Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
¿Como medir la seguridad?

Seguridad
Por Unikoke
departamento Estoy totalmente seguro ¿o no? , Sección Software Libre
Puesto a las Fri Nov 29th, 2002 at 05:38:47 AM CET
He encontrado en Hispasec este artículo que trata sobre un informe realizado por una compañía estadounidense, en el cual se pone en entredicho la seguridad del software de código abierto frente al propietario.

En dicho artículo se utilizan unas medidas más que discutibles a la hora de realizar el estudio, como pueden ser por ejemplo los virus que se han desarrollado para un determinado sistema en un periodo de tiempo.

 


Está claro que en un modelo de desarrollo abierto, siempre será más fácil el encontrar un fallo, pero también está claro que ese mismo "defecto" es su mayor virtud, ya que es más fácil y rápido el poder corregir los errores, sobre todo si hay toda una comunidad detrás dispuesta a ello.

El informe al que hace referencia el artículo es posterior a otro similar, realizado por otra compañía en el cual salía Linux como producto más inseguro, por detrás de Windows únicamente, aunque eso sí, con un 19% de vulnerabilidades cuantificadas con respecto al 44% atribuido al sistema de Redmond.

Esta circustancia me hace reflexionar sobre este tipo de informes. La información es poder y la frase de "x millones de moscas no pueden estar equivocadas" es una de las más aceptadas por la sociedad. Solo hay que mirar cualquier medio informativo para comprobarlo. ¿Será esta la estrategia "comercial" que se usará para acabar con el "molesto" software libre?

Personalmente estoy de acuerdo con el autor del artículo de Hispasec, en que estos estudios son poco más que humo por dos motivos:
-Si se programa mierda, es mierda, dando igual que sea libre o propietaria
-La seguridad va principalmente en el operario, no en la herramienta
En definitiva, algo más en lo que pensar, pero que nos lleva principalmente a una conclusión: no hay ningún sistema seguro, solo están los que aparentan serlo por un lado y los que intentan serlo por otro.
< Diseña Linux (10 comments) | Instalación de Knoppix en el disco duro (5 comments) >
Enlaces Relacionados
· Hispasec
· artículo
· More on Seguridad
· Also by Unikoke

Encuesta
¿Es seguro mi sistema?
· Claro que si, sin dudarlo. 3%
· Si, lo actualizo todos los días 3%
· No, no resiste a los ataques de la compañía eléctrica 75%
· No, no puedo vivir sin Javascript 7%
· ¿Quien quiere seguridad? 0%
· ¿Virus? Eso lo lleva el médico ¿No? 10%

Votos: 28
Resultados | Otras Encuestas

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
¿Como medir la seguridad? | 6 comentarios (6 temáticos, editoriales, 1 ocultos)
¿Seis virus? (none / 0) (#1)
por PATAN a las Thu Nov 28th, 2002 at 08:09:42 PM CET
(Información Usuario) http://juegoslinux.mardot3d.com

Hay dos cosas, que no me gustán del articulo:

1 - El título " La seguridad del software de código abierto puesta en entredicho", es un poco sensacionalista ¿no?, ademas el código abierto gana 19% a 44% del código cerrado, que yo sepa el código perfecto no existe.

2 - La siguiente frase "Durante el año 2001 se publicaron seis avisos con relación a virus
y troyanos que afectaban a los productos de Microsoft. En los diez
primeros meses del 2002, no se ha publicado ninguno." SOLO SEIS VIRUS!!!, entonces todos esos nuevos virus que se ven en los telediarios o en barrapunto, yo diría que son miles ¿? Me lo explica alguien que no estoy muy puesto en productos Microsoft.

Un saludo y perdón por interrrumpir.



P.D.: Mis comentarios no deben ser tenidos en cuenta, pues no soy mas que un PATAN.


 
Mentiras, malditas mentiras y estadisticas. (none / 0) (#2)
por luca a las Thu Nov 28th, 2002 at 09:27:42 PM CET
(Información Usuario)

El articulo viene a decir que hay estadisticas para todos los gustos. Por ejemplo este informe, que cubre el mismo periodo analizado por Aberdeen Group, (que, curiosamente, produce informes que favorecen descaradamente a quienes los han encargado) dice que Windows se lleva el el 44,1% de las vulnerabilidades frente al 18,9% de Linux y 8,5% de BSD. Si todos los BSDs en esta estadisdica fuesen libres (cosa que dudo), tendriamos un 27,4% de vulnerabilidades en sistemas abiertos frente a un 72,6% en sistemas cerrados.

Pero el punto fuerte del software abierto es que siempre es auditable y, si cabe, corregible por uno mismo, y eso no es posible con el codigo cerrado.

Y sobre todo también es auditable la corrección (no puedes decir lo mismo del service pack de turno, siempre y cuando esté disponible, que en muchos casos no lo está ni lo va a estar )



Un par de conclusiones (none / 0) (#3)
por fizban a las Fri Nov 29th, 2002 at 12:45:45 PM CET
(Información Usuario)

Creo que lo importante es sacar conclusiones de estas cosas. Desde mi punto de vista hay unas cuantas. Primero, ninguna fuente es 100% fiable. Estas auditorías siempre las encarga alguien con intereses, y si las publican es que favorecen sus intereses. Si las publica una fuente "independiente", pongase una consultoría de software, evidentemente será favorable a los productos que ellos ofrecen. Por lo tanto, creo que es bueno coger el mayor número de fuentes, hallar la media y entonces es probable que obtengas un resultado más cercano a la verdad.

Otra conclusión. ¿Un software es inseguro si se descubren en él cierto número de agujeros? Durante el tiempo que sean conocidos dichos agujeros será inseguro, por lo que para determinar si un software es muy inseguro habrá que tener en cuenta cuanto tiempo tardan en arreglarse dichos agujeros. Eso no sé si lo comentan en alguno de esos estudios (no he tenido tiempo de leerlos).

Decir que el software libre es más inseguro que el software propietario o viceversa por el simple hecho de que aparecen X agujeros de seguridad o virus para un modelo dado me parece fuera de lugar. Creo que son estudios demasiado simplistas. Desde mi punto de vista tendría que haber algo más de ingeniería en los mismos, no dedicarse sólo a cuantificar.

[ Padre ]


Sacando conclusiones (5.00 / 1) (#4)
por r00z a las Fri Nov 29th, 2002 at 03:50:10 PM CET
(Información Usuario) http://r00z.ath.cx/

Estas auditorías siempre las encarga alguien con intereses, y si las publican es que favorecen sus intereses. (...) Por lo tanto, creo que es bueno coger el mayor número de fuentes, hallar la media y entonces es probable que obtengas un resultado más cercano a la verdad.

No sé yo, eso sería hacer de un puñado de mentiras una verdad. No por tener en cuenta a muchas fuentes vas a conseguir una visión más global si todas estas son sujetivas.

[ Padre ]


 
Lo que hallamos es quien paga mas encuestas (none / 0) (#6)
por SickBoy a las Sat Nov 30th, 2002 at 04:15:13 PM CET
(Información Usuario)

Por lo tanto, creo que es bueno coger el mayor número de fuentes, hallar la media y entonces es probable que obtengas un resultado más cercano a la verdad.

Me parece que la respuesta entonces se va a arrimar a quien pague a más fuentes de información.

Cada vez se hace más necesario, especialmente en estos temas que mueven tanto dinero, que vayamos sacando nuestras propias conclusiones basadas en la experiencia.

El problema es que esto tampoco es fiable.

[ Padre ]


 
¿Como medir la seguridad? | 6 comentarios (6 temáticos, editoriales, 1 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda