<< El reto de Bruce Lee | Jad Engine >>

26. May 2008 18:37Apocalypse Now

Arrepentíos hermanos, porque el fin del mundo está cerca. Confesad ante el altísimo vuestros pecados y suplicad vuestro perdón para no arder el resto de la eternidad en el infierno. Mirad los signos que se nos envían. Aún no es demasiado tarde para alcanzar la salvación. ¿Cómo? ¿Qué no has visto los signos? The random number generator in Debian''s openssl package is predictable. El fin del mundo está cerca, ¡¡arrepentíos!!

Y como no, vamos a crear un poco de flame que la cosa ha estado muy tranquila últimamente :)

Como ya sabréis, un par de líneas de código comentadas hace unos dos años han provocado todo este desaguisado. Hay varias cosas que me dejan sorprendido, la primera son las razones por las que se modificó (para que un analizador de código no se quejara) y la segunda es que hayan pasado dos años hasta que alguien lo hiciese público. ¿Una de las principales ventajas del software libre no es que al estar disponible el código éste es revisado por miles de ojos haciéndolo mucho más seguro? Ese siempre ha sido uno de los principales argumentos en su favor, ¿no? Que estamos hablando de openssl y no de un programa usado por cuatro gatos. Si este paquete ha tenido este problema, ¿cuántos más tendrán vulnerabilidades introducidas por las mismas razones? No estamos hablando de código mal programado, sino de modificaciones que se hacen a la fuente original para "cumplir una serie de requerimientos y necesidades" de una distribución concreta. ¿Por qué tantas distribuciones? ¿Por qué cada uno va a su bola? ¿Por qué no hay un poco más de unidad? ¿Por qué se pierde tanto tiempo y esfuerzo en reinventar la rueda? Si el objetivo es desbancar a Microsoft, ¿que coño hacéis perdiendo el tiempo?

¿Por qué hay tantos desarrolladores de SL incapaces de ver más allá de su ombligo? ¿Por qué piensan que lo suyo siempre será "más mejor" y que por eso deberían hacer un fork metiendo nuevas incompatibilidades y dividiendo más a la "comunidad"? Solo hay que ver lo que pasó con compiz y beryl. O con los cientos de distribuciones que hay. ¿Realmente necesitamos que existan Mythbuntu, KnoppMyth y mythdora? ¿O que se pierda el tiempo en vidalinux?

Para continuar con el tema de la seguridad, espero que todos os hayáis leído el último informe de Jeff Jones sobre las vulnerabilidades encontradas en los principales sistemas operativos en el primer trimestre de este año. La verdad es que salen unos resultados bastante curiosos. ¿Alguien quiere comentar algo o está en desacuerdo con los resultados?

¡Buen comienzo de semana!

Comments

5/26/2008 8:21:41 PM

Por favor... Si quieres poner datos objetivos reseña un informe que explique resultados, entonces a lo mejor hasta me lo creo... pero no me pongas a un director de Microsoft diciendome el número de vilnerabilidades de cada SO son ningún tipo de explicación, no me jodas!!!

Juanjo

5/26/2008 9:00:50 PM

Juanjete, espero que te hayas leído las 21 páginas del documento en vez de postear directamente que no te crees nada y que quieres resultados (¿qué resultados? ¿no estamos hablando de seguridad?). Si lo has hecho te recomiendo que te vuelvas a leer los apendices (Interpreting the Data, Data Sources, Linux Distribution Installation Details y la FAQ) en los que explica claramente todo el proceso que ha seguido para elaborar este informe. Como verás, las fuentes son públicas (la NVD principalmente, si te parece que no es lo suficientemente neutral ya me dirás que quieres) así que si no te lo crees o no estás convencido de algunos datos siempre puedes verificarlo tu mismo (es más, él te pide que lo hagas en su primera respuesta de la FAQ "why should we believe anything you say"). En fin, si no te lo crees me gustaría saber exactamente con qué no estás de acuerdo (algo más a parte de que lo ha escrito microsoft estaría bien).

Antón Molleda

8/15/2009 1:19:51 AM