincha a muerte de Epiphany) Pero aqui te va un detalle sobre este famoso estudio de symantec(*) sobre q firefox es mas vulnerable q IE. El estudio indica q Firefox en lo q va del año ha tenido 47 vulnerabilidades vs las 37 vulnerabilidades de IExplorer. OK esta cifra suena escalofriante, pero si vemos este mismo estudio vemos q las vulnerabilidades fueron corregidas por la gente del proyecto mozilla en menos de 24 horas, mientras q las fallas en IE fueron corregidas por M$ en por lo menos 9 dias. Asi q esto cambiaria a decir q Firefox ha tenido 47 dias vulnerables en lo q va del año, mientras q IExplorer ha sido vulnerable al menos 37x9 = 333 dias (claro, q hay q descontar los dias q se sobrepasan unos con otros) en esa situacion, las cifras pintan diferente no ??? Ahora ve a secunia y verifica el indice d vulnerabilidades de firefox vs IE, y luego mira el porcentaje de cuantos son de alto riesgo (0% firefox, 15% IE) y cuantos han quedado sin parchar (5% firefox, 21% IE) ningun software esta lbre de bugs y errores, NINGUNO. Pero el open source esta demostrando una gran velocidad de respuesta cuando se descubren estos errores. > Quitando los intereses en juego (que probablemente terminen en los > tribunales) y el idealismo del OS ¿Qué razones prácticas hay para hacer > libre unos fuentes que, de hecho, serían utilizados por hackers para > vulnerar el sistema operativo? Q bueno q lo usen los hackers, plz, si claro, entendemos claramente lo q significa hacking. Q ahora sea hacking malicioso o etico.... pues q bueno tambien. Hasta ahora el ecosistema del open source a demostrado ser saludable con toda la fauna q tenemos dentro. (*) http://www.symantec.com/specprog/threatreport/ent-whitepaper_symantec_internet_security_threat_report_x_09_2006.en-us.pdf -- Black Hand Amiga Addicts
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
