Wednesday, September 9, 2009

Seguridad : Open Source 1 - Codigo Cerrado 0

+




=



Acabo de leer en Segu-info esta nota que demuestra ( una vez mas ) las ventajas del codigo libre, sobre el codigo cerrado. :


Los usuarios de Windows 2000 Server SP4 deben preocuparse. En una movida sin precendentes Microsoft no preparó el parche de Windows 2000 para las dos vulnerabilidades (CVE-2008-4609 y CVE-2009-1926) que afectan a Windows 2000 y que si son solucionadas para las demás versiones del sistema operativo en uno de los boletines de seguridad publicados ayer: MS09-48.

Las tres fallas descubiertas en el stack de TCP/IP (CVE-2008-4609, CVE-2009-1925 y CVE-2009-1926) y resueltas en el boletín MS09-48 para las demás versiones de Windows, son destacadas por varios especialistas como de muy importante y urgente aplicación. No bien llegue un paquete maliciosamente preparado el equipo podría quedar comprometido. Y el bloqueo de puertos no sirve como defensa para estas vulnerabilidades. Los detalles de una de estas vulnerabilidades ya se ha hecho público.

A pesar de esto, el soporte para Windows 2000 no finaliza sino hasta Julio de 2010.

Tambien se destaca la explicacion de Microsoft sobre la no publicacion de parches para esta solucion:

Aunque sólo sirva de consuelo, la empresa explica los motivos en el mismo boletín MS09-048:

Si Microsoft Windows 2000 Service Pack 4 está incluido como un producto afectado, ¿por qué Microsoft no publica ninguna actualización para él?

La arquitectura para admitir apropiadamente la protección de TCP/IP no existe en los sistemas Microsoft Windows 2000, por lo que no resulta factible crear la corrección para Microsoft Windows 2000 Service Pack 4 a fin de eliminar la vulnerabilidad. Para hacerlo, sería necesario rediseñar una parte muy importante del sistema operativo Microsoft Windows 2000 Service Pack 4, no sólo el componente afectado. El producto de dicho cambio de diseño sería lo suficientemente incompatible con Microsoft Windows 2000 Service Pack 4 que no habría garantía de que las aplicaciones diseñadas para ejecutarse en Microsoft Windows 2000 Service Pack 4 siguieran funcionando en el sistema actualizado.


Hasta aqui lo expresado en el sitio de Segu-info.

Microsoft considera que Windows 2000 no admite modificaciones para poder implementar una solucion. Aun cuando el soporte se extiende por un año mas.

Porque Microsoft no realiza las modificaciones necesarias ?

Por la sencilla razon que debe ser antieconomico.


Que hubiese ocurrido con un hecho similar en una aplicacion Open Source ?

Probablemente pocas personas estarían capacitadas para implementar una solucion que impacte fuertemente en el stack TCP/IP de una versión antigua de Linux. Pero a diferencia de la situación que se plantea con windows 2000, esos usuarios contarian con el codigo fuente para modificarlo a voluntad.


Hoy quienes utilizan Windows 2000 se veran en la necesidad de migrar sus aplicaciones, con todo el impacto economico que puede resultar de esta situacion .

Que ocurrira si hoy se encuentra un problema en Windows Vista con caracteristicas similares, es decir que el impacto del cambio haga imcompatible al SO con las aplicaciones instaladas ?


Por eso el Open Source no solamente significa menores costos, tambien significa mayor seguridad e independencia tecnologica.




5 comments:

Anonymous said...

Entiendo que haya quienes deseen tener independencia tecnológica y la posibilidad de modificar cualquier parte de sus software de base o aplicativo, pero tambien trato de ser práctico.

Cuando era joven reparaba mi auto yo mismo o con ayuda de un amigo si necesitaba hacer fuerza o alguna herramienta que no tenía. Todo lo podía reparar por mi mismo. ¿Cómo? tenía conocimientos de mecánica, un auto básico y antiguo que no tenía innovaciones técnicas de los últimos 20 o 30 años, y tambien tiempo. No tenía mucho más dinero que para los repuestos.

¿Cómo es hoy esto? No tengo tiempo más que para levantar el capot y completar agua o aceite. No entiendo de inyección electrónica ni tengo herramientas ni instrumental para poder verificar el funcionamiento correcto del motor ni su sistema electrónico de control y sensores.

¿Me quedo a pie? No, las mejoras técnicas hace mucho más confiable al automóvil que tengo hoy que el que tenía cuando era joven. Y si surge un problema llamo a un servicio mecánico o recurro a un taller calificado para resolver el problema. Hoy tengo dinero par pagar eso, cuando hace falta.

Con el software es parecido, quien quiere tener independencia tecnológica real, poder ejercerla, no le alcanza con la voluntad, debe ser capaz de solucionar sus propios problemas. Si necesita recurrir a 2 o 3 especialistas que sólo ellos saben como arreglar algo y además lo van a hacer cuando tengan ganas sin que esten obligados conmigo por ningun contrato, siento que estoy en la misma situación que con el software pago. (Salvo que a MS le tengo que pagar.)

¿Cual camino es mejor? creo que depende del buen criterio de cada uno, de su bolsillo y su estrategia. No creo que haya ganadores netos. Ni la "magic bullet". No creo que una cosa sea más segura que la otra. Creo que depende de cada caso particular.

Saludos,
Raúl

Julio Jaime said...

Gracias Raul por tu comentario maduro. Sabemos que este tipo de post, es como juntar combustible, oxigeno. Solo basta un poco de calor y armamos un buen incendio.

Yo creo haber aclarado en el post que pocas personas pueden modificar el código fuente de Linux. Pero nuevamente lo repito, el tener el código ya es una ventaja que en otro caso no contamos.

Respecto al ejemplo del auto, si tu vehiculo hoy fuese fabricado por Microsoft y fuese un modelo Windows 2000. Tendrias que dejar de usarlo, aunque en el contrato mencione que tiene soporte por un año mas. Yo que los talleres de reparación Microsoft ( exclusivos ) no tendrían las refacciones.

Ningún otro mecánico estaría en condiciones de ver tu auto. Aun mecánicos mas jóvenes que nosotros que si tienen tiempo de ver como funcionan las cosas y además son innovadores. ( vamos que la juventud no muere con nosotros ;-) )

Un excelente ejemplo es este : http://www.f-16.net/news_article1816.html

EEUU aun utiliza los F16 ( aun siendo obsoletos ), porque ellos si tienen los repuestos.

Saludos

Raúl said...

Gracias Julio!

Eduardo said...

Excelente post.
Otro hecho que yo considero personalmente una ventaja del software open-source es el hecho de que trabaja con nuestra información como un sistema de caja blanca, tenemos la posibilidad de saber como maneja nuestros datos, o en el caso de desconocer programación y temas relacionados podemos contratar a alguien que domine dichas areas y nos informe que sucede con nuestros datos. En cambio con el software cerrado, nuestra información queda a disposición de un sistema de caja negra, sabemos que entra, que sale, pero lo que pasa dentro solamente lo sabe el fabricante del soft.

Anonymous said...

Personalmente me resultó muy interesante esto:
http://www.,sahw.com/wp/archivos/2009/09/06/sobre-la-carta-de-la-free-software-foundation-a-las-empresas-fortune-500/


Saludos,
Raúl