Con muchas miradas, todos los errores saltarán a la vista

El título de este artículo es una frase de Eric Raymond en su libro La Catedral y el Bazar, y es considerado como uno de los mantras principales del open source. Desde ese momento, la ley de Linus (así la llama Eric) ha recibido toda clase de ataques, en especial que es una falacia porque la visibilidad de un error es independiente de la cantidad de ojos que miran el código, entre otras razones.

Cuando hace una semana saltó el lío del bug Heartbleed de OpenSSL (proyecto open source) y su impacto, unos cuantos (por ejemplo este usuario de Apple) no tardaron en criticar el mantra y quienes lo defienden. Si se descubre un goto fail de más en el código de iOS, andamos diciendo «jajaja, toma esa». Pero si se descubre un bug en GnuTLS que estuvo 10 años sin descubrirse, decimos «al menos ya lo tenemos solucionado».

Así que Eric escribió un post para dejar las cosas en claro. La ley de Linus sigue vigente tanto como antes.

Eric dice los críticos caen en el error de enfatizar demasiando en el bug que pueden ver, y no enfatizar la alta probabilidad de que una falla de seguridad que no pueden ver en un software cerrado equivalente sea peor pero sin descubrir. Cuando dice «con muchas miradas», no se refiere a la cantidad de personas auditando sino la diversidad de supuestos. Unas cuantas personas que piensan diferente pueden ser mejor auditores que una armada que tiene una zona ciega en común.

En los últimos meses aprendí unas cuantas cosas sobre la densidad de defectos de seguridad en firmwares propietarios en los routers de internet para residencias y negocios pequeños, que rizarían sus cabellos…..Los amigos no dejan que sus amigos corran firmware de fábrica. Ustedes no quieren confiar en algo menos auditado que OpenWRT o una de sus variantes. Y sin embargo la próxima vez que aparezca una falla de seguridad en uno de esos proyectos open source veremos una repetición de esa vieja película con otro round de gente graznando que el open source no funciona. Irónicamente esto ocurrirá precisamente porque el proceso open source SI funciona, mientras en algún lado, bugs que son peores vagan entre el firmware de routers cerrado.

Y el mismo ejemplo lo aplica a Heartbleed. ¿Cual es el historial de defectos de los blobs propietarios de SSL/TLS? No se sabe. Los fabricantes no dicen nada. Y no se puede decir nada de la calidad de su código porque no puede auditarse. Tambíen destaca la rapidez a la hora de mandar arreglos. Ya en los sistemas linux hay un arreglo para Heartbleed. En sistemas propietarios el arreglo puede tardar mucho más tiempo. Y eso es porque muchos de los modelos de negocio del software cerrado requieren que las actualizaciones sean un proceso caro y de alta fricción, cubiertos de requerimientos de aprobación, tasas y restricciones legales. Acá en el open source un arreglo puede llegar en minutos porque nadie intenta ganar una renta con ello.

Yo, ya acabo de cambiar mis contraseñas en unos cuantos sitios (sólo aquellos que soportan https) además de echarle una mano monetaria. En verdad, se lo merecen.


13 comentarios, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   marcos dijo

    por eso no conviene ser un «fan de un exclusivo Sistema Operativo» todos los sistemas tienen sus fallas
    lo único que cambia es la filosofía de como enfrentar los problemas

    http://i.imgur.com/UOFAbqy.jpg

    1.    Alejandro dijo

      me encantó la imagen, que pena que no se puedan votar los comentarios

      1.    Nillo dijo

        Podían poner como sistema de comentarios DIsqus.

        1.    eliotime3000 dijo

          Lo malo de Disqus es que su sistema de gestión de usuarios realmente pobre, además que no se puede monitorear los comentarios desde qué correo electrónico usan o desde qué IP’s provienen dichos comentarios.

    2.    eliotime3000 dijo

      Hay un fallo en la imagen: en las actualizaciones de GNU/Linux, lo que tiene de bueno es que las actualizaciones, por lo general, no son una friolera de MB como es el caso de Windows y Mac. Además, el Windows Update, como gestor de actualizaciones, es simplemente decepcionante.

    3.    userGNU/Linux dijo

      El problema soy yo; el problema somos nosotros los que usamos estos artificios de ingenio sin siquiera comprender lo que son y lo que hacen realmente, no todos pueden aprender a programar, pero unos pocos programadores de entre los que hay pueden hacer la diferencia.
      Leíste el dialogo, cuando por primera vez cargaste el SO GNU/Linux e introdujiste tu clave de usuario. «Sobre el Poder y la Responsabilidad». Eso es lo que hacen los buenos desarrolladores, cuando ponen el «código fuente» de estos artificios a libre disposición.

  2.   Ronin dijo

    Siento que el problema de OpenSSL también es un problema de la comunidad ya que se debería haber auditado mejor el código ya que este es abierto y estoy 100% en acuerdo con la opinión de que es mas seguro un código abierto ya que al menos uno puede llegar a conocer los errores de nacimiento del mismo mientra el privativo uno no sabe que tan seguro o inseguro puede llegar a ser.

    1.    eliotime3000 dijo

      El problema no es necesariamente la comunidad de OpenSSL, el problema en realidad es que la misma comunidad no ha exhortado a que actualicen la versión de dicho software como prioridad principal para todas las distros.

      Y por cierto, de la rama 1.0.0 e la 0.9.8, además de la versión 1.0.1g han sido las versiones en las cuales no se vieron afectadas por dicho bug.

  3.   usemoslinux dijo

    muy buen articulo!

  4.   eliotime3000 dijo

    Menos mal que actualizaron el OpenSSL en distros como Debian GNU/Linux (por cierto, bien ligera), pero en Windows, llega una FRIOLERA de 800 MB (lo malo es que son los mismos parches de siempre y nunca son específicos como los de las distros GNU/Linux).

    En fin, pensé que el bug era del mismo SSL y no del OpenSSL (si fuera del AES o del WPA-PSK, la historia sería otra).

  5.   vidagnu dijo

    Muy de acuerdo, en los sistemas cerrados pueden haber muchos problemas de varios años que desconocemos y que delicuentes pueden estar usando para robar, y lo peor es que cuando se detectan y denuncian tardan una eternidad en solucionarlo.

  6.   kAoi97 dijo

    interesante

  7.   userGNU/Linux dijo

    Open source o código abierto se obtiene automáticamente el máximo bienestar social. Código cerrado; expresión de la capacidad de búsqueda del propio interés beneficio de unos pocos acosta de los dependientes. Me causa risa relacionar esto con la idea económica de Adam Smith «la mano invisible», que por cierto considero muy contradictoria.