Innumerables veces he leído u oído hablar de la confianza que genera el código abierto por sobre el cerrado, cuan mantra capaz de lavar cerebros en masa, y por lo general termino haciéndole a esa gente la siguiente pregunta: ¿Revisás el código y compilás vos mismo todo el software que utilizás?
El reciente caso de una extensión de Firefox comprometida nos enseña eso. En esta ocasión se trató del paquete de lenguaje en vietnamita, el cual, mientras que en su código fuente se advertía limpio, en su versión compilada (la que habrán descargado el 99% de los interesados) contenía un gusano de Internet que se ejecuta en Windows, creyéndose que esto sucedió porque el paquete fue compilado en una PC con este sistema operativo ya comprometida.
Más allá de que el asunto también dispara alarmas concernientes a cómo es posible que la corporación Mozilla llegara a alojar en sus servidores oficiales un archivo infectado, esto también nos alerta sobre la excesiva confianza, la que se ve en muchos nuevos convertidos del software libre, que se creen herederos directos de Richard Stallman nada más que porque hace unos meses aprendieron a instalarse el Ubuntu y a escribir una líneas en PHP. Y la moraleja es que, mientras el código abierto en sí brinda mayores garantías en cuanto a la seguridad, también puede llegar a ofrecer una falsa sensación de ésta, principalmente para quien no puede, por falta de conocimientos, tiempo, ganas, o los tres, revisar y compilar cada paquete de software que vaya a utilizar; en este caso la mayoría de nosotros pobres mortales. Sí, posiblemente siempre existirá alguien que revise el código, lo compile, lo compare con el binario disponible en el sitio de descarga, y alce la voz en caso de encontrar algo extraño, pero, ¿podemos asegurar que todos los proyectos open source existentes poseen al menos a uno de estos ángeles guardianes realizando esta acción por cada nuevo release? Podemos apostar que no. Y es por eso que me parece estúpido cuando algún fanboy de Firefox descalifica a Opera por ser simplemente de código cerrado. Nada es tan negro ni tan blanco. El código abierto es fabuloso pero no nos volvamos extremistas.
Entradas Relacionadas
El personal de IT: El nuevo enemigo o el chivo expiatorio de siempre?
7 comentarios
Comentarios asociados a este artículo
Enlace al trackback
http://geekotic.com/2008/05/10/el-problema-de-la-confianza-ciega/trackback/
10/Mayo/2008 a las 13:21
Lucila
Usando
Mozilla Firefox 2.0.0.14 en 
Ubuntu Linux
Hay muchos que realmente son fanaticos de algo y no se lo podes sacar de la cabeza.
No es simplemente usar software de código abierto, es mas que eso. Saber usarlo, ser conciente de lo que se instala y cómo, desde donde…
Y si, al fin y al cabo es como decis, confianza ciega.
Saludos!
10/Mayo/2008 a las 16:13
Gabriel
Usando
Opera 9.50 en 
Windows Vista
Son muy pero muy pocos los usuarios que estudian el fuente de cualquier Open Source que usan. Y además ¿cuánto freeware que no es Open Source usamos a diario con total confianza?. Que se o no Open Source no dice absolutamente nada del programa que queremos usar. De todas formas no queda otra que confiar y tratar de tener cuidado en quien confiamos. Sino la única solución es programar nosotros mismos desde el sistema operativo hasta el procesador de texto pasando por toda la gama de aplicaciones que usemos. ¿Existirá alguien que lo haya hecho? ¿Que use absolutamente todo programado por el mismo?
12/Mayo/2008 a las 13:20
exos
Usando
Mozilla Firefox 3.0b5 en 
Linux
Son unos ignorantes del tema.
Bueno, preferiría no espezar tan hostilmente, pero es cierto, meter este insidente en un tema de “desconfianza del software libre” es solo querer crear un flame, o ponerse en contra de una corriente que ahora esta viniendo. Por empezar, yo no soy “fanatico”, por que uso software privativo también, como el Fireworks de Adobe o el Zend Studio y Skype. Pero si bien vamos al caso, con este paquete infectado de Mozilla, y que esto quede claro NINGUNA MAQUINA UTILIZANDO UN SO ABIERTO SE VIO AFECTADA, solo los usuarios de windows, y si bien se puede fabricar virus para cualquier SO, el tema de que windows permita que ese malware “haga lo que quiera con el sistema” es un problema de windows, y no del mal paquete. El tema del software libre tampoco tienen NADA que ver en esto, se dice (y se sabe) que es muchisimo mas seguro, por que cualquiera puede estudiar el código fuentey postear, y parchar, y no se pretende que el usuario final lea y analize el cófigo, pero yo mismo he analizado el codigo de varios modulos de apache.
Ha esto te hago unas cuestiones:
- ¿Cuantas veces pasó este mismo problema con el software privativo?
- ¿Cuantas vulnerabilidades presenta el IIS por ejemplo, a comparación del apache?
- ¿Si el usuario estaba usando linux o freebsd (por ejemplo), que son sistemas libres, el virus les hubiera hecho algo???
Soy analista de sistemas, y trabajo sobretodo en seguridad de servidores, y puedo asegurar que el software libre es muchisimo mas seguro, y trabajar con software privativo siempre fue un dolor de cabeza.
Pienso que deberían refutar en algo antes de opinar de una forma tan poco profesional
13/Mayo/2008 a las 3:09
Gabolonte Blasfemus
Usando
Opera 8.65 en 
Microsoft PocketPC
Estimado exos, debés tener razón, y ante todo me disculpo; seguramente soy como bien vos decís, un ignorante. Pero ya que me hiciste el favor de meterte acá sin ningún ánimo de ofender, voy a aprovechar a hacerte una lista de las cosas que ignoro, a ver si me podés iluminar el camino:
1. Ignoro cual es el alcance que le atribuís a mi humilde post al decir que meto ese insidente en un tema de “desconfianza del software libre”. Para mí no se trata de desconfiarle, para mí se trata de no confiar ciegamente en un binario nada más que porque te incluyen un fuente que no vas a revisar y compilar vos mismo, a menos que, claro, estemos hablando al menos de paquetes muy populares. Calculo que con Firefox en sí, por ejemplo, esto debe ser mucho más difícil que ocurra.
2. Otra cosa que desconozco es a gente que no sea fanboy de Linux (perdónnn, GNU/Linux!), Firefox o del Open Source en general, como vos afirmás no ser, y utilicen el término “software privativo”.
3. Tampoco tengo idea de por qué te apoyás continuamente en los bugs y malas políticas de seguridad de una sola compañía de sofware de código cerrado para por contraste ensalsar a todo el código abierto en general. Si Windows permite que un malware “haga lo que quiera” es más por no obligar al usuario a usar una cuenta limitada como hace Linux y otros SOs, no por una cuestión de no ser open source; algo que intenta solucionar en Vista, con todos los problemas que eso acarrea, ya que todo el mundo estaba acostumbrado a hacer en Windows lo que se le quería. Opera Software, por ejemplo, produce mayoritariamente productos que no son open source y aún así tiene sensiblemente menos problemas de seguridad que que uno de sus competidores que sí se basa en código abierto al que revisan millones. Me dirás que no se puede saber realmente cuan seguro es porque no se puede ver el fuente, que podría tener muchos bugs ocultos, tildándome de ignorante nuevamente; sin embargo la mayoría de los especialistas en seguridad no descubren bugs revisando fuentes, sino probando una forma atrás de otra de romper un software.
4. También ignoro qué aval le da al open source que la infección de este binario sólo ocurre en Windows, cuando claramente sabemos que justamente estaba comprometido por un malware que únicamente corre bajo Windows, como casi todos, no tanto por una cuestión de fuentes abiertos o cerrados, sino como mencioné antes, de un sistema operativo con políticas muy permisivas que, casualmente, es el más utilizado del mundo por lejos; y todos sabemos que los desarrolladores de malware van por cantidad y por calidad.
5. No entiendo además cuando decís que el software libre “es muchisimo mas seguro, por que cualquiera puede estudiar el código fuentey postear, y parchar, y no se pretende que el usuario final lea y analize el cófigo”, frase que es una contradicción en si misma, ya que si no se pretende que el usuario final analice el código, entonces no cualquiera puede estudiarlo y parchearlo. Claro, yo no culpo a nadie de que no seamos todos excelsos programadores en múltiples lenguajes y plataformas como para poder hacerlo, pero me gusta la sinceridad.
6. Por último, confirmo mi ignorancia al no saber en qué forma le aporta más profesionalismo a tu comentario con vena que nos digas que sos analista de sistemas y “trabajas sobre todo en seguridad con servidores”, cuando aportás las mismas argumentaciones que un pibe que descubrió el software libre hace 5 meses (no podría imaginarme a nadie más que diga que es “una corriente que ahora esta viniendo”), y más que nada cuando cualquiera que realmente esté en este gremio sabe que un título o a lo que afirmes dedicarte no dicen absolutamente nada de tu profesionalismo, ya que así como hay gente grosísima que jamás obtuvo uno, también está lleno de ingenieros de sistemas y “analistas” que son de madera terciada y te hacen preguntarte dónde se lo compraron.
Como ves, soy un ignorante en muchas cosas. Te saluda atentamente: Gabolonte Ignorantus ;)
13/Mayo/2008 a las 14:28
Gabriel
Usando
Opera 9.50 en 
Windows Vista
Lo encontramos! Lo encotramos! Exos es el que se programa todo el mismo y si no lo programa examina con lupa el fuente que se bajó, y si todo está ok y luego de modificarlo a su gusto, lo compila y lo usa.
Cuando yo sea grande quiero ser como Exos…
Y ahora me voy a confesar y a auto flagelar por haber trabajado durante mas de 15 años en la industria en mas empresas de las que puedo recordar sin tener título ni siquiera de analista programador.
Perdón Dios Exos por mi ignorancia…
17/Mayo/2008 a las 19:53
hernaaan
Usando
Mozilla Firefox 2.0.0.14 en 
Kubuntu Linux
El “problema” que tiene el Software Libre es que está tan a la vista que cualquier problema salta a la vista, sea una ridiculez o una cosa bastante seria. Aún en una distribución que es conocida por su robustez en la seguridad, hay bugs presentes. Pero si realmente uno se pone a pensar (y lo dejo a su criterio):
Es mejor enterarse y solucionarlo, o no enterarse?
Que a veces desconozcamos de la existencia de algo no significa que esté ausente. El Software Libre sí puede garantizar la transparencia del software, porque es código fuente está disponible y porque hay distribuciones que lo revisan para volver a distribuirlo en un formato que les ayude a facilitar algunas cosas a los usuarios. En el software privativo, si bien esto puede ser del mismo modo, nadie del común de la gente puede asegurarlo, sencillamente porque no lo sabe. En este último caso, la confianza sí es ciega. En el SL podrá tener un ojo menos, pero ciega no va a ser nunca.
Nomás mi punto de vista. Nos vemos.
19/Mayo/2008 a las 2:12
Gabolonte Blasfemus
Usando
Opera Mini 9.50
Hernaaan: Mayormente coincidiría con vos, pero respecto al caso que mencionás, no te parece que el hecho de que el “problemita” se haya descubierto recien después de dos años no habla muy bien de esa transparencia de la que presume el software libre? Sí, tenés toda la razón, con el closed source es aún peor porque para el exterior es una bolsa de gatos lo que puede haber ahí dentro si no tenés la inifinita paciencia y conocimiento que requiere la ingeniería inversa, pero volvamos al punto, no se trata después de todo de una cuestión de confianza? Existe mucho closed source muy confiable, así como también open source que no lo conoce ni el loro y que, a menos que te pongas a revisar todo el código y compilarlo vos mismo como hablábamos, no es muy confiable usar. Y si un problema de seguridad tan grande como el que justamente traés a mención encima le sucede a Debian que no es cualquiera y se supone que es escudriñado por millones, y además recién lo identifican al cabo de tanto tiempo, suma mucho a mi punto.
(A todos) No postié sobre eso (así como también sobre muchas otras cosas más) porque ando con complicaciones personales que me tienen bastante alejado de Geekotic y del tiempo necesario para pulular por las bobósfera en general, pero cuando pueda hacerme un poco volveré a la garca, digo a la carga. :P