lunes, 17 de octubre de 2011

La intrinseca seguridad del software libre ...

… frente al software privativo, faltaría añadir. El software libre u Open Source es el único que garantiza la seguridad al usuario. El único. ¿Suena a “talibán”? ¿Existe la seguridad absoluta? Puede que sí y rotundamente no, serían las respectivas respuestas, pero hay mucho de lo que hablar porque las cosas no son blancas o negras, según convenga, pero sí se diferencian. Pero antes de comenzar a soltaros el rollo, me gustaría aclarar que aunque “la intrínseca seguridad del software libre” la tomo en términos generales, este artículo está especialmente centrado en la computación en la nube, tan de moda en estos tiempos.
OSec La intrínseca seguridad del software libre...
Este tema me ha asaltado varias veces desde hace mucho tiempo, y no es sencillo de abordar. En un principio, está claro que el software libre, por sus condiciones, es mucho más seguro que el propietario, porque si puedes ver el código fuente, no te pueden engañar, ¿verdad? Es decir, si tienes los conocimientos necesarios, puedes perfeccionar el código de una aplicación, ir tapando agujeros de seguridad y al mismo tiempo estar auditado por cientos o miles de ojos.
La otra cara de la moneda es la que defienden las desarrolladoras de software privativo: si no ves mi código te será más difícil hackearlo, pero hace mucho que se viene demostrando falsa esa teoría, algo que han probado en sus carnes las principales compañías tecnológicas, con Microsoft a la cabeza pero sin olvidarnos de ese despropósito llamado Flash Player, entre otros muchos (también está claro que el software libre no se libra de vulnerabilidades).
Un ejemplo cristalino de esta situación nos lo dio Dropbox hace unas semanas (leeros el enlace porque es cortito, no lo voy a explicar y tiene tela). Teniendo en cuenta esas actuaciones, ¿se puede fiar alguien de una empresa al cien por cien? Absolutamente no. Y el caso de Dropbox es solo un ejemplo, pero casi cualquier empresa se bajaría los pantalones ante la mínima presión.

SpiderOak y Wuala son mucho mejores que Dropbox en todos los sentidos, y una de sus principales virtudes es el contar con una seguridad que cifra los archivos antes de subirlos al servidor en la nube con una contraseña que solo el usuario conoce, “garantizando” con ello el total desconocimiento por parte de las empresas de lo que sus usuarios han subido a su espacio. “Zero knowledge” llaman a esta característica, y no es que no puedan acceder a los archivos de sus usuarios los mismos trabajadores de estas empresas, es que en el caso de que un usuario pierde su contraseña no hay forma de recuperarla, se pierde la cuenta y lo archivos almacenados en ella, al contrario de lo que pasa con Dropbox.
Podríamos decir que a no ser que un hacker interviniera por la fuerza, nuestros archivos están cien por cien seguros en SpiderOak o Wuala. Pero no es así y la razón es que no son software libre. ¡¿Cómo?! Sí señor, es algo que los usuarios han debatido en los mismos blogs corporativos de ambos servicios, temas en los que sus responsables no han aparecido a dar explicaciones, por cierto.
Por ejemplo, ¿qué pasaría si algún tribunal de Estados Unidos reclamara información sobre alguno de los archivos alojados en estos servicios? Los responsables dirían “es imposible, están cifrados y ni nosotros podemos acceder, etc, etc”. Pero, si se les obligase legalmente a dar esta información, hay una posibilidad que se ha barajado muchas veces: hacer un “pequeño cambio” en las aplicaciones y colarlo como una actualización más (usad vuestra imaginación en este punto).
Por supuesto, algo así habría que dejarlo muy claro en las políticas de privacidad, pero con una orden judicial de por medio, quién sabe a qué se podría llegar (a saber si no se ha llegado ya). De hecho, es una de las cosas que se le echan en cara a Dropbox en la anterior cita, que cambió las políticas de privacidad a posteriori, después de haber aplicado los cambios en la aplicación, un caso que no podría darse en aplicaciones como SpiderOak o Wuala si fuesen software libre ya que se podrían leer los cambios en su código (teniendo muy en cuenta también la mayor seguridad de estos servicios frente a Dropbox).
En este punto hay quien podría decir que de qué vale el software libre y poder leer el código fuente -o modificarlo- si nosotros pobres mortales (o sea usuarios) no estamos ni de lejos capacitados para hacer algo así. Bien, es cierto pero…
En un mundo de productos y competencia, muy especialmente si hablamos de servicios en línea o en la incipiente nube, las empresas quieren ganar dinero, las audiciones de código por parte de empresas dedicadas en exclusiva a ello está al orden del día y encontrar un agujero de este tipo supondría un duro mazazo para cualquiera (o tal vez no, véase de nuevo el caso de Dropbox).
Está claro que tampoco guardamos secretos de estado en esto servicios, por mucho que nos importen nuestras cosas y, llegado el caso, a un criminal le sería más fructífero ponernos una pistola en la sien y pedirnos nuestras claves que utilizar la fuerza bruta para sacarlas mediante hacking (suponiendo que no le has puesto de contraseña el nombre de tu hija, mujer o tu fecha de cumpleaños, que de todo hay por ahí. Yo desde luego le daría lo que me pidiese.
En fin, esto es una opinión, la mía (no tengo otra), pero está respaldada con hechos, con el ejemplo de Dropbox que para mí es clave, y no entramos a comentar los errores típicos del software, de los que no se libra ningún código escrito por el hombre (¡o la mujer!). Pero, como se suele decir, esa es otra historia.

No hay comentarios:

Publicar un comentario