Existen 2 enfoques relacionados con el tema de la seguridad en los sistemas informáticos: la transparencia -donde los errores y bugs se dan a conocer y se publicitan al máximo, para de esta forma corregirlos lo más rápidamente posible- y el secretismo -donde los agujeros y bugs se esconden y se mantienen en privado- …
– El primer enfoque, es el típico y habitual del software libre (linux, apache, mySQL, php, …), donde además de disponer del código fuente, se publican y se anuncian los errores al máximo, de forma que los usuarios sean concientes de los mismos, al mismo tiempo que se corrigen y solucionan lo antes posible (tengo noticias de parches de seguridad, que fueron publicados minutos después de conocerse el problema), pudiendo cualquier desarrollador liberar la solución al problema/error.
La idea básicamente consiste en: “Un sistema será más seguro cuantos más errores se encuentren y se arreglen”. (Evidentemente cuanta más gente utilice estos programas, mucho mejor, porque ya se sabe que 4 ojos ven más que 2)
– El otro enfoque suele ser el habitual de los productos comerciales, donde la máxima es que no se conozcan los errores de los programas, puesto que esto según ellos presenta principalmente 2 ventajas:
- Evitan mala publicidad para sus productos
- Menos gente conoce las vulnerabilidades
Pero con esta forma de actuar, los errores siguen existiendo (quizás en una nueva versión los corrigan o no, puesto que por regla general, no es un tema prioritario) , pero como se supone que nadie los conoce (excepto los propios desarrolladores del programa y el descubridor del BUG) parece como si el programa fuera seguro, aunque no lo es.
Aquí la idea consiste en: “Un sistema es más seguro cuantos menos errores se conozcan”.
Todo esto sale a colación de unos errores aparecidos recientemente en el php e iptables y un posible exploit en el SSH, a los que se le ha dado la máxima publicidad, explicando en que consiste el problema (lo que sirve entre otras cosas para que no se vuelva a repetir) y como solucionarlo facilmente:
- PHP remote vulnerabilities
http://security.e-matters.de/advisories/012002.html - security/2002-02-25-irc-dcc-mas
http://netfilter.samba.org/security/2002-02-25-irc-dcc-mask.html - SSH2 exploit?
http://online.securityfocus.com/archive/82/258238 |
http://lists.suse.com/archive/suse-security/2002-Mar/0023.html - The Myth of Open Source Security Revisited
http://softwaredev.earthweb.com/sdopen/article/0,,12077_983621,00.html
¿Qué pensaís sobre esto de airear los bugs? ¿Cúal es la mejor solución a los problemas?
—
$ alias carcoco=”echo Carlos Cortés”
http://bulma.net/todos.phtml?id_autor=132
Este post ha sido traido de forma automatica desde https://web.archive.org/web/20140625063149/http:/bulma.net/body.phtml?nIdNoticia=1216 por un robot nigromante, si crees que puede mejorarse, por favor, contactanos.