9 de noviembre de 2008

Despejando mitos sobre la GPL y el SL 6 de 18

Mito #3: Los problemas de seguridad en el software libre están ahí para que cualquier malvado los encuentre fácilmente.
El reporte del Instituto Alexis de Tocqueville llega tan lejos como para decir que los gobiernos preocupados por el terrorismo no deberían implementar software libre en sus redes ya que los terroristas podrían encontrar y explotar los hoyos.

Deacuerdo con los partidarios de este mito, el software privativo es mejor debido a que los hoyos de seguridad son dificilísimos o imposibles de encontrar cuando el código fuente no está disponible. Este es un enorme equívoco.

En nuestro negocio diario, hacemos ingeniería inversa de programas compilados para nuestros clientes buscando fallas de seguridad que pudieran impactar sus negocios, y no nos presenta problemas encontrar dichas fallas. Es casi tan fácil para nosotros encontrar problemas de seguridad en un binario como es para nosotros encontrar problemas de seguridad en código fuente. Aún cuando tenemos herramientas automáticas que nos ayudan en nuestra cacería en ambos casos, hemos hecho frecuentemente dicho trabajo manualmente con éxito similar. La única diferencia es cuanto tiempo y habilidades son necesarios para encontrar los problemas de seguridad.*3*

Ciertamente, se requiere más tiempo y habilidad para encontrar problemas de seguridad en los binarios. Sin embargo, hay bastantes personas con ese tiempo y esas habilidades. Si tales personas toman como blanco cualquier organización en particular, entonces la disponibilidad del código fuente simplemente no importa, el que haya un hoyo de seguridad en el código no será la diferencia.

*3* El reporte también parece implicar que hacer ingeniería inversa de software es un acto ilegal. En la mayoría de los casos, bajo las leyes de los EU y la UE, es perfectamente legal, independientemente de lo que diga la licencia. Para más información ver La Ley & Economía de la Ingeniería Inversa de Pamela Samuelson y Suzanne Scotchmer (The Law & Economics of Reverse Engineering by Pamela Samuelson and Suzanne Scotchmer: http://www.sims.berkeley.edu/~pam/papers/l&e%20reveng5.pdf).

No hay comentarios.: