Si se pregunta a los fans del software libre qué es lo que los mantiene leales al software gratuito y de código abierto, es probable que la seguridad esté en lo más alto de su lista de ventajas. Sin embargo, pregúnteles a los defensores del software propietario pago y probablemente dirán lo mismo.
Ahí radica una paradoja que ha causado considerable consternación en ambas partes a lo largo de los años.
Por un lado, algunos argumentan que el software de código abierto es más seguro porque la amplia disponibilidad de su código garantiza que cualquier problema pueda identificarse y solucionarse más rápidamente. Sin embargo, es lógico que esta apertura haga que el código sea más vulnerable a intentos maliciosos de explotar cualquier debilidad.
¿Cuál es la correcta? No faltan usuarios e investigadores de mercado bien informados y dispuestos a apoyar a todas las partes.
Aún así, la controversia continúa.
Este es el primero de la nueva serie FOSS Face-Off de LinuxInsider, y le daremos a ambas partes la oportunidad de expresar su opinión. Luego, al estilo clásico del debate, también le daremos a cada persona la oportunidad de responder a los comentarios de los demás. A partir de ahí, tú, lector, sacarás tus propias conclusiones.
Primero: Sam LansbothamProfesor asistente de sistemas de información en Boston College Escuela de Administración Carrollpor qué la apertura no siempre es una virtud.
LinuxInsider: En términos de software, ¿cómo define la seguridad? Es decir, ¿qué cree que hace que una pieza de software sea más segura que otra?
Sam Lansbotham:
La seguridad es un problema difícil que implica múltiples cuestiones, como vulnerabilidades, privacidad, piratería, estabilidad y confiabilidad, y complejidades que incluyen externalidades, estructuras de incentivos y fuerzas del mercado, la mayoría de las cuales no se pueden medir fácilmente y cambian rápidamente.
De hecho, una gran parte del problema consiste en considerar múltiples aspectos simultáneamente para evaluar la seguridad relativa de dos piezas de software. Entonces tenemos que tomar decisiones y hacer concesiones sin una buena manera de evaluarlas.
Por ejemplo, el número absoluto de vulnerabilidades reportadas en el software lanzado no tiene sentido sin una forma de medir la gravedad o ajustar el alcance y la funcionalidad. Dado que la seguridad total no es posible o poco práctica, necesitamos más investigaciones y análisis empíricos para comprender los costos y beneficios asociados.
LinuxInsider: Algunas personas defienden la seguridad a través del anonimato, mientras que otras creen que la codificación abierta ayudará a que los problemas se resuelvan más rápido. ¿Qué lado crees que es correcto?
Lanza Botham:
Como ocurre con la mayoría de las cosas, ninguna opción es única para todos. La seguridad implica muchas motivaciones, incentivos y externalidades diferentes. Incluso esta pregunta sólo se centra en una parte del problema: la solución. Pero implica algo más que simplemente arreglar el código. Muchos de los beneficios del código abierto provienen del proceso de descubrimiento de vulnerabilidades previo al lanzamiento.
Después del descubrimiento, investigaciones anteriores demostraron que el código fuente abierto se parcheaba más rápido. También creo que los usuarios de código abierto pueden implementar correcciones más rápido. Tener el código fuente debería ayudar a los defensores a implementar contramedidas después del descubrimiento, pero antes de implementar medidas correctivas. Estos son los beneficios de la transparencia.
Sin embargo, mi investigación reciente muestra que el código fuente abierto puede ayudar a los atacantes a crear vulnerabilidades una vez descubiertas. Este es el costo de la transparencia.
Mi sensación es que los beneficios de la transparencia superan con creces los costos. No obstante, demuestra a los usuarios de código abierto que deben estar atentos a las actividades posteriores al descubrimiento para mitigar este impacto adverso. Me gustaría ver más investigaciones para medir y cuantificar estos costos y beneficios; es un problema difícil.
LinuxInsider: Cierto grado de inseguridad en el software parece deberse a su adopción generalizada. Siendo ese el caso, si se persuade a las personas que buscan una mayor seguridad para que adopten sistemas con menos objetivos, ¿no sería la consecuencia lógica una mayor vulnerabilidad debido a una mayor popularidad? Por ejemplo, esto parece ser lo que ocurrió después de que Firefox se volviera más competitivo con el «menos seguro» Internet Explorer.
Lanza Botham:
Sus puntos de vista personales sobre «¿qué es valioso?» variarán, y los atacantes racionales seguirán el camino que les proporcione el mayor rendimiento neto. El valor del sistema, el esfuerzo/costo del compromiso y el riesgo/pena del castigo afectan la recompensa neta, y una mayor popularidad puede afectar cada componente de la recompensa neta de manera diferente.
Como mencionó, una mayor popularidad puede generar un mayor valor a medida que más sistemas se conviertan en objetivos potenciales. Sin embargo, la clave es el valor del sistema, no estrictamente la amplitud de su adopción. Depende de quién lo adopte, combinado con las motivaciones del atacante.
Dado el caso extremo de ataques dirigidos, otros adoptantes pueden ayudar a esconder la aguja en un pajar más grande. Otros adoptantes también pueden aumentar los recursos asignados a la defensa o permitir que se comparta el costo de las contramedidas. En general, es difícil determinar el efecto neto de tal evento sin un análisis. Esto hace que estudiar estos temas sea interesante e importante.
LinuxInsider: Incluso Google está abandonando Windows internamente por motivos de seguridad. ¿Qué opinas de este movimiento?
Lanza Botham:
En aras de una divulgación completa, debo mencionar primero que Google ha financiado algunos de mis proyectos. investigación irrelevante. Más allá de eso, sin embargo, se trata de un avance realmente interesante.
Si bien la seguridad puede haber sido parte de la decisión, parece haber otros factores también. Tenga en cuenta que Google se está convirtiendo cada vez más en un competidor de Microsoft, con su sistema operativo Chrome, sus aplicaciones de búsqueda y de oficina. Por lo tanto, probablemente se trate más de una estrategia general que de una seguridad específica. De ser así, no sería la primera vez que se utiliza la seguridad para justificar un cambio con diferentes motivaciones subyacentes.
Sin embargo, independientemente de la motivación, creo que el enfoque y la visibilidad del cambio aumentarán la presión competitiva y serán buenos para la industria. Desde una perspectiva de seguridad, esto sin duda aumenta el riesgo de Google Chrome. El primer problema de seguridad importante e inevitable en el entorno post-Windows de Google atraerá una atención generalizada. Esto debería inspirar a Google a enfatizar la seguridad.
LinuxInsider: ¿Qué pasa con la administración Obama y otros gobiernos que han comenzado a adoptar el software de código abierto? ¿Crees que esto es un problema para la seguridad nacional?
Lanza Botham:
No esencialmente. Independientemente de su origen, todo software tiene problemas de seguridad. No creo que una mayor dependencia del software de código abierto sea un problema para ciertos usuarios.
Volviendo a la discusión sobre las recompensas netas y una mayor adopción, cualquier sistema que adopte un gobierno aumentará el valor general del sistema, especialmente para los atacantes con motivaciones políticas o estatales. Pero en el caso del código abierto, también podría aumentar las contribuciones patrocinadas por el gobierno al código abierto y al menos aumentar el número de ojos que miran el código fuente.
También es interesante considerar el impacto que una mayor adopción gubernamental de código abierto tendría sobre los usuarios no gubernamentales de código abierto, posiblemente creando externalidades negativas. Esto se puede comparar con el vecino de al lado que anuncia públicamente que ha puesto mucho dinero en su colchón. Como resultado, su vecindario puede atraer más actividad criminal. Del mismo modo, todos los demás usuarios de código abierto pueden estar sujetos a más ataques a medida que los atacantes encuentren mayores incentivos y recompensas netas de las actividades de explotación.
LinuxInsider: En general, ¿cree que la apertura es una fortaleza o una debilidad cuando se trata de seguridad?
Lanza Botham:
En general, la apertura es una virtud, pero no está exenta de pecados. El desafío para la comunidad de código abierto es mantener sus ventajas y minimizar sus desventajas.
Mi investigación reciente identificó una parte del proceso de vulnerabilidad en la que los atacantes podrían beneficiarse al ver el código abierto y traté de cuantificar este beneficio.
Creo que necesitamos más investigación y análisis para comprender mejor cómo encajan estas fortalezas y debilidades. Luego, la comunidad de código abierto puede utilizar esta información para responder al entorno de amenazas en evolución.
«La apertura no siempre es una virtud cuando se trata de seguridad. Oponente: Joe Brockmeier».
