75 - La defensa de la privacidad... con Open Source - 04/08/2007


Autor: Ariel Camino

http://www.segu-info.com.ar

Incontables son las veces que se ha discutido la diferencia que existe entre el software propietario y el software libre en cuanto a seguridad de la información. Justamente en el foro de Segu-Info una discusión de usuarios entre la que me incluyo originó la escritura de este artículo.

La conclusión a la que se llega casi siempre es que tomando los dos sistemas operativos que representarían a ambos modelos de software (Windows y Gnu/Linux) y poniéndolos en buenas manos, pueden llegar a tener niveles de seguridad equivalentes.

Muchos usuarios de Gnu/Linux argumentan a su favor que prácticamente no existe malware que afecte masivamente a este sistema. Si bien es correcto, y si bien la seguridad en Gnu/Linux siempre fue un tema prioritario a diferencia de empresas como Microsoft que recién ahora empezaron a tomarse un poco las cosas en serio, es evidente que la principal causa de que no exista malware para Gnu/Linux se debe a la minoría de población que actualmente lo usa.

Hace unos años empezé a usar el navegador Firefox (en ese momento se llamaba Phoenix, y ni siquiera traía un instalador). Usarlo en esos días era asegurarse de que "no ibas a volver a ver un pop-up en tu vida", de que no ibas a ser víctima de ninguna vulnerabilidad, etc.

Hoy en día no puedo decir lo mismo, ahora que este navegador es usado por un poco más del 25% de los usuarios del mundo las cosas son muy diferentes. Entonces la pregunta es ¿existe realmente una ventaja en usar software libre para protegernos? Y la respuesta es sí, existe una ventaja importantísima.

Sin irnos muy lejos en el tiempo, el 9 de enero de este año Javier Smaldone (recomiendo muchísimo la lectura de su blog, es excelente) nos hacía eco de una noticia publicada en el Washington Post el día anterior, en donde se reconoció la participación de la NSA (La Agencia Nacional de Seguridad de los EE.UU) en el desarrollo de Windows Vista. Y ni hablar de una entrevista realizada al Dr. Hugo Scolnik en el 2004 en donde revela cosas como estas: "Cuando trabajamos con Microsoft, con cada cambio teníamos que enviar el código fuente a la NSA, donde lo compilan y le agregan lo que quieren y luego vuelve como producto que nosotros distribuimos. No sé qué es lo que le pusieron..."

Recordemos que al usar software propietario, es prácticamente imposible poder tener una idea acertada de que es lo que realmente está haciendo nuestro software, y por lo tanto conocer en forma transparente que es lo que sucede con la información que maneja.

Hace unos meses escribí una nota [1] en mi propio blog, basándome en la información de kriptopolis (que no es poca) sobre la famosa aplicación Windows Genuine Advantages, famosa por protagonizar varios escándalos al estar comunicándose constantemente con Microsoft enviando datos, aunque se cancele su instalación con las actualizaciones automáticas. Estos son solo algunos ejemplos de los escándalos que Microsoft protagonizó recientemente.

Ahora, es cuestión de pensar un poco, no estamos hablando de una empresa extraña, de software poco popular, etc. Estamos hablando de Microsoft, una empresa que tiene solo con Windows XP alrededor del 85% del mercado mundial en sistemas operativos. Entonces ¿Qué podemos esperar del resto del software que usamos todos los días?

¿Está usted realmente seguro que todo el software propietario que tiene instalado actualmente solo hace lo que aparenta hacer? No estoy afirmando que empresas importantes como Microsoft tengan intenciones malignas con los datos "estadísticos" que recogen, pero que pasaría si esa información llegaría a las manos de terceros, ¿no sería al menos correcto que nos informen de estas cosas? Esa es una garantía de la que podemos estar poco seguros, porque como dije anteriormente es prácticamente imposible tener una certeza de que es lo que hace el software propietario que utilizamos.

Aquí es donde aparece el software libre: la licencia GNU/GPL con la que se distribuye Gnu/Linux obliga a los desarrolladores a facilitar con la distribución del programa, su código fuente, por lo tanto estamos seguros de que al usar cualquier distribución de Gnu/Linux estamos usando software totalmente transparente, que está a la vista de millones de ojos en todo el mundo. Bajo estas condiciones, es prácticamente imposible (hasta el día de hoy nunca ví algo así) la existencia de spyware o funciones ocultas en el código de cualquier programa.

Al ser también software de libre distribución, en distribuciones como Ubuntu [2] (basada en Debian y su sistema de gestión de paquetes APT, siendo tan fácil de usar como Windows) con un par de clics podemos bajar e instalar cualquier software licenciado bajo GNU/GPL (hay miles), utilizando llaves criptográficas para comprobar su autenticidad. Por lo tanto estamos realmente seguros de que todo el software que nosotros instalemos es muy confiable, y que nuestra privacidad se encuentra en mejores manos. La experiencia a lo largo de los años me demostró que usar software propietario es un riesgo para nuestra privacidad.

Es complicado que una persona que usó Windows toda su vida lo vea, quizás estando del otro lado puede verse con mucha más claridad. Se pueden tener las más rigurosas políticas de seguridad, la más segura configuración del sistema, los mayores cuidados, las mejores ideas... pero usando software propietario, nunca podemos estar muy seguros de que nuestra información va a estar protegida. Y si alguien mientras lee este último párrafo piensa en la palabra cifrado, espero que estén pensando en GnuPG.. ¿Alguna vez se pusieron a pensar que PGP ahora es software propietario?

¿Paranoico, yo?

[1] Notas sobre WGA
http://arielcamino.wordpress.com/2007/03/08/wga-microsoft-te-esta-espiando/
http://www.segu-info.com.ar/articulos/41-wga-microsoft-llamados-casa.htm
http://www.segu-info.com.ar/boletin/boletin_060722.htm

[2] Ubuntu (Distribución más popular de Gnu/Linux)
http://www.ubuntu-es.org/
http://www.segu-info.com.ar/articulos/37-pasaje-windows-linux-ubuntu

Buenos Aires, 04 de agosto de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto