sábado, septiembre 09, 2006

Me encanta el Software Libre

tanto con el que no lo sea, de hecho, para que me guste o no me guste un software me la pela si es libre o no. Los que intentan buscar batallas imposibles entre es más seguro/inseguro el software Libre en general que el software comercial en general están condenados a encontrar mil excepciones que revoquen su regla.

Desde el principio he discutido con mucha gente por decir que los productos de Microsoft no son peor en seguridad que los demás y que la seguridad es mucho más que una percepción de colegas en un bar.

Repito, me encanta el software Libre, tengo mi ordenador con muchos productos de software libre, y además, por lo que veo en las estadísticas de las descargas de sourceforge, cuando un proyecto es para plataforma Linux y Windows, hay muuuuchos que tienen Windows como yo que tb disfrutan del software Libre.

Cuando hay que evaluar una solución técnica, hay que intentar elegir la mejor, y la mejor es, la que resuelve mejor los problemas del usuario dentro de las restricciones del mismo. Es decir, si no tienes un pavo y tienes que comer, coge un pipa y robale al primero que venga como decía el grandisimo Makinavaja, y de ahí en adelante buscando la solución que mejor resuelva tus necesidades. ¿Que más dará que lo haya programado un zurdo o un diestro?, ¿que más dará que la forma de adquirirlo sea pagando una licencia o pagando soportes o instaladores? ¿que más dará el modelo de negocio? Hay que buscar la solución con las restricciones, evaluar todos los aspectos de tu restricción (seguridad, costes, mantenimiento, ....) pero sin perder de vista el foco: Resolver las necesidades.

Muchas veces se intenta confundir lo que digo y se me busca etiquetar fácilmente como un defensor del sw privativo, (la hostia!!) o como un anti sw Libre (tomaya!) o como un defensor a ultranza de Microsoft (cheque en blanco pa tí!). Nope, hice este blog para hablar, como mucha gente piensa tambien, sobre que Microsoft no es peor que los demás en seguridad, y los demás pueden ser Oracle, Linux o Cisco, tanto sw libre como propietario. Al principio pensaba que casi iba a estar en el lado del mal (defendiendo en seguridad a Microsoft) pero veo que no estoy tan solo. Mientras que unos contaban con un bulo real que les permitía y permite hacer casi cualquier cosa como dejarse passwords de roots en archivos 777 en ascii o no parchear los servidores y recibir un "excellent Job" como el fisichella cuando gana una carrera, los otros se ven machacados por el gran público pq han tenido un bug en la versión beta2.

En una conferencia nos presentó, "un experto de seguridad", diciendo que estaban aquí para habla de seguridad en Microsoft, "je, cuyo sistema operativo es conocido por todos como queso gruyere!". Qué simpático el tipo. En palabras de mis colegas de fiesta sería algo así como que simpático el asqueroso o que hijoputa más salao. Después yo dije otra frase, a los dos minutos de empezar, que pasó a ser la coña que me persiguió durante 1 año y es: "¿vosotros no sereis de esos subnormales que hablan de seguridad sin tener ni puta idea, no?" No se por qué alguien se sintio mal.

En fin. Repito: Me encanta el Software.

Cuanta malignidad hay en el mundo.

5 comentarios:

Borja dijo...

Como bien dicen en el anuncio... Ahi me han dao..Acabas de escribir la verdad absoluta: "Cuando hay que evaluar una solución técnica, hay que intentar elegir la mejor, y la mejor es, la que resuelve mejor los problemas del usuario dentro de las restricciones del mismo" (SENTIDO COMUN) Claro esta, que muchas veces elegir cual es la solución optima es algo complicado. En fin, a ver cuando nos dejamos de chorradas y empezamos a preocuparnos por lo que de verdad importa:Optimizar las soluciones a nuestros problemas(utilizando lo que nos salga de las pelotas).
Al final no vas a ser tan maligno como dicen ;)

txipi dijo...

Cuando hablamos de soluciones técnicas, que es lo que parece que te interesa a tí como buen profesional (yo ya te digo que profesional soy 8 horas al día y el resto uso el software que políticamente me convence más, aunque reconozco que es peor en algunos aspectos -y mejor en otros!-), está claro que la libertad del software es algo totalmente transversal. No hay ninguna correlación entre software libre y software bueno técnicamente o software privativo y software bueno técnicamente, eso creo, vaya.

En cuanto a seguridad, creo que ha habido un cambio de política radical de Microsoft, bastante inteligente: al principio los productos de MS eran working-out-of-the-box, cualquiera podía echarlos a andar sin tener ni puta idea. Ahí MS era un queso de gruyere por culpa de administradores-de-asistentes, aunque se podían asegurar esos servidores de la misma manera que otros SOs.

Después de abarcar mucho mercado, MS cambió inteligentemente de estrategia a "secure-out-of-the-box". En Win2003 se vé claramente en las directivas locales, mucho más pendientes de la seguridad que de la usabilidad. Para mí, todo un acierto. Las versiones Server son para gente que sepa un mínimo, no para tener ActiveX activado navegando como Administrador del Dominio.

El problema es que hay mucha gente que piensa en Windows como aquel Win9x que no sabía separar el modo kernel del modo usuario y con 12 lineas de ASM pasabas a RING-0. Eso ha cambiado, pero las mentalidades son siempre la cola del dragón, y tardarán en darse cuenta.

Por eso es por lo que MS invierte mucha pasta en gente como tú para que cambie las cabecitas de esos "expertos en seguridad", a base de explicar una y otra vez que todas esas ideas son conceptos del pasado.

Para los no expertos en seguridad, nos parece correcto, siempre y cuando no hagas over-campaña a favor de la seguridad de Windows cagándote en el software libre.

Windows no es seguro porque el software libre no lo sea, es seguro porque cumple los requisitos de seguridad exigidos. Eso es lo que me gustaría que se explicase.

Es mucho más elegante, además :-)

PD: En Bilbao, si puedes hablar de seguridad en VoIP, me harías un txipiron más feliz :-P

Chema Alonso dijo...

Hola Borja!! Yo nunca he sido malo, solo travieso ;)

Txipi, Txipi! En Biblo será Voip seguro, pero no abarcaremos todas las tecnologías VoIP hemos tenido que cortar por tiempo y objetivos...

Refrente a la reflexión, estoy contigo MS cambió en 2002 (ahí dio comienzo la TCI.

Yo no ataco al SL, solo me hago eco de noticias y las comento desde mi punto de vista, siempre intentando que tenga algo de gracia. Simplemente para contrarrestar y balancear tooooooooooodas las otras opiniones sobre la panacea del otro mundo sobre "grandisimas y fundadas reflexiones".

Hastá tú, experto en seguridad, redundas en el tema del "código fuente ayuda a securizar sistemas" cuando Linus Torvalds nunca ha dicho ese tipo de cosas, es una ardua tarea no dejarte machacar por la corriente. Yo doy mi opinión, contraria a la tuya, nada más. No soy malo ;).

Algo que refleja el espiritu de lo que me deja alucinado es el post que te puse de Retorno al paraiso y este otro de "El Santo Grial".Échale un ojo para que veas a que me refiero.

Administradores Next,Next,Next?? esos no son adminsitradores, pero... hay muuy buenos admines que usan el next,next,next pq es cómodo de cojones. Hay otra raza de nuevos admines Txipi, los de Copy&paste parameters from How-Tos sin tener ni flowers de pq rulan las cosas con esos parámetros. Los conoces?

Por cierto, te he copia la frase de los piños y la seguridad y va en mis ppts, la pondré en Bilbo, ... con tu firma, pq es genial!!

Anónimo dijo...

"Hay otra raza de nuevos admines Txipi, los de Copy&paste parameters from How-Tos sin tener ni flowers de pq rulan las cosas con esos parámetros. Los conoces?"

Oh se!! Pero vamos, esto ya se habló un día en post anteriores.

Por cierto esos PPT donde se pueden conseguir tras la charla?

Chema Alonso dijo...

Hola Gura,

es que no se cuanto tiempo lleva Txipi leyendo, así que algo hay que repetirse!! ;)

Las ppts las colgamos por mail, pero si alguien quiere alguna en concreto yo os digo donde están las URLs

Entrada destacada

Hacking Avanzado en el Red Team con Empire (& iBombShell) de @0xWord

Con el comienzo de año hemos sacado el primer libro de 0xWord para todos aquellos que quieran aprender tácticas profesionales de pentestin...

Entradas populares