Comentarios en: La importancia de poder acceder al código fuente (y van)

Por: enxebree

enxebree — Tue, 25 Sep 2007 16:57:38 +0000

Pues no, nogod, ni había leído ese articulo… la verdad, no śe de donde me viene la confusión… pero estaba todo convencido.
Saludos

Por: nogod

nogod — Tue, 25 Sep 2007 16:22:56 +0000

enxebree, quizás lo creías por este enlace:
http://www.elpais.com/articulo/ocio/Chema/Alonso/hace/show/informatico/nueva/profesion/elpciboci/20060727elpciboci_7/Tes

El País dice que Chema Alonso está contratado por Microsoft. De ahí el error?

Por: enxebree

enxebree — Tue, 25 Sep 2007 15:55:33 +0000

A ver, desde ese punto de vista, no te falta razón, el abrir el código no lo convierte en más seguro por si mismo, como tampoco cerrarlo. Esa es una de las posturas inamovibles que se supone que deben defender los partidarios del SL con la que no estoy de acuerdo.
Pero es que aquí, el eslabón que se ha demostrado más débil en este caso, como suele ser muy frecuente en seguridad, es el humano. Es demasiado habitual en el mundo del software que el ego y el orgullo sean un obstáculo más y a veces el más grande y con mucha diferencia, en el desarrollo y evolución del mismo. La ventaja que tiene el código abierto en estos casos, es que se juega con las cartas boca arriba y el movimiento se demuestra andando. Si por ejemplo se da el caso (como parece haber ocurrido en este), que bien por desidia, que bien por orgullo, ego, indiferencia, o cualquier otro defecto que tengamos los humanos, cuando no se quiere admitir o corregir un problema, vemos que las posibilidades de franquear esa barrera, teniendo el código son exponencialmente mayores que no teniéndolo.
Puedes optar, como has hecho tú, de tomarte el tema personalmente y darle el trabajo hecho y de paso que colateralmente se beneficie más gente o por ejemplo de que a nivel personal, puedes optar por una solución a medida que no te la cubra el desarrollador (o equipo de desarrolladores) o como ha ocurrido otras veces, coger lo ya realizado y crear un desarrollo nuevo que tenga un nuevo enfoque. Eso con el código cerrado supone un esfuerzo muchísimo mayor, a veces se hace imposible por lo no rentable del esfuerzo y a veces la necesidad de recurrir a una solución externa para paliar lo que no puedes hacer directamente.
Evidentemente, si tienes malas intenciones, el tener el código te allana el camino… pero a mi me gusta verlo del siguiente modo… si todo el código fuese abierto, se aplicaría la evolución natural del software, como si de la ley de Darwin habláramos, solo sobrevirian los mejores… y de eso nos beneficiaríamos todos… porque tambien hay que decirlo, hay software privativo, que si abriera su código, más de uno se echaría las manos a la cabeza…
Saludos, a mi me encanta discutir, y me encanta hacerlo razonando las cosas y cuando me equivoco me gusta reconocerlo.

Por: Maligno

Maligno — Tue, 25 Sep 2007 14:35:03 +0000

Hola enxebree,

la verdad, es que en este caso concreto yo no tengo ni Joomla ni ese componente y el fallo lo encontré con auna auditoría caja negra. No tenía más interés en que se arreglara que el evitar que la industria del malware contara con más servidores que usar para alojar phising. Si ves el código fuente el fallo se ve a la legua, pues es una concatenación a pelote de lo que envía el input de usuario asi que si alguien que tuviera alguna idéa de seguridad le hubiera pasado algún control hubiera encontrado ese fallo.

Hemos debatido varias veces lo de código abierto o código cerrado desde el punto de vista de seguridad y la verdad es que ayuda tanto al atacante como al que quiere securizar y lo que desestabiliza la balanza es las ganas que pongas. Por ello, lo que realmente importa es lo que hagas por securizar tu código, independientemente de si es opensource o no. Hay que tener en cuenta que cuando se publica el código en SL u OS no es por seguridad, sino por compartir conocimiento y por dar confianza sobre lo que se ejecuta.

Te gustará más o menos que el código sea abierto, pero si eres un atacante, te garantizo que prefieres tener el código.

Saludos enxebree, y espero que empecemos a conocernos mejor y alcancemos una buena relación.

Por: enxebree

enxebree — Tue, 25 Sep 2007 12:34:13 +0000

Bueno, entonces nos vamos entendiendo… yo no sé porque tenia entendido que trabajabas allí, creía haberlo leído en algún sitio, incluso en tu blog… no sé, el caso es que estaba convencido de ello… Ahora entenderás a que venia lo de la mano que te da de comer y lo de la parcialidad… rectifico en cuanto a que partía de un supuesto erróneo… Lo de la profesionalidad, eso no te lo he discutido.

Ahora, estarás de acuerdo con el tendero y conmigo en una cosa, si no hubieras dispuesto del código abierto en el caso del modulo del Joomla, el final de la historia que cuentas habría sido probablemente muy distinto, no?

Saludos

Por: Maligno

Maligno — Tue, 25 Sep 2007 12:20:41 +0000

Nop, no trabajo en Spectra. Trabajo en Informática 64 y estoy premiado como MVP en Seguridad por Spectra.

Por: enxebree

enxebree — Tue, 25 Sep 2007 11:18:32 +0000

Igual estoy equivocado, corrígeme si no así, pero tu no trabajas en Spectra? Tenia entendido que sí.

Saludos

Por: Maligno

Maligno — Tue, 25 Sep 2007 10:56:21 +0000

Cierto, pero te olvidas de que a mi me da de comer el software “mal llamado” libre igual que el software “mal llamado” privativo. Yo digo lo que digo porque quiero y la mano que me da de comer es mi trabajo con Linux, Oracle, Windows y en todos ellos la seguridad informática. He pisado las oficinas de Sun y las de Spectra igual que las de distros Linux para currar en ellas. Nada más.

Parece que todas las opiniones a favor de Spectra deben estar compradas y no es así.

Saludos

Por: enxebree

enxebree — Tue, 25 Sep 2007 09:56:33 +0000

Me dan de comer el SL y el software privativo… y me ha dado más de comer el privativo… y para los dos tengo cosas malas y buenas que decir… la verdad, puedo quejarme y mucho de ambos sistemas, ninguno es perfecto.
Bueno en realidad, lo que más me disgusta son las empresas que están detrás, tanto a un lado como al otro… son las que distorsionan y enturbian el debate… si tengo que ponerme del lado de alguien, es de los usuarios…
Eso si, me parece mucho más idóneo y eficaz el modelo del SL que el del privativo… y los usuarios tradicionalmente han sido vilipendiados y
maltratados por un sistema más que por el otro…

Y no me parece mal que hables bien de quien te da de comer, y que éstes a gusto en tu trabajo, me parece muy bien, y me alegro de que tengáis lineas de opinión coincidentes. Besar la mano que te da de comer no es malo, no lo decía porque fuera malo, simplemente constataba un hecho. Que te sientes parte del equipo y que lo defiendes a muerte no es malo, simplemente es lo que es. El titulo del blog ya es un disclaimer en toda regla.

Saludos

Por: Maligno

Maligno — Tue, 25 Sep 2007 09:36:10 +0000

No se como decirlo. Yo escribo lo que escribo porque me sale así, NO porque “bese la mano que me da de comer”. ¿Te da de comer el SL o lo dices pq lo piensas así? Yo lo que opino lo opino porque lo pienso de esa forma. Es todo tan subjetivo como que lo escribo yo. Ni bueno ni malo, es lo que es punto.