tag:blogger.com,1999:blog-21555208.post2415944009579667432..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: El crecimiento en la adopción de software open source está poniendo el negocio en mayor riesgoChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger20125tag:blogger.com,1999:blog-21555208.post-67849076933901555852008-07-23T19:03:00.000+02:002008-07-23T19:03:00.000+02:00Bueno, hay que reconocer que sin hipergate, el inf...Bueno, hay que reconocer que sin hipergate, el informe no sería tan bestia. Aún así, que esos fallos se encuentren con una herramienta gratuita que pueden incorporar a su proceso de desarrollo dice muy poco del proceso de desarrollo.Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-31915090958817461912008-07-23T18:52:00.000+02:002008-07-23T18:52:00.000+02:00@filemaster,Antes he patinado, lo admito. Pero tod...@filemaster,<BR/>Antes he patinado, lo admito. Pero <BR/>todo tiene su explicación y es que Maligno con ese título de post tan alarmante me ha confundido en cuanto a la procedencia.<BR/><BR/>@Maligno, <BR/>¡Que no eres bueno! ;-)<BR/><BR/>En el informe no pone "El crecimiento en la adopción de software open source está poniendo el negocio en mayor riesgo".<BR/><BR/>Eso es una interpretación que hace pensar que el informe es contrario a la utilización de software libre.<BR/><BR/>Por supuesto tampoco está en el informe el texto demoledor de Howard A. Schmidt.<BR/><BR/>Realmente es un informe ejecutivo que primero explica su fijación por el software libre. Dice que su <BR/>utilización se extiende y que ellos como empresa proveedoras de software para asegurar la seguridad se ven inmersos en el centro del debate.<BR/><BR/>Luego describen los fallos más frecuentes que han encontrado en el estudio. Esto lo ha explicado maligno perfectamente.<BR/><BR/>Por último, lo más importante, las dos conclusiones:<BR/><BR/>1-Los Gobiernos y empresas comerciales deben utilizar software libre con precaución. Dentro de este punto enumerar tres acciones que se pueden llevar a cabo perfectamente.<BR/><BR/>2-Los proyectos de software libre deben adoptar prácticas robustas en cuanto a seguridad incluyendo personal, procesos y tecnología.<BR/>Terminan con "With these <BR/>actions in place, open source communities can then advertise and substantiate effective security practices that will encourage strong adoption. As highlighted earlier in this report, the steps taken by Mozilla are a prototype for open source security.<BR/><BR/>Bueno eso es todo. Hay cosas que mejorar y también ejemplos a seguir.<BR/><BR/>Y en cuanto a Gobiernos y empresas asumir que si quieren beneficiarse del software libre con sus licencias por la patilla tienen que realizar un esfuerzo para asegurar la seguridad. Esfuerzo suele significar dinero.<BR/><BR/>Pero no se dice nada de poner el negocio en mayor riesgo.Aitor Iriartehttps://www.blogger.com/profile/06017250113197998655noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-48332873266651698642008-07-23T16:21:00.000+02:002008-07-23T16:21:00.000+02:00@anónimo de Torvalds.Lo de las pérdidas, la imagen...@anónimo de Torvalds.<BR/><BR/>Lo de las pérdidas, la imagen deteriorada, sociedad que pierde confianza...<BR/><BR/>Bueno, imagínate una aplicación de compra de entradas que simplemente, al final del proceso de seleccionar las entradas da un error que no te permite comprar. No es ninguna cagada de seguridad, simplemente no funciona correctamente, además de ser dificilmente usable y poco intuitiva.<BR/><BR/>¿Crees que eso de la confianza, imágen, etc. no se le puede aplicar exactamente igual a un fallo que no es de seguridad?<BR/><BR/>El problema no es que sea de seguridad o no, el problema es el riesgo, exposición e impacto que tenga el problema, y los de seguridad no tienen porqué ser más peligrosos que otro cualquiera.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-33768998300133043472008-07-23T16:16:00.000+02:002008-07-23T16:16:00.000+02:00@Maligno: ¿Porqué aún no has publicado nada sobre ...@Maligno: ¿Porqué aún no has publicado nada sobre el tema de moda, DNS? no va con segudas eh... es que acabo de ver la entrada de "una al día" y me he leido también la página del pollo este http://addxorrol.blogspot.com/2008/07/on-dans-request-for-no-speculation.html y quería saber más opiniones, sobretodo en el aspecto "ético" ya que entiendo que, como apuntan en la noticia de hispasec, es curioso como alguien sin saber detalles sobre el error, únicamente sabiendo que hay un error puede tardar mucho menos en descubrir dicho error...<BR/><BR/>¿No nos debería esto hacer pensar que no hay una buena política de investigación, en cuanto a seguridad?<BR/><BR/>Quizá haya que especializarse, pero claro, ¿quién se ocupa de decidir sobre qué producto debes investigar? <BR/><BR/>O quizá la idea se siempre suponer que hay un fallo y sólo debes encontrarlo, ha habido concursos de hacking que pretendían eso... los creadores no sabían como resolverlo, pero imaginaban que alguien encontraría algún fallo (manda huevos) :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-12597475606415357092008-07-23T16:10:00.000+02:002008-07-23T16:10:00.000+02:00Coño Maligno, habla bien, ni digas "quote", joder....Coño Maligno, habla bien, ni digas "quote", joder.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28851905848659000572008-07-23T13:42:00.000+02:002008-07-23T13:42:00.000+02:00amos a programar tos en ensamblador de nuevo que l...amos a programar tos en ensamblador de nuevo que los otros lenguajes son más faciles...<BR/><BR/>por cierto anonimo ¿que lenguaje utilizas tu mas seguro que .NET?<BR/><BR/>que por cierto, es tan opensource como java y tienes unos pocos proyectos abiertos en codeplex...FilEMASTERhttps://www.blogger.com/profile/00380197608322530810noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82674032209819345342008-07-23T12:46:00.000+02:002008-07-23T12:46:00.000+02:00Es decir, que como muchos han advertido, los lengu...Es decir, que como muchos han advertido, los lenguajes "fáciles" como Java en realidad tienen pegas, una de las cuales es que programadores inútiles, se acostumbren a las malas prácticas y pasa lo que pasa. Cosa que no tiene absolutamente nada que ver con el Open Source.<BR/><BR/>Por cierto, me hace gracia eso de que los miles de ojo mirando en un mito, cuando precisamente gracias a eso, se tienen más facilidades para lo que ha hecho Fortify. A ver si pueden hacer un estudio tan documentado a ciegas con programas propietarios hechos para Puto Net.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-31994632049005508252008-07-23T10:18:00.000+02:002008-07-23T10:18:00.000+02:00El hecho que sea open source o propietario afecta ...El hecho que sea open source o propietario afecta en la calidad del código? Menuda estupidez, hay software bueno y malo independientemente del tipo de licencia que lleve... si eso fuera así, Windows con la cantidad de recursos disponibles y siendo propietario tendría 0 fallos de seguridad, y creo recordar que "alguno" han encontrado a lo largo de estos años...<BR/>Por lo que parece el único software perfecto aquí es la herramienta esta de análisis, que no debe dar falsos positivos nunca.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-6778423514177066362008-07-23T10:15:00.000+02:002008-07-23T10:15:00.000+02:00Sigo pensando que la mejor política de seguridad e...Sigo pensando que la mejor política de seguridad es salir de casa con las llaves en la mano.<BR/><BR/>:)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-30233698175168211732008-07-23T09:15:00.000+02:002008-07-23T09:15:00.000+02:00Como han dicho antes, habría que ver quién es el q...Como han dicho antes, habría que ver quién es el que lo dice y cómo andan las contrapartidas en software propietario.<BR/><BR/>En cualquier caso, hay alguien que creo que no es sospechoso de nada: Linus Torvalds. Y según leo hoy en DiarioTI, acaba de poner a parir al sector de la Seguridad Informática.<BR/><BR/><A HREF="http://www.diarioti.com/gate/n.php?id=18574" REL="nofollow">http://www.diarioti.com/gate/n.php?id=18574</A><BR/><BR/>Es una lástima. Posiblemente tenga razón en parte de lo que dice. Seguro que sí. Pero hay frases que dan que pensar, como "In fact, all the boring normal bugs ar way more important, just because there´s a lot more of them" (o sea, que, realmente, los bugs normales y aburridos son más importantes - que los de seguridad-, ya que su número es mucho mayor).<BR/><BR/>Técnicamente quizá no le falte razón: La seguridad, como él dice, no es lo único importante y, al fin y al cabo un fallo es un fallo.<BR/><BR/>Pero alguien de la talla de Linus Torvalds debería pensar de forma estratégica y no como si fuera un "programador por encargo". Un fallo de seguridad no es un fallo.<BR/><BR/>Es alguien que ve vulnerada su intimidad. Una organización cuya imagen corporativa se deteriora. Son pérdidas económicas. Una puerta de entrada a las mafias y las actividades delictivas. Una Sociedad que pierde la confianza en la Tecnología. ¿Sigo?<BR/><BR/>Cuando palabras como éstas las pronuncia alguien a quien muchos siguen, el efecto puede ser devastador. Espero que no sirvan de guía a la comunidad de desarrolladores.<BR/><BR/>En fin, que deseo que todo haya sido un malentendido o una falsa noticia y todo se aclare pronto. Si fuera así, estaría encantado de gritarlo a los cuatro vientos.<BR/><BR/>Pero, por ahora, estoy decepcionado.<BR/><BR/>ERG.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-13726616915306703732008-07-23T09:06:00.000+02:002008-07-23T09:06:00.000+02:00@mikelatsManual para flames de la FSFPágina 14, ar...@mikelats<BR/><BR/>Manual para flames de la FSF<BR/><BR/>Página 14, artículo 6, parrafo B:<BR/><BR/>En el extraño caso de que una critica o ataque no pueda ser refutado con argumentos tecnicos o el hacerlo conlleve mas tiempo del deseado, se actuara contra el emisor de los mismos intentando debilitar su credibilidad.<BR/><BR/>Ejemplos de uso: ISO con OOXML<BR/><BR/>PD: di edtod diad veid que habo rado no od peocuepeid ed que tendo da dendua metida ed ed cudo de zema.<BR/><BR/>Un dadudoFilEMASTERhttps://www.blogger.com/profile/00380197608322530810noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-16262564268832333172008-07-23T09:02:00.000+02:002008-07-23T09:02:00.000+02:00Un par de cosillas:Primero, para infi, yo creo que...Un par de cosillas:<BR/><BR/>Primero, para infi, yo creo que la seguridad en el software no es un problema de buenas prácticas de programación (que también influye, claro), sino de buenos procesos de gestión y control. Todos metemos la pata, y la metemos mil veces, pero ahí es donde tiene que haber un procediemiento de control de calidad (entendiendo la seguridad como parte de los requisitos) para que los productos salgan sin tantos fallos. Y eso son procesos, no excelencia técnica.<BR/><BR/>En cualquier caso, aunque lo queramos ver como un problema de buenas prácticas de programación, tiene que haber procesos de formación para los programadores, porque si esperamos que aprendan a programar de forma segura por iniciativa propia, al final las cosas salen como salen.<BR/><BR/>Lo dicho, al final gestión y control, eso es todo.<BR/><BR/>Segundo, Chema, yo matizaría un poco la estadística de vulnerabilidades porque está totalmente falseada por Hipergate. Decir que la media de los 11 proyectos es de más de 10 problemas por cada KLOC es un poco injusto, porque si quitas Hipergate a mí me sale 1,47 vulnerabilidades por KLOC, que no sé si es mucho o poco pero que no tiene nada que ver con la otra cifra.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-9408453605213589352008-07-23T08:52:00.000+02:002008-07-23T08:52:00.000+02:00Un informe con datos y más técnico hubiese sido mu...Un informe con datos y más técnico hubiese sido mucho mejor que este escrito que parece ir dirigido a los políticos de la Unión Europea que han dedicido apostar por el open source.<BR/><BR/>Por lo que sebería de apostar es por los buenos programas, independientemente de la licencia que tengan.<BR/><BR/>El informe parece hecho para asustar, por ejemplo no dice que Hibernate tenga errores de sqlinjection, pero si que dice que entre todos los proyectos hay muchos errores de ese tipo.<BR/><BR/>Menos mal que trabajo con .net y no uso NHibernate ;).<BR/>Lo dicho, el informe me parece muy interesado políticamente.Manelhttps://www.blogger.com/profile/06737191612058296541noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-69933415509211336002008-07-23T08:46:00.000+02:002008-07-23T08:46:00.000+02:00Perdón,He leído el post a toda leche y no me he da...Perdón,<BR/>He leído el post a toda leche y no me he dado cuenta.<BR/><BR/>Saludos.Aitor Iriartehttps://www.blogger.com/profile/06017250113197998655noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-61803744785791163122008-07-23T08:43:00.000+02:002008-07-23T08:43:00.000+02:00Cantidad y calidad son conceptos sólo aplicables a...Cantidad y calidad son conceptos sólo aplicables a las drogas y parece que vosotros os ponéis como las cabras.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-34763616084893026132008-07-23T08:41:00.000+02:002008-07-23T08:41:00.000+02:00@mikelats, ese tipo no es el que ha hecho el infor...@mikelats, ese tipo no es el que ha hecho el informe, símplemente han cogido una quote suya. El informe está firmado por una persona de Fortify.<BR/><BR/>Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-13774545180120397992008-07-23T08:26:00.000+02:002008-07-23T08:26:00.000+02:00Bueno, primero hay que saber si el autor del infor...Bueno, primero hay que saber si el autor del informe puede ser totalmente imparcial al cargar las tintas contra el software libre.<BR/><BR/>Podemos ver <A HREF="http://www.aeispeakers.com/speakerbio.php?SpeakerID=1192" REL="nofollow">aquí </A>que antes que para la Casa Blanca ha trabajado para Microsoft.<BR/><BR/>Exactamente su biografía dice:<BR/><BR/>"Prior to the White House, Howard Schmidt was chief security officer for Microsoft Corp., where his duties included CISO, CSO and forming and directing the Trustworthy Computing Security Strategies Group".Aitor Iriartehttps://www.blogger.com/profile/06017250113197998655noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-73322538209316690942008-07-23T01:16:00.000+02:002008-07-23T01:16:00.000+02:00... Bien dicen que un admin paranoico vale por dos...... Bien dicen que un admin paranoico vale por dos, y con este estudio has puesto paranoico a mas de alguno, pero que hay en el otro lado de la moneda, que hay en la contraparte de estos programas..<BR/><BR/> Interesante, solo recuerdo lo que escribiste hace poco, <I>¿Cuántos fallos de seguriad no son tales fallos?</I>Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-43026708180300219352008-07-23T00:18:00.000+02:002008-07-23T00:18:00.000+02:00...la gente se inventa estadisticas con tal de int......la gente se inventa estadisticas con tal de intentar demostrar algo y eso lo sabe el 14% de la gente. (Homer Simpson)gabinortegahttps://www.blogger.com/profile/04315507726999940808noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23420976338976951992008-07-22T20:07:00.000+02:002008-07-22T20:07:00.000+02:00Me parece una pena que habiendo tanta gente con ta...Me parece una pena que habiendo tanta gente con talento dedicada al desarrollo de software libre estas cosas se dejen tán de lado.<BR/><BR/>Pienso que unos conocimientos minimos de correcta programación y desarrollo seguro deberian ser parte imprescindible de cualquier proyecto. <BR/><BR/>Además habiendo proyectos Open Source que han demostrado una buena metodología como OpenBSD, se pueden aprovechar como patrón para el resto.<BR/><BR/>Quiza sea mi ignorancia la que lo haga parecer tán simple...infihttps://www.blogger.com/profile/00547855212089123529noreply@blogger.com