martes, marzo 28, 2006

Aracnofobia

En las sesiones de seguridad, cuando hablamos de código seguro siempre hacemos hincapié en lo chungo que es programar algo pensando en la seguridad del código que estas tirando y la inter-relación del mismo con el código que tiraste antes y tienes en bibliotecas, el código que tira otro compi, las librerias que desarrollamos hace tres meses o las que utilizamos de otros pallos.

Para validar la seguridad del código se utilizan herramientas que se leen el código y comprueban los fallos en los mismos. En el mundo del SL no había ninguna herrmaienta de este tipo y al final el gobierno americo, metido en muchos proyectos con SL, tuvo que poner la pasta para hacer un proyecto que se llama "Bug Hunting" y que se inspeccionen los principales proyectos SL. Esta semana han salido los primeros resultados, y son cuanto menos curiososos. De todos los proyectos han sacado 1.5 fallos de media por cada 1000 líneas de código: http://www.washingtontechnology.com/news/1_1/homeland/28134-1.html

Una lista más detallada de esto se encuentra en : http://scan.coverity.com/

"Tironcito de orejas" por tener 841 fallos en la última versión del kernel de linux y aplauso por reconocerlos. ;)

Pq no hay SL de esto y el gobierno ha tenido que pagar el proyecto? Dice un amiguete que programar cosas chulas y cortas te animas y lo haces, pero cosas chungas suele tener menos adeptos, por eso por ejemplo Linus Torvals [sigue usando] Updated: utilizó durante mucho tiempo SP para gestionar las fuentes del kernel ... y genera(ba) la polémica: http://www.gnu.org/philosophy/linux-gnu-freedom.es.html

"El asunto de Bitkeeper
El uso de Bitkeeper para las fuentes de Linux tiene un efecto grave sobre la comunidad del software libre, porque cualquiera que quiera mantenerse al día en los parches de Linux sólo lo puede hacer instalándose ese programa no libre. Debe de haber docenas o incluso cientos de hackers del núcleo que han hecho esto. Muchos de ellos se están convenciendo gradualmente de que está bien usar software no libre, para evitar un sentimiento de disonancia cognitiva sobre la presencia de Bitkeeper en sus máquinas. ¿Qué puede hacerse al respecto?"

En fin.

13 comentarios:

Anónimo dijo...

hombre pues si, se reconoce, 1.5 fallos cada mil lineas de codigo, frente a 20 o 30 que se detectan en el software propietario es facil. Un Saludo

Anónimo dijo...

Interesante

Pero hace tiempo que el kernel de linux dejó de utilizar BitKeeper para utilizar git .

Maligno dijo...

Es cierto, desde hace casi 1 año Linus usa git. http://www.softwarelibre.org.pe/modules.php?name=News&file=article&sid=511 (abril 2005) (Han sido n años usando bk, pero ahora se ha pasado a git).

Al de 20 o 30 en SP, que por favor me mande su fuente (y no la de agua) amos que....

Anónimo dijo...

hola, referente a la fuente de 20 30 errores por cada 1000 lineas de codigo propietario, toda la razón, por las diferentes noticias q leí entendi que en el propio estudio venia esa información, despues de leerlo (no muy a fondo). Al parecer esa información viene de un estudio de una universidad americana y la noticia se puede ver aquí: http://www.wired.com/news/linux/0,1411,66022,00.html

reproduciendo las líneas en cuestión:

Commercial software typically has 20 to 30 bugs for every 1,000 lines of code, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium. This would be equivalent to 114,000 to 171,000 bugs in 5.7 million lines of code.

Me parecen muchos pero ya se sabe que pasa con estos estudios, normalmente parten de la conclusión y el estudio es como llegar a ella. :)

Por cierto que pasa con Internet Explorer que no levanta cabeza y no me refiero a la beta ...

Un Saludo.

Maligno dijo...

Bueno, lo de los 20 o 30 es un comentario que no he visto en ningún estudio y decir que Windows XP tiene 20 o 30 por cada mil lineas de codigo sobre 4 millones de código implicaría que Windows XP tiene 80.000 bugs y 120.000 bugs y creo yo que me parece que no es así. Ahora que si el estudio está hecho con otros productos... Datos, datos. Puedes contar los bugs de Windows XP en www.securityfocus.com o www.cert.org, pero vamos, puedes buscar los 841 del kernel de linux en el kernel de windows o los 75 de firefox con los de IE. Los expedientes de seguridad son públicos.

Por cierto, lo que me has mandado es una noticia de alguien, que al contrario que yo, está en el lado del bien y decir que tiene menos que sus competidores..... es estar muy contento.

Anónimo dijo...

Parcial e interesado... acabo de estar hoy mismo en una charla tuya y veo que en este ultimo posteo de tu blog no haces mas que insistir en la primera impresion que me he llevado...
No pretendo saber mas que nadie y me ha parecido espectacular tu presentacion (sobre todo teniendo en cuenta que el hacking es una de mis asignaturas pendientes), pero eres tan extremista como los integristas del SL.
Haces que parezca que la culpa de los bug, exploits y demas es de la plataforma utilizada, en vez de las malas practicas de programacion (un programador malo lo es tanto en SL como en SP).

Por supuesto que hay mas ataques a servidores de SL corriendo Apache (http://news.netcraft.com/archives/web_server_survey.html) ya que estos suponen cerca del 70% de los servidores ...
Atacar un sistema Linux con Apache es facil porque hay muchos... y como hay muchos es mas facil que haya alguno mal implementado...

Vamos, que le haces el trabajo sucio al sr. Gates (y me imagino que a cambio de un precio, porque si no, no puedo entenderlo)

Tu mismo y tu mecanismo

Birras pagadas cuando te pases por Calagurris... :-)

para flames y demas...
maziello at gmail punto com

Anónimo dijo...

Me hace gracia que alguien diga que "Por supuesto que hay mas ataques a servidores de SL corriendo Apache (...) ya que estos suponen cerca del 70% de los servidores ... Atacar un sistema Linux con Apache es facil porque hay muchos". Es exactamente el mismo argumento que emplean los amantes de Windows cuando se le acusa de ser el SO más vulnerable. Al final, todos amigos :-)))

Anónimo dijo...

y diria yo... que en el fondo lo que cojo es lo mejor de ambos mundos...

¿porque hay mas virus para plataformas windows que para plataformas gnu/linux?

maziello en gmail punto com

Maligno dijo...

Gracías por el comentario de mi presentación. El tono "extremista" es parte de show. No intento decir eso que la seguridad dependa de la tecnología sino de las prácticas, por eso damos la vuelta a los argumentos que dicen que en Microsoft se programa mal y tiene muchos bugs, cuando no es así. La seguridad depende de tres factores (personas,procedimientos y tecnología - estandares, comercial y desarrollos propios). El mensaje es Windows no es peor en seguridad.

Respecto a Netcraft, ya lo he dicho muchas veces, es un estudio contra DNS, por lo que si un hosting tiene apache gratuito y tiene mil dominios entonces tendrá mil puntos. Es curioso que el estudio de Fortune1000 basado en los webs que usan las 1000 empresas que más pasta ganan en USA utilizan la mayoría IIS.

http://www.port80software.com/surveys/top1000webservers/

Por ultimo te acepto las birras, pero no hace falta decir "sucio" y respecto a mis motivos te garantizo que soy un convencido de lo que digo respecto a seguridad.

Y sí, trabajo por dinero, pero no me pagan por mi discurso. Yo digo lo que me parece. Me alegro que te entretuviera la charla.

Por cierto, esa charla de hoy ha sido "muy light", cuando haga una de gestión cuantitiva de la seguridad te aviso. ;)

Maligno dijo...

Link roto:

http://www.port80software.com/surveys/top1000webservers/

el gueno

Maligno dijo...

http://www.port80software.com
/surveys/top1000webservers/

Anónimo dijo...

Bien, menos mal que has aclarado tu punto de vista... porque no me gusta pensar que la primera impresion es la que cuenta...

Quiza merezca la pena pegarle un ojo a tu blog de vez en cuando... aunque el ataque sistematico al SL sigue sin parecerme muy adecuado...

Respecto a que IIS "copa" las posiciones del Top1000 empresarial, siempre ha sido mas facil venderle algo caro a un jefe que no sabe por donde le da el aire, que convencerlo de que puede hacer lo mismo pero con una fraccion de pasta... total como el dinero no es suyo... (vease administraciones publicas).

Ahora mismo (e independientemente del soft instalado) tengo que convencer a un futuro cliente que que puede hacer por 14k euritos de nada lo que le piden por 22k (bajo una conocida marca)... ¡¡¡Y el problema lo tengo yo!!!!

Insisto en la necesidad de mantener una posicion "equitativa" entre el SL y el SP... aunque se pueden tener, ¡como no!, preferencias

Saludos desde La Ribera
maziello en gmail punto com

Maligno dijo...

Ja,ja,ja. No creo que las empresas potentes se caractericen por tener necios, derrochar dinero y ser poco eficaces. Algo más serán los directores de tecnología de las grandes (y conozco bastantes) más que jefes que no saben por donde les da el aire. Así no funciona.

Lo de la administración pública ya habrás posts, pero pensar que todo es dinero es muy mal camino. Algo más habrá en el SL para que no lo quieran usar todos. Respecto a imponer algo, creo que no es la filosofía del SL, aunque sí la de Stallman (que paradoja, no?)

Toy contigo en tener posición equitativa, este blog nace como reacción, no como acción, ya sabes. Y su espíritu es "hacer yo el payaso". Vuelvo a Tudela a un debate, ya sabes..... Intatus estatis.

Entradas populares