Tecnología

¿Es el Open Source más inseguro?

·

Interesante el comentario de Bruce Schneier -uno de las celebridades en el segmento de la seguridad- sobre un tema que desde luego ya tenía muy mascado. ¿Son los desarrollos Open Source más inseguros por el acceso total al código fuente de estos desarrollos? Desde luego, la impresión inicial es esa, pero Schneier reniega de la falsa sensación de seguridad que da el secretismo.

Lo comenta en varios de los artículos de su blog (1, 2, 3) en los que habla del famoso concepto del «security through obscurity» que es uno de los argumentos de muchas empresas de software propietario: no te dejamos ver el código, así que no vas a poder descubrir vulnerabilidades.

Lo malo es que si alguien analiza ese código y logra desvelarlo con ingeniería inversa -algo que ha pasado recientemente con el protocolo de Skype- se caen todas las piezas del dominó: la seguridad se rompe, y corregirla o controlar los efectos del problema es aún más complicado. Pero cuidado: que uno publique su código con licencia Open Source no hace que este sea más seguro.

La ventaja de este modelo es precisamente otra:

The point of making it open source is so that many, many people look at the code for security flaws and find them. Quickly. These then have to be fixed. So a two year-old piece of open source code is likely to have far fewer security flaws than proprietary code, simply because so many of them have been found and fixed over that time. Security flaws will also be discovered in proprietary code, but at a much slower rate.

Ahí le has dado, Bruce.


Incognichollos

Esta es una selección con las mejores ofertas tecnológicas actualizadas casi diariamente, como expliqué aquí. Aunque estés en un post «antiguo» las ofertas son de última hora, los Incognichollos los actualizo aparte. También puedes seguir los Incognichollos en Twitter o en el nuevo canal de Telegram 🙂 . Aprovecha, que no suelen durar mucho tiempo.

  • OnePlus 7 Pro: 6,67 pulgadas a 90 Hz (dicen que son la pera), 8 GB de RAM, 256 GB capacidad, cámara triple (48+16+8), cámara frontal retráctil 16 MP, lector de huella en apntalla, 4.000 mAh. Está a 599 euros en Banggood con el código BGOP7PRO
  • Xiaomi Mi 9: 6,39″ sin marcos, Snapdragon 855, 6 GB de RAM, 64 GB de capacidad, cámara triple de 48+16+12 MP, está a 358,66 euros a través de Amazon con el código D4WKHWVT. Alucinante.
  • Xiaomi Redmi Note 7: 6,3» Snapdragon 660, 3 GB de RAM, 32 GB de capacidad (ampliables vía MicroSD), 4.000 mAh, minijack y cámara dual de 48+5 MP realmente estupendo por 122,9 euros en Banggood con el código BGN73E. Si no os queréis complicar la vida la versión superior de 4 GB de RAM y 64 GB de capacidad está en Amazon a 171 euros.
  • Xiaomi Mi Band 4: la nueva pulsera cuantificadora con pantalla AMOLED 0,95?, hasta 50 m profundidad y 5 ATM, sensor cardíaco, comandos de voz, notificaciones, brutal por 33,06 euros en AliExpress. (Elegid la versión global, no la china).
  • Xiaomi Mi Air 13: un 13,3″ FullHD IPS con Core i5-8250U, 8/256GB, WiFi doble banda, salida HDMI, lector de huella, buena opción en Banggood: 621 euros con el código BGMI710
  • Xiaomi Mi A2: está de oferta. Pantalla de 5,99 pulgadas, Snapdragon 660, 4 GB de RAM, 64 GB de capacidad (no ampliables), cámara dual (12+20), está a 145 euros en Amazon. Jamás había estado tan barato allí.
  • LG Gram: un portátil ultraligero de tan solo 1,1 kg de peso. 15,6″ FullHD, Core i7-8565U, 8 GB de RAM, 256 GB capacidad, Windows 10 Home, 3xUSB, 1 xUSB-C (con Thunderbolt 3!!). Me parece brutal por 899 euros en Amazon.
  • Portátil HP Pavilion 15-bc450ns: un equipo de 15,6? Full HD con un Core i5-8300H, 8 GB de RAM, 1 TB de HDD, 128 GB SSD (uauh) y GeForce GTX 1050 (uauh!), sin Windows (hay incognichollo ahí de 1,5 euros para resolver). Está a 579 euros en Amazon.
  • Monitor BenQ GW2270: un 21,5″ Full HD con formato 16:9, conectores DVI y VGA, 5ms, color negro. Increíble por 69 euros en Amazon. La versión HDMI está a 95 euros.
  • MiniPC: atentos a este equipo en formato NUC con un Core i3-7100U, 8 GB de RAM, 120 GB de SSD, WiFi 300 Mbps, 6 x USB, RJ-45, Ethernet, VGA, HDMI, toma auriculares. Por 205,94 euros, nada mal en AliExpress. Te regalan montura VESA.
  • WD MyBook 8TB: un disco duro externo con una capacidad brutal e interfaz USB 3.0. Está a 149 euros en Amazon UK, envío incluido.
  • Disco Duro WD 250 GB: un disco duro convencional de 250 GB que oye, nos puede resolver bastantes papeletas, a un precio ridículo: 15,90 euros en Amazon. Dicho lo cual, esta unidad SSD Kingston SSDA400 de 2,5 pulgadas y 120 GB es bastante más rápida y aunque tiene la mitad de capacidad creo que es más interesante para la mayoría de los usuarios: son tan solo 18,99 euros en Amazon.
  • Memoria USB Sandisk IXpand Mini 64GB: un dispositivo para extraer datos del iPhone o el iPad y guardarlos en esta llave con puerto Lightning y puerto USB 3.0. Muy útil para copias de seguridad sin tener que conectar el móvil o tableta al PC. Está a 18,50 euros en Amazon
  • FIFA 19: terminan las temporadas reales, así que bajan los precios de los FIFA. Tanto en PS4 como en Xbox One están a 32,90 euros en Amazon
  • Xbox One X + Metro Exodus: la consola más potente de Microsoft está de rebajas, incluye Metro Redux, un mando, 1 TB de capacidad y también Metro 2033 y Metro Last Light. Está a 349 euros en Amazon Alemania, envío incluido.
  • Teléfono Nokia 3100 Mini: una réplica del antiguo móvil estrella de Nokia, perfecto para usar el teléfono móvil como eso, como un teléfono. Tiene conectividad 2G, teclado físico y minipantalla. Prodigioso por 10,78 euros (sí, 10,78) en TomTop.
  • Windows 10 Pro: una licencia para el sistema operativo de Microsoft. Te la mandan por correo junto a algunas instrucciones. Está a 1,99 euros en eBay, perfecta para este equipo que se venden sin sistema operativo
  • Xiaomi Mi 9 SE: 5,97 pulgadas, Snapdragon 712, 6 GB de RAM, 128 GB de capacidad (uauh), triple cámara (48+12+16), lector de huella en pantalla, está a tan solo 270 euros en GearBest
  • Amazfit Verge Lite: sin NFC, pero con una autonomía de hasta 20 días. Pantalla AMOLED de 1,3″ 360×360 Corning Gorilla Glass. Frecuencia cardíaca, gran variedad de modos deportivos. GPS + GLONASS. Está a 89,18 euros en AliExpress
  • OnePlus 7: la evolución del 6T con 6,41?, Snapdragon 855, 8 GB de RAM, mininotch, 256 GB de capacidad (uauh), cámara dual 48+5, 3700 mAh de batería, huella en pantalla. Está a 437,49 euros en AliExpress.
  • SSD Samsung 2 TB: una unidad SSD con esta capacidad y a este precio es tela. Velocidades de 550 MB/s, está a 195 euros en Amazon Francia, envío incluido.
  • PO Realme X: el rival a batir en gama media rompedora. Tremendo, 6,53? sin marcos, Snapdragon 710, 4 GB de RAM, 64 GB de capacidad, cámara dual 48+5, cámara frontal periscópica, 3765 mAh, lector de huellas en pantalla. Brutal por 257 euros en Banggood.
  • Xbox One S Digital + 3 juegos: la consola de Microsoft sin unidad de Blu-ray incluye un mando y Minecraft, Sea of Thieves y Forza Horizon 3. Está a 175 euros en AliexpressPlaza con el código «plazaoff«. Envío desde España, 2 años garantía.
  • Tablet Amazon Fire 7: la renovada tableta de Amazon con mejor procesador y sobre todo con el doble de capacidad que el modelo de 2017. La versión de 16 GB (ampliable vía microSD) está a tan solo 69,99 euros en Amazon.
  • Bolígrafo Xiaomi Mijia Pen + 3 recambios: el boli de 0,5 mm con tecnología suiza (o eso dicen) que enamora. Yo ya he comprado varios, y la verdad es que molan, y por este precio, más. El boli + tres recambios sale por 3,41 en AliExpress.

¿Quieres recibir un correo de aviso cuando publique nuevas entradas?

Standard

6 comentarios en “¿Es el Open Source más inseguro?

  1. Alex dice:

    De todo habrá… al final todos los proyectos OpenSource no reciben la misma atención por parte de la comunidad. Los que son mayoritarios y reciben mucha atención y correcciones rápidamente se verán mejorados, pero otros seguramente están en las mismas condiciones que el software propietario en cuanto a recursos de desarrolladores y puede que nadie o casi nadie se interese en buscar bugs.

    No podemos pensar que todo el Opensource está participado activamente por toda la comunidad y que se beneficia de las mismas aportaciones exactamente. Como en todas partes habrá mejores y peores programadores y mejor y peor software.

    Lo que yo siempre he achacado al Opensource es lo poco cuidado que está en términos estéticos, debido a que la gran mayoría de la comunidad no es experta en «diseño» pero normalmente las tripas del software sí están mejor cuidadas.

    Y dicho todo esto, creo que la reflexión de Javi no es descabellada porque no deberíamos dar por hecho que por ser OpenSource lleva un sello de garantía especial contra bugs. Habrá software muy robusto porque recibe muchas aportaciones y habrá software que no tanto porque está menos «atendido»

    Creo que hay que leer este post y leer entre líneas lo que yo creo que Javi viene a poner de manifiesto.

  2. desdelsur dice:

    Con el modelo open source tambien nos libramos de «códigos maliciosos ocultos y con oscuras intenciones». Recuerdo que no hace mucho salio a la luz una empresa de software de gestión (española ademas) que tenia su programita preparado para que fallase cada cierto tiempo.

    Además, ¿quien dijo que hace falta «mirar el código fuente» para encontrar errores?

    Durante todas las betas de firefox 4, cualquiera podia expresar su opinión con el correspondiente botón, (espero estén haciendo lo mismo con firefox 5, aun no lo he probado) y así, legiones de usuarios que no tenian ni idea de programar expresaban lo que les gustaba y lo que no, sobretodo estéticamente.

    • Alex dice:

      Para descubrir esos efectos maliciosos si que tienes que mirar el código, para decir si te gusta cómo hace algo no… no es lo mismo desdelsur.

      Eso si, el opensource está expuesto a que te pillen un bug «voluntario» o no… y solucionarlo, pero también es relativo a cuanta gente de la comunidad de desarrollo está prestando atención a tu proyecto. Generalmente el software de gran penetración en el mercado es más seguro porque tiene más ojos vigilando, pero el de menor relevancia puede que no tenga a nadie más que al propio desarrollador.

      Y una empresa que vende su producto y luego «no cobra» por los parches como casi todas, es tontería que lo haga mal a propósito porque tendrá que arreglarlo cuando falle. Y fallará.

      El caso es que en terminos generales no es ni más ni menos seguro, pero sí que puede aprovecharse hasta cierto punto de la cantidad de aportaciones de la comunidad para progresar a buen ritmo en la reparación y mejora.

Comentarios cerrados