[LUG.ro] Seguridad?
Sebastián D. Criado
lugro@lugro.org.ar
Tue, 21 Oct 2003 17:44:36 -0300
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El Martes 21 Octubre 2003 16:39, Alejandro Gomez Fernandez escribió:
> Vean esta nota:
> http://searchwin2000.techtarget.com/originalContent/0,289142,sid1_gci932906
>,00.html en donde dice que microsoft se hace responsable por las fallas de
> seguridad (o al menos eso sugiere)... Significa esto que "alguien"
<Parte Off-Topic>
>le
> podria hacer juicio por los problemas que le causó su s.o. debido a algunas
> fallas reconocidas por ellos?
Hasta el momento los contratos de licencias de M$ dicen que no se hacen
responsables de nada, al igual que la GPL. Cuando los contratos digan "Nos
hacemos responsables", pero eso no quiere decir que no se le pueda hacer
juicio a cualquiera, tanto al M$ como a quien desarrolla un programa GPL.
Todo contrato de licencia como ese puede ser llevado a juicio, no importa si
dicen que se hacen responsables o no, ya que es un contrato entre 2 partes.
>Hasta que punto llega la responsabilidad?
Eso esta expuesto en el contrato de licencia. Por ejemplo, si te dicen que no
tiene que usarse en tal y cual lado, y se usa igual, automáticamente queda
sin efecto la responsabilidad. Por ejemplo, si se pone una máquina con W$ a
controlar una incubadora y este tira pantallas azules, te van a decir "anda
a cantarle a gardel. Pero igual se le puede iniciar juicio.
> Como puede saber un usuario si un parche REALMENTE soluciona un problema
> determinado (y no otro) y a su vez que no genera un nuevo problema de
> seguridad (en especial si se distribuye solo un binario "minimo" que se
> encarga, supuestamente, de bajar de internet el resto del "programa" que
> emparcha el s.o.)?
No se puede por que no están los fuentes a dispocicion.
</Parte Off-Topic>
> Ahora, y pregunto esto porque lo desconozco, como se
> puede "certificar" un parche en gnu/linux?
No hay certificación que conozca yo mas que el saber de donde uno se lo baja y
confiar por ejemplo en la empresa o grupo que esta sacando el parche. La
ventaja es que puedo ver el fuente ;-) Lo que no es poco.
>Existe algun tipo de control
> "oficial" de un parche?
>Quien se encarga de hacerlo? El propio grupo que
> desarrolla el paquete?
Los mismos grupos de desarrolladores.
En el caso de ver que pasa con el código, por ejemplo China y el NSA
chequearon una a una las lineas del código del kernel y de infinidad de
programas. pero no confío en ninguna de las 2.
En mi caso particular confío mas en Debian por eso. Usando los servidores
oficiales tengo un alto grado de confianza. por supuesto que existe la
posibilidad de que suban algún tipo de troyano en algún servidor.
Una vez paso con el ssh y el sendmail,(no recuerdo en que distro ni en que
servidor y el tema salio a la luz enceguida, el mismo dia) pero me deja mas
tranquilo el hecho que no puede ser apretado un grupo al nivel del que pueden
apretar a una empresa para que se coloquen Backdors (Recuerdan la
NSAKey ? ;-)))
> Es esto aconsejable o no?
y yo hago otra pregunta. ¿Si existiera un grupo que certifique ¿Quien me
asegura que no esta comprado?
Es decir, pensemos que es mucho mas difícil que un grupo tan grande como los
que intervienen en un desarrollo o los que bajan el fuente y lo miran puedan
estar comprados. en si, es menos controlable y mas fácil que salte un error
de seguridad o de cualquiercosa. Esa es una de las bases por lo que el
desarrollo en código abierto es mejor modelo de desarrollo que el
propietario.
> Tal vez este tema de para un intercambio de ideas al respecto...
>
Mientras no se vuelva un Offf-Topic, si :-))
Saludos.-
- --
- --
Sebastián D. Criado - scriado@ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
- -------------------------------------------------------------------
"Si el Universo fuera un programa estaría hecho en C, y correría sobre
un sistema UNIX"
Anónimo.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
iD8DBQE/lZq08hmHQ8ZCg0IRAhUOAKCVtWzcEmh/ZLHrH5nkjLeM1cP59wCgvXL3
F3aAbtEe0fLoDQ4l0UJ//4I=
=eCxZ
-----END PGP SIGNATURE-----