Leo en un Informático en el lado del mal, una entrada donde cuentan una historia muy ejemplarizante acerca de como conocer el código fuente de una aplicación en muchas ocasiones se revela como una herramienta muy útil para mejorar la seguridad.
Maligno, cuenta como hace un mes descubre un agujero de seguridad en un componente de Joomla. Avisa primero a los desarrolladores del componente, y no recibe respuesta. Luego pasa aviso al equipo de desarrollo de Joomla, estos le contestan y le piden confidencialidad sobre el bug. Al final Maligno y sus compañeros de Spectra, se bajan el código fuente del componente y ellos mismos arreglan el agujero de seguridad. Envían el código a Joomla y hace unos días se incorpora la modificación a la última versión de Joomla.
Al final podemos sacar varias conclusiones de la historia:
- Maligno no es tan malo como el se pinta
- En Spectra trabajan buenos programadores
- Mala organización y desidia la hay tanto en las empresas del Lado del Mal, como en las del Lado del Bien.
- Al final lo determinante sin embargo, es el poder acceder al código fuente, de esta forma un usuario avanzado puede sortear a la burocracia y buscarse el mismo la vida.
16 Comentarios
Comentarios Cerrados
Hombre…. parece mentira…
De acuerdo que en el SL se hacen cagadas… y muchas… y la gente seria del SL las reconocer, las airea y las critica sin piedad… si uno mira las listas de correo de ciertos desarrollos SL, por ejemplo, uno no sabe como no se acaban matando entre ellos de las “lindeces” que se dicen…
Además el proyecto Joomla, será muy cool, muy user-friendly y tiene muchos seguidores, pero hace aguas por muchos lados… algo me dice que acabaran como Xoops, escindidos…
Ahora bien, a quien me citas… ve la paja en los ojos ajenos y aun no es el primer día que haya visto siquiera los tornillos de la viga en el propio… Spectra según él… nunca la caga, siempre hay una excusa… a el no le interesa contribuir con Joomla, aunque lo haya hecho… lo que le mueve es el desprestigio… que es el objetivo principal de su blog desde su nacimiento…
Saludos
y si, claro… el acceso al bodigo fuente es fundamental… y cada vez lo será más…
Y si, en Spectra trabajan muy buenos programadores, muy buenos… eso es indudable.
Saludos
Enebree: si lees con detenimiento, al final el argumento que queda claro es la necesidad de abrir el software… no importa quien descubra la vulnerabilidad ni quien la repara, lo importante es que se pueda reparar.
tendero (se me hace raro llamarte así): En esto estamos de acuerdo, nada que discutir.
Excusarme la terrible falta de ortografía, donde dije bodigo evidentemente quería decir código.
Saludos
Creo que en este post mandaba a la silla de tortura a un programador de Spectra enxebree.
Como Comerse una Comilla
Saludos malignos!
Maligno, no es mi intención empezar aquí un debate innecesario sobre la linea editorial de tu blog, que creo está suficientemente clara.
Nunca he ido a tu blog a comentar nada, porque entiendo perfectamente la parcialidad del mismo y estas en tu perfecto derecho de decir lo que te de la gana y a eso no me opondré nunca, pero que tampoco me espero un debate imparcial en el mismo. Puedo estar en desacuerdo contigo en muchas cosas, como lo puedes estar tú conmigo, y alegremonos porque eso pueda seguir siendo así.
Ahora al pan, pan y al vino, vino. Que no eres el mejor amigo del SL es innegable. Y que besas la mano que te da de comer, también. Lo cual ni es malo, ni es bueno, es lo que es y punto.
Saludos
No se como decirlo. Yo escribo lo que escribo porque me sale así, NO porque “bese la mano que me da de comer”. ¿Te da de comer el SL o lo dices pq lo piensas así? Yo lo que opino lo opino porque lo pienso de esa forma. Es todo tan subjetivo como que lo escribo yo. Ni bueno ni malo, es lo que es punto.
Me dan de comer el SL y el software privativo… y me ha dado más de comer el privativo… y para los dos tengo cosas malas y buenas que decir… la verdad, puedo quejarme y mucho de ambos sistemas, ninguno es perfecto.
Bueno en realidad, lo que más me disgusta son las empresas que están detrás, tanto a un lado como al otro… son las que distorsionan y enturbian el debate… si tengo que ponerme del lado de alguien, es de los usuarios…
Eso si, me parece mucho más idóneo y eficaz el modelo del SL que el del privativo… y los usuarios tradicionalmente han sido vilipendiados y
maltratados por un sistema más que por el otro…
Y no me parece mal que hables bien de quien te da de comer, y que éstes a gusto en tu trabajo, me parece muy bien, y me alegro de que tengáis lineas de opinión coincidentes. Besar la mano que te da de comer no es malo, no lo decía porque fuera malo, simplemente constataba un hecho. Que te sientes parte del equipo y que lo defiendes a muerte no es malo, simplemente es lo que es. El titulo del blog ya es un disclaimer en toda regla.
Saludos
Cierto, pero te olvidas de que a mi me da de comer el software “mal llamado” libre igual que el software “mal llamado” privativo. Yo digo lo que digo porque quiero y la mano que me da de comer es mi trabajo con Linux, Oracle, Windows y en todos ellos la seguridad informática. He pisado las oficinas de Sun y las de Spectra igual que las de distros Linux para currar en ellas. Nada más.
Parece que todas las opiniones a favor de Spectra deben estar compradas y no es así.
Saludos
Igual estoy equivocado, corrígeme si no así, pero tu no trabajas en Spectra? Tenia entendido que sí.
Saludos
Nop, no trabajo en Spectra. Trabajo en Informática 64 y estoy premiado como MVP en Seguridad por Spectra.
Bueno, entonces nos vamos entendiendo… yo no sé porque tenia entendido que trabajabas allí, creía haberlo leído en algún sitio, incluso en tu blog… no sé, el caso es que estaba convencido de ello… Ahora entenderás a que venia lo de la mano que te da de comer y lo de la parcialidad… rectifico en cuanto a que partía de un supuesto erróneo… Lo de la profesionalidad, eso no te lo he discutido.
Ahora, estarás de acuerdo con el tendero y conmigo en una cosa, si no hubieras dispuesto del código abierto en el caso del modulo del Joomla, el final de la historia que cuentas habría sido probablemente muy distinto, no?
Saludos
Hola enxebree,
la verdad, es que en este caso concreto yo no tengo ni Joomla ni ese componente y el fallo lo encontré con auna auditoría caja negra. No tenía más interés en que se arreglara que el evitar que la industria del malware contara con más servidores que usar para alojar phising. Si ves el código fuente el fallo se ve a la legua, pues es una concatenación a pelote de lo que envía el input de usuario asi que si alguien que tuviera alguna idéa de seguridad le hubiera pasado algún control hubiera encontrado ese fallo.
Hemos debatido varias veces lo de código abierto o código cerrado desde el punto de vista de seguridad y la verdad es que ayuda tanto al atacante como al que quiere securizar y lo que desestabiliza la balanza es las ganas que pongas. Por ello, lo que realmente importa es lo que hagas por securizar tu código, independientemente de si es opensource o no. Hay que tener en cuenta que cuando se publica el código en SL u OS no es por seguridad, sino por compartir conocimiento y por dar confianza sobre lo que se ejecuta.
Te gustará más o menos que el código sea abierto, pero si eres un atacante, te garantizo que prefieres tener el código.
Saludos enxebree, y espero que empecemos a conocernos mejor y alcancemos una buena relación.
A ver, desde ese punto de vista, no te falta razón, el abrir el código no lo convierte en más seguro por si mismo, como tampoco cerrarlo. Esa es una de las posturas inamovibles que se supone que deben defender los partidarios del SL con la que no estoy de acuerdo.
Pero es que aquí, el eslabón que se ha demostrado más débil en este caso, como suele ser muy frecuente en seguridad, es el humano. Es demasiado habitual en el mundo del software que el ego y el orgullo sean un obstáculo más y a veces el más grande y con mucha diferencia, en el desarrollo y evolución del mismo. La ventaja que tiene el código abierto en estos casos, es que se juega con las cartas boca arriba y el movimiento se demuestra andando. Si por ejemplo se da el caso (como parece haber ocurrido en este), que bien por desidia, que bien por orgullo, ego, indiferencia, o cualquier otro defecto que tengamos los humanos, cuando no se quiere admitir o corregir un problema, vemos que las posibilidades de franquear esa barrera, teniendo el código son exponencialmente mayores que no teniéndolo.
Puedes optar, como has hecho tú, de tomarte el tema personalmente y darle el trabajo hecho y de paso que colateralmente se beneficie más gente o por ejemplo de que a nivel personal, puedes optar por una solución a medida que no te la cubra el desarrollador (o equipo de desarrolladores) o como ha ocurrido otras veces, coger lo ya realizado y crear un desarrollo nuevo que tenga un nuevo enfoque. Eso con el código cerrado supone un esfuerzo muchísimo mayor, a veces se hace imposible por lo no rentable del esfuerzo y a veces la necesidad de recurrir a una solución externa para paliar lo que no puedes hacer directamente.
Evidentemente, si tienes malas intenciones, el tener el código te allana el camino… pero a mi me gusta verlo del siguiente modo… si todo el código fuese abierto, se aplicaría la evolución natural del software, como si de la ley de Darwin habláramos, solo sobrevirian los mejores… y de eso nos beneficiaríamos todos… porque tambien hay que decirlo, hay software privativo, que si abriera su código, más de uno se echaría las manos a la cabeza…
Saludos, a mi me encanta discutir, y me encanta hacerlo razonando las cosas y cuando me equivoco me gusta reconocerlo.
enxebree, quizás lo creías por este enlace:
http://www.elpais.com/articulo/ocio/Chema/Alonso/hace/show/informatico/nueva/profesion/elpciboci/20060727elpciboci_7/Tes
El País dice que Chema Alonso está contratado por Microsoft. De ahí el error?
Pues no, nogod, ni habÃa leÃdo ese articulo… la verdad, no Å?e de donde me viene la confusión… pero estaba todo convencido.
Saludos