[LUG.ro] Seguridad?

Sebastián D. Criado lugro@lugro.org.ar
Tue, 21 Oct 2003 17:44:36 -0300 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El Martes 21 Octubre 2003 16:39, Alejandro Gomez Fernandez escribió:
> Vean esta nota:
> http://searchwin2000.techtarget.com/originalContent/0,289142,sid1_gci932906
>,00.html en donde dice que microsoft se hace responsable por las fallas de
> seguridad (o al menos eso sugiere)... Significa esto que "alguien" 

<Parte Off-Topic>
>le
> podria hacer juicio por los problemas que le causó su s.o. debido a algunas
> fallas reconocidas por ellos? 

Hasta el momento los contratos de licencias de M$ dicen que no se hacen 
responsables de nada, al igual que la GPL. Cuando los contratos digan "Nos 
hacemos responsables", pero eso no quiere decir que no se le pueda hacer 
juicio a cualquiera, tanto al M$ como a quien desarrolla un programa GPL.
Todo contrato de licencia como ese puede ser llevado a juicio, no importa si 
dicen que se hacen responsables o no, ya que es un contrato entre 2 partes.


>Hasta que punto llega la responsabilidad?

Eso esta expuesto en el contrato de licencia. Por ejemplo, si te dicen que no 
tiene que usarse en tal y cual lado, y se usa igual, automáticamente queda 
sin efecto la responsabilidad. Por ejemplo, si se pone una máquina con W$ a 
controlar una incubadora y este tira pantallas azules, te van a decir  "anda 
a cantarle a gardel. Pero igual se le puede iniciar juicio.


> Como puede saber un usuario si un parche REALMENTE soluciona un problema
> determinado (y no otro) y a su vez que no genera un nuevo problema de
> seguridad (en especial si se distribuye solo un binario "minimo" que se
> encarga, supuestamente, de bajar de internet el resto del "programa" que
> emparcha el s.o.)?


No se puede por que no están los fuentes a dispocicion.

</Parte Off-Topic>

> Ahora, y pregunto esto porque lo desconozco, como se
> puede "certificar" un parche en gnu/linux? 

No hay certificación que conozca yo mas que el saber de donde uno se lo baja y 
confiar por ejemplo en la empresa o grupo que esta sacando el parche. La 
ventaja es que puedo ver el fuente ;-) Lo que no es poco.


>Existe algun tipo de control
> "oficial" de un parche? 
>Quien se encarga de hacerlo? El propio grupo que
> desarrolla el paquete? 

Los mismos grupos de desarrolladores. 

En el caso de ver que pasa con el código, por ejemplo China y el NSA 
chequearon una a una las lineas del código del kernel y de infinidad de 
programas. pero no confío en ninguna de las 2.
En mi caso particular confío mas en Debian por eso. Usando los servidores 
oficiales tengo un alto grado de confianza. por supuesto que existe la 
posibilidad de que suban algún tipo de troyano en algún servidor.

Una vez paso con el ssh y el sendmail,(no recuerdo en que distro ni en que 
servidor y el tema salio a la luz enceguida, el mismo dia) pero me deja mas 
tranquilo el hecho que no puede ser apretado un grupo al nivel del que pueden 
apretar a una empresa para que se coloquen Backdors (Recuerdan la 
NSAKey ? ;-)))

> Es esto aconsejable o no?
y yo hago otra pregunta. ¿Si existiera un grupo que certifique ¿Quien me 
asegura que no esta comprado? 

Es decir, pensemos que es mucho mas difícil que un grupo tan grande como los 
que intervienen en un desarrollo o los que bajan el fuente y lo miran puedan 
estar comprados. en si, es menos controlable y mas fácil que salte un error 
de seguridad o de cualquiercosa. Esa es una de las bases por lo que el 
desarrollo en código abierto es mejor modelo de desarrollo que el 
propietario.


> Tal vez este tema de para un intercambio de ideas al respecto...
>


Mientras no se vuelva un Offf-Topic, si :-))

Saludos.-
- -- 
- --
Sebastián D. Criado - scriado@ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
- -------------------------------------------------------------------
"Si el Universo fuera un programa estaría hecho en C, y correría sobre
un sistema UNIX"
                                                   Anónimo.

			
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/lZq08hmHQ8ZCg0IRAhUOAKCVtWzcEmh/ZLHrH5nkjLeM1cP59wCgvXL3
F3aAbtEe0fLoDQ4l0UJ//4I=
=eCxZ
-----END PGP SIGNATURE-----