¿Dormidos en una falsa burbuja de seguridad?

20 10 2008

Vía el RSS de LinuxToday.com me llegó un artículo que no puedo dejar de admitir que me inquietó. Sé que se esparce mucho FUD (fear, doubt and uncertainity; miedo, duda e incertidumbre) en contra de Linux, encargándose de eso Microsoft principalmente. Pero el involucrado no es sólo Linux sino contra otros dos sistemas UNIX/tipo-UNIX: Mac OS X y BSD. Se hacía, entre otras, las siguientes aseveraciones:

Looming attacks will soon pop the security bubble enjoyed by Linux and Macintosh users, according to Russian security expert Eugene Kaspersky. […]  “The problem is that customers design the operating systems (either within open source communities or via market demand) and they choose flexibility over security.” “Modern operating systems are flawed by design,” Kaspersky said, “including OpenBSD”. “Mac and Linux are not as secure as [users] think; criminals pay no attention to them at the moment, but they will be vulnerable — easy targets.” […] …the platforms will be increasingly targeted as more people migrate to them. […] “Users will always want to run whatever they want, whenever they want, regardless of security concerns.”

(Aparecerán ataques que reventarán la burbuja de seguridad que disfrutan los usuarios de Linux y Macintosh, de acuerdo al experto de seguridad ruso Eugene Kaspersky. […] “El problema es que los clientes diseñan los sistemas operativos (ya sea en comunidades de código abierto o por demanda del mercado) y eligen flexibilidad sobre seguridad”. “Los sistemas operativos modernos son defectuosos en su diseño,” dijo Kaspersky, “incluyendo a OpenBSD”. “Mac y Linux no son tan seguros como los usuarios creen, los criminales no les prestan atención por el momento, pero serán vulnerables, — blancos fáciles.” […] … las plataformas serán cada vez más atacadas conforme la gente migre a ellas. […] “Los usuarios siempre quieren ejecutar lo que quieren, cuando quieren, sin importarles las consideraciones de seguridad.”)

Mucho se ha discutido sobre la seguridad de sistemas abiertos como Linux o BSD, o de otros como Mac OS X. El modelo de software de código abierto nos lleva a la ley de Linus (Torvalds): Más ojos ven más errores y pueden ser corregidos más rápido, lo que supone superioridad en velocidad de corrección de fallos. Linux, BSD o Mac OS X son seguros ahora. El argumento de que hay pocos sistemas Linux y que por eso no hay tantas amenazas para él, se va al suelo. Prácticamente la Web entera corre sobre servidores Linux, entonces, ¿acaso no son objetivos más interesantes para los crackers?

Linux, BSD y Mac OS X, ¿blancos fáciles de ataque en los próximos años?

Linux, BSD y Mac OS X, ¿blancos fáciles de ataque en los próximos años? (Imagen de ComputerWorld.com.au)

Linux en el escritorio experimenta un crecimiento continuo, aunque no explosivo. Si hablamos de máquinas zombies, éstas son por lo general máquinas de escritorio: máquinas que corren Microsoft Windows en su mayoría. Las máquinas zombie son un problema innegable, son la causa de un gran porcentaje del spam que viaja por el Internet. Hasta ahora no se oye de máquinas zombies con Linux. Pero al masificarse su uso, ¿los criminales informáticos podrían interesarse en esa nueva parte del mercado?

La variedad es buena, como dice la página que expone las razones de la existencia del proyecto Wine. Aunque en dicho documento expone esta idea como respaldo a usar ciertas aplicaciones Windows sobre Wine en Linux, yo diré lo mismo en cuanto a distribuciones Linux. Hay un extenso abanico de ellas para escoger. Esto es un punto a favor para evitar que software malicioso, diseñado para un sistema, se ejecute sin éxito en otro.

La prudencia es otra aliada en mantener la seguridad de cualquier sistema. No ejecutar software de dudosa procedencia, programas crackeados, como sucede usualmente en Windows. El software libre no necesita de cracks, se da libre y su código se puede revisar. Cualquier intento de hacer una jugada sucia puede ser detectado.  Pero sucede esto: Los usuarios siempre quieren ejecutar lo que quieren, cuando quieren, sin importarles las consideraciones de seguridad.”. La comunidad de Linux no sólo se centra en la funcionalidad, la seguridad es algo que ha tenido y tiene en cuenta. Debemos reforzar esa cultura en todos los usuarios, porque ante el inevitable crecimiento de Linux, llegarán a usar este sistema muchas personas sin nociones de seguridad, que no tienen cuidado con lo que instalan, que cometerán los mismos errores que cometen en Windows. Al final, si quieren lo harán. Iniciarán sesión como root en modo gráfico, usarán sudo y su para obtener derechos de administrador, e instalar cualquier programa que les exija estos derechos para instalarse. Y esos programas bien podrían ser spyware, troyanos, rootkits o virus.

Personalmente creo que las afirmaciones de Kaspersky no son del todo alarmistas. Nuestra comunidad de software libre no puede quedarse “dormida en los laureles”. Tenemos miles de personas inteligentes, creyentes en que la libertad del software es una alternativa completamente válida, tenemos gente convencida, abierta y trabajadora en su apoyo a las causas del software libre, gente como Mark Shuttleworth (patrono del proyecto Ubuntu), Linus Torvalds y su Kernel Team (creadores del Kernel de Linux), Richard M. Stallman (padre del proyecto GNU), John Carmack (programador de videojuegos en id Software, apoya al software libre e incluso se ha manifestado en favor de APIs libres como OpenGL en lugar de Microsoft DirectX), Édgar David Villanueva (político peruano, escritor de una famosa carta que expone razones de peso en contra de afirmaciones poco fundadas de Microsoft Perú en contra del software libre), y muchos otros. Tenemos gente que defiende el software libre, gente que puede hacer que sistemas operativos y aplicaciones de esa línea sean las mejores y más seguras, gente que puede demostrar que no se va a sacrificar la seguridad, y que se llegará a un equilibrio con la flexibilidad.

Tenemos todo lo necesario para lograrlo. Empecemos de a poco. Podemos proteger nuestros sistemas con firewalls, cierre de puertos, escaneado de mensajes de correo, y sobre todo, teniendo cuidado con el software al que le abrimos la puerta en nuestro computador. Podemos reportar fallos de seguridad, y quienes tenemos habilidades de programación, podemos ayudar a arreglarlos. Que las afirmaciones de Kaspersky se las lleve el viento, y que sólo hayan servido como catalizador de mejoras, y no como fuente de confusión y temor.

Anuncios




Remove

3 10 2007

Transcripción de un video de YouTube sobre el peligro que corren nuestros datos personales en manos de los gigantes de la información en Internet:

” – Todos tus datos, informáticamente hablando, están a disposición de una multitud de empresas que compran bases de datos a otras empresas que se dedican a recopilarlos. Es como un nuevo tipo de negocio, tráfico de datos.
– No jodas.
– Claro tío. Es más difícil pedirle a alguien los datos directamente, que meterle un juego y decirle ¿quieres participar? Llena este cuestionario.
– Vale tío, o sea que hay que tener cuidado con a quién le das tus datos ¿no?
– Para nada. Seguro que ya lo hiciste en algún momento dado, y además tienes que tener en cuenta la información que emites usando tecnologia móvil. Esto es peor que la Estasia. Aquí el cociente eres tú mismo.

La mayoria de la gente piensa que el derecho a la privacidad implica tener privacidad. Y no hay nada más erróneo que eso. En el siglo XXI, raro es quien no usa un teléfono móvil, o un portátil, una conexión de banda ancha, un PDA, un GPS. Cada uno de esos dispositivos es un emisor de información. Dónde estámos, qué hacemos, qué decimos, qué compramos, cómo vivimos. Tú crees que te mueves, pero da igual si vas de un lado a otro. Estás controlado. Para ellos, eres un punto móvil en la pantalla de un radar.

A raíz de aquella conversación comencé un proceso de transformación en mí. mejor dicho, en mis hábitos. Lo primero fue dejar de usar el teléfono móvil. Restringí mi comunicación a llamadas desde teléfonos públicos, cybercafés, o terminales desde los que pudiese cifrar u ocultar mis datos. Luego dejé de pagar con tarjetas de crédito, sólo en metálico, así no pueden seguir el rastro de tus compras. Siguieron los transportes, nada de aviones, sólo transportes públicos sin nombre de viajero en los billetes. De esta forma, poco a poco, fui desapareciendo del plano de la realidad, y de su control.

Luego llegó la fase de la cyber-realidad. De la propia tecnología a usar. El 95% de los computadores usan un sistema operativo deficiente, lleno de agujeros de seguridad que no hacen más que mandar información de lo que haces, de qué sitios visitas, y eso poco a poco dibuja tu perfil cada vez de una forma más precisa. Los que intentan vendernos libertad, compran nuestra identidad, trafican con nuestros datos y modelan la realidad para que vivas en ella en función de sus intereses. Somos los actores secundarios de una obra cuya gloria no va con nosotros.

Desde aquella conversación, ha pasado mucho tiempo. Tiempo en que he aprendido a controlar mejor que ellos la misma tecnología que quieren que usemos. Tiempo en el que he aprendido a ser invisible, en el que he dejado de emitir información. Creo que, en cierta medida, he podido escapar de la conclusión de aquella conversación. Pero por otra parte, tengo la extraña sensación de que en algún momento dejé de participar en esta realidad para vivir en otra. “