Hola Alan Primero, tu argumento ha sido discutido a morir en muchos otros sitios, hasta el punto que ahora se considera un "hombre de paja" (strawman argument)
--- Alan Ortiz <[EMAIL PROTECTED]> wrote: > Bueno, salió la noticia de que MS no dará acceso a las fuentes del kernel de > Vista a terceros. Las perjudicadas serán compañías como Symantec y McAfee. > MS argumenta no revelar la fuente del código por razones de seguridad. Esto > tiene que ver con una vieja "verdad" del open source (OS): que es mentira > que el ocultamiento del código fuente haga más seguro un sistema (incluso > que es más inseguro ocultar que mostrar). No es que sea una "verdad" de Open Source, es un hecho factual. Acuerdate que lo compartir código no es nuevo, viene desde que empezó la ARPANET y los pininos de la Intenet (BitNet, UUNet, NSFNet, etc.). Hechos son mas importantes que creencias o casi-teorias. > El argumento de Microsoft está apuntalado por dos afirmaciones, bastante > ciertas, sobre seguridad: Tu atacante debe tener la menor cantidad de > información posible y mientras menos personas conozcan la información más > difícil será que llegue a las manos equivocadas. Hmm, no es cierto eso. Seguridad es un proceso, desde como escribes tu código para evitar vulnerabilidades, hasta el modo como respondes a reportes de errores. Seguridad por obscuridad no es un modo eficiente, como ha sido demostrado incansablemente (excepto para aquellos que no quieren ver la evidencia). Si lo que dices fuera cierto, por ejemplo, un código de cifrado basado en reemplazo del que no divulgo el método de transposición, sería mucho más seguro que uns sistema asimétrico como el de clave privada/pública. Y como sabes, eso no es cierto. > Por otro lado, la teoría del OS, hasta donde he escuchado y leído, dice que > al poner las fuentes a disposición del público hace que muchas más personas > puedan encontrar y corregir los errores. Sin embargo, este planteamiento > tiene dos puntos débiles contra los que quizá alguien de la lista pueda > argumentar: Asume buena voluntad por parte de toda la gente que encuentra el > error y no toma en cuenta la evaluación que se tiene que hacer antes de > aceptar la solución. El que pongas código abierto, no quiere decir que mágicamente tendrás miles de desarrolladores trabajando gratis para tí. La gente le interesa modificar, mejorar y parchar una pieza de código, pues o (a) quieren aprender, o (b) les es útil (o crítico) para su trabajo. Tu estas asumiendo un extremo altruismo que no existe en realidad. Ergo, no es "buena voluntad" (que si la hay, y mas que en software privativo en mi experiencia), sino que como es útil para mi trabajo, tengo incentivo para arreglarlo (y no perder el trabajo). En cuanto a evaluación, me parece que tampoco conoces como trabaja una comunidad de desarrolladores de Open Source. Antes de que algo sea aceptado, se prueba, no una sino muchas veces, en diferentes condiciones, por diferentes personas. Por ejemplo, cuando hace un tiempo hubo una vulnerabilidad en PEAR::XML_RPC (que es usado en muchos aplicativos), nos contactaron varios con parches, trabajamos con ellos y el mantenedor del paquete, y avisamos a los mantenedores de los aplicativos que pudimos identificar como usuarios de este paquete. Luego de que todos estaban informados, y el parche probado, se lanzó una nueva versión del paquete y siguieron versiones de los aplicativos que dependían de este. Acuerdate que es una comunidad la que trabaja en esto. Los proyectos en los que no se puede generar una comunidad que actúe en esta forma, simplemenente desaparecen. Es un sistema darwiniano en el cual es dificil mantener zombies y soluciones a medias, como si ocurre en software privativo. > La prueba a favor del open source es Linux. Pero este argumento no toma en > cuenta el escaso interés de los hackers por las workstations linux. Tampoco > toma en cuenta que el entorno Linux es más especializado y que un troyano es > más fácil de pescar por un home user que por un administrador de sistema. Ya > le está pasando a Firefox que mientras más usuarios tiene más ataques esta > sufriendo. Otros han indicado que el argumento de "no es muy popular por eso es seguro" tiene pies de barro, pues no es la popularidad, sino el mal diseño intrínseco lo que hace algo vulnerable, y los script kiddies y crackers siempre irán por la presa mas fácil, no la mas popular. Si es valor monetario que se puede obtener al crackear un sistema, entonces cual es mejor blanco: la computadora de un usuario de MS Windows que puede tener su cuenta de banco y tarjeta de crédito, o el servidor de un banco o de la Bolsa de Valores de Chicago que estan usando Linux (o *BSD)? Asi que la expectativa de ganar algo tampoco es un argumento, pues el incentivo existe, pero como no es una presa fácil, los script kiddies prefieren fastidiar a la abuelita usando MS Windows que al corredor de bolsa con su Linux. > Quitando los intereses en juego (que probablemente terminen en los > tribunales) y el idealismo del OS ¿Qué razones prácticas hay para hacer > libre unos fuentes que, de hecho, serían utilizados por hackers para > vulnerar el sistema operativo? Razones prácticas hay muchas, desde que otros te den ideas que tu nunca has considerado, de que el sistema evolucione con input directo de los que lo usan, de que perviva aún cuando ya no te importa el seguir manteniéndolo (si hay una comunidad con interés en el programa), etc. Mi sugerencia personal, es que te informes algo mas acerca de algunos de los mitos y FUD que estas creyendo de los medios. Esto que preguntas no es nuevo, aunque lo pueda ser para ti. Hay mucha información en la Web (si, la basada en código abierto, que miedo no? :-), léela. Saludos. -- Jesus M. Castagnetto ([EMAIL PROTECTED]) Web site: http://www.castagnetto.org/ Research: http://metallo.scripps.edu/ PEAR stuff: http://pear.php.net/user/jmcastagnetto __________________________________________________ Do You Yahoo!? Tired of spam? Yahoo! Mail has the best spam protection around http://mail.yahoo.com _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
