Es difícil pensar en un tema que sea más central en el debate a favor y en contra del software libre y de código abierto que la seguridad.
Después de todo, casi todos los días hay noticias sobre nuevos exploits en entornos Windows, pero ¿qué pasa con Linux y otro software abierto? ¿Pueden hacerlo mejor?
Esa es esencialmente la pregunta que les hicimos a dos participantes en el primer enfrentamiento de software libre de LinuxInsider de esta semana, que se centró en este tema.
En la parte 1, Sam Ransbotham, profesor asistente de sistemas de información en Boston College Escuela de Administración Carrollcitando datos de su investigación reciente que demuestra que la apertura no siempre es una virtud cuando se trata de seguridad.
«Una vez que se descubre una vulnerabilidad, el código fuente abierto puede ayudar a los atacantes a crear vulnerabilidades», explicó Ransbotham. «Ese es el precio de la transparencia».
Tabla de Contenidos
«La seguridad en la oscuridad es una broma»
A continuación, en la Parte 2, Joe Brockmeier, líder del equipo de relaciones públicas de GNOME, anteriormente Abrir SUSE El administrador de la comunidad de Novell habló sobre el excelente historial de FOSS y afirmó que «la seguridad a través de la oscuridad es una broma».
Por ejemplo, se ha descubierto que Internet Explorer de Microsoft «tiene varias vulnerabilidades explotables», señaló Brockmeier. «La razón por la que no fueron descubiertos es porque el código de IE está abierto y fueron descubiertos por otros medios.
Y añadió: «Es totalmente posible que un atacante motivado y talentoso descubra vulnerabilidades en el software sin acceso al código fuente, pero la falta de acceso al código fuente obstaculiza a quienes quieren encontrar y corregir las vulnerabilidades lo más rápido posible».
«Esto debería asustar a la gente»
Mientras tanto, refiriéndose a las aplicaciones alojadas que forman parte de muchas iniciativas de computación en la nube, Brockmeier señaló que «las empresas no han mostrado una tendencia a sentirse completamente cómodas con las vulnerabilidades de seguridad a menos que sea necesario».
«No sólo es imposible comprobar si hay vulnerabilidades en el código, sino que también es imposible saber exactamente qué están haciendo los datos», explica. «Esto debería asustar a la gente cuando habla de sus datos personales».
LinuxInsider invita a ambas partes a ofrecer refutaciones a los comentarios del otro, presentados en la tercera y última entrega de nuestra serie sobre el tema.
«Esto no es un derecho de nacimiento»
Esto es lo que Lance Botham dijo:
“El código fuente abierto tiene muchas ventajas potenciales (mayor revisión antes del lanzamiento, más desarrolladores corrigen los problemas a medida que se descubren, una comunidad activa que implementa parches, etc.), pero también desventajas potenciales porque los atacantes pueden ver el código del programa.
«Creo que dos cosas son importantes: primero, las ventajas potenciales requieren trabajo para convertirse en ventajas reales. Muchos/la mayoría de los proyectos de código abierto tienen esto, pero no es un derecho de nacimiento. Segundo, reconocer el potencial. Vale la pena tomar las deficiencias y asignar tiempo/ Esfuércese en consecuencia: es probable que los atacantes hagan esto. El código fuente abierto en sí no crea seguridad sin esfuerzo.
«La computación móvil y en la nube no es estrictamente una cuestión de código abierto versus código cerrado, pero claramente existen muchas de las mismas cuestiones centrales en torno a la transparencia. Por ejemplo, en la computación en la nube, si bien es posible mejorar la seguridad mediante la agregación de esfuerzos de seguridad Hay algunos incentivos muy confusos que fácilmente pueden causar problemas.
«También dudo del desempeño de los proveedores de la nube a menos que encontremos algunos contraincentivos. Este es un desafío para la comunidad de seguridad: encontrar formas de beneficiarse de la computación en la nube minimizando al mismo tiempo sus desventajas».
«Los beneficios superan con creces los costos».
Brockmeier no ofreció refutación, por lo que ahora sólo queda declarar al ganador del debate.
En este caso particular, parece encajar de lleno en el ámbito del software libre y de código abierto, ya que ambas partes coinciden en gran medida en que la transparencia aporta muchos beneficios.
Incluso al referirse a los «costos de la transparencia» que encontró su estudio, Lance Botham admitió: «Mi sensación es que los beneficios de la transparencia superan con creces este costo».
Por lo tanto, su mensaje general es principalmente de advertencia.
«En general, la apertura es una virtud, pero también puede ser un pecado», concluyó. «El desafío para la comunidad de código abierto es mantener lo bueno y minimizar lo malo».
anunciar
Pocos estarían en desacuerdo, incluso los más fervientes defensores del software libre y de código abierto.
Una cierta cantidad de FUD
Entonces, ¿qué significa todo esto? La transparencia del software gratuito y de código abierto se considera cada vez más un beneficio importante, incluso para los expertos que estudian la seguridad del software, e incluso cuando ocasionalmente encuentran vulnerabilidades.
El argumento de la «seguridad a través de la oscuridad» todavía puede ser esgrimido con frecuencia por quienes están a favor de la apropiabilidad, pero -al menos en lo que respecta a este debate- carece de sustancia.De hecho, dados los intereses financieros de la parte propietaria, uno podría fácilmente justificar una cierta cantidad impreciso Es de esperarse.
Por lo tanto, el creciente número de partidarios del software libre y de código abierto debería ser alentador. Cuando se trata de seguridad, el software gratuito y de código abierto ha sido respaldado, revisado y afirmado que es superior.
