Estudio afirma que el software Open Source es una puerta abierta a los hackers

La facilidad para acceder al código de las aplicaciones open source puede darles a los atacantes la oportunidad para desarrollar exploits para el software más rápida y efectivamente, de acuerdo con las investigaciones de Sam Ransbotham, quien analizó dos años de datos de ataque con modelos matemáticos de regresión no lineal.

tux-with-a-gun.jpg

La investigación, que será presentada en un evento especializado en seguridad, correlacionó 400 millones de alertas de sistemas de detección de intrusos. Los datos apoyan la afirmación mencionada: los fallos en software open source tienden a ser atacados con más rapidez y frecuencia que los del software cerrado. En particular, la vulnerabilidades en software open source suceden tres días más pronto y con 50% más frecuencia.

Según palabras de Ransbotham:

Si piensas que todo esto es un juego entre los chicos buenos y los malos, al reducir el esfuerzo de los chicos malos, hay un mayor incentivo para ellos para atacar objetivos más temprano [...] en cuanto salen los parches, los atacantes obtienen el incentivo para tener otro objetivo en la mira

Algunos analistas nos piden ser cautelosos con las conclusiones del estudio. “Sólo 30 de 97 vulnerabilidades atacadas por hackers fueron hacia software open source, de acuerdo la investigación de Ransbotham, lo que significa que relativamente pocas vulnerabilidades fueron atacadas con mucha más frecuencia”, dice David Aitel.

Para otros el asunto va más allá de tener el código de software o no. Gary McGraw dice que

Es un mito que necesites el código para explotar vulnerabilidades [...] Como desarrolladores de software debes entender que tu software está allá afuera, y que le estás dando a tu atacante todo lo que necesita para explotarlo.

¿Qué dicen ustedes? ¿La exposición del código hace la diferencia en la explotación de vulnerabilidades en el software? Cualquiera que sea la respuesta, creo que por lo menos el hecho de que el software sea open source permite reparar bugs de forma más rápida también.

fuente: http://bitelia.com/2010/06/estudio-open-source-puerta-abierta-a-hackers
 
Haz clic para expandir...
es algo que se habia comentado por hay en un foro... pero los hackers estan mas interesados en sistemas como windows que son los mas comunes utilizados por los usuarios y por ende los mas faciles de penetrar...
 
Pero si puede llegar a ser muy cierto que al ser open source incrementes la vulneravilidad del equipo, por suerte nadie seria tan menso de hacer open source el codigo de bancolombia por ejemplo jaja
 
4eyes dijo:
... creo que por lo menos el hecho de que el software sea open source permite reparar bugs de forma más rápida también.
http://bitelia.com/2010/06/estudio-open-source-puerta-abierta-a-hackers
Haz clic para expandir...
De acuerdo contigo, veo mas como una ventaja de seguridad el hecho de ser software libre que como una desventaja.
es mas facil que un error sea detectado y corregido por una gran comunidad de programadores y amantes del software libre, a solo unos pocos programadores de una empresa(como es el caso del software cerrado).
 
LA verdad a mi esos estudios con "modelos matematicos" no dejan de ser una teoria . Que la gente por ver el codigo pueda encontrar mas facil un exploit cierto pero es que si un exploit existe las cosas estan mal hechas y hay que hacerlas bien, cosa que no hacen los de fuente cerrada.

Volvemos al tema, es de indio no de arco y flecha. El sistema debe ser seguro por diseño no por desconocimiento.
 
Dak dijo:
LA verdad a mi esos estudios con "modelos matematicos" no dejan de ser una teoria . Que la gente por ver el codigo pueda encontrar mas facil un exploit cierto pero es que si un exploit existe las cosas estan mal hechas y hay que hacerlas bien, cosa que no hacen los de fuente cerrada.

Volvemos al tema, es de indio no de arco y flecha. El sistema debe ser seguro por diseño no por desconocimiento.
Haz clic para expandir...

¿Tu eres programador?:rolleyes:
 
hmm no se, me parece que es mucho mas facil que millones de programadores analicen el codigo de un programa y detecten fallas, avisandole al diseñador de la aplicacion, que a que lo detecten solo unos 5-10 de una compañia.
 
Pienso que, como se nombre en el texto el software libre es en algunos casos una arma de doble filo, ya que permite ver el disenio de un programa y poderlo adaptar para explotarlo, pero tambien permite que no solamente el software sea revisado por unos pocos..

Ademas, a modo de conclusion, si el Software Libre se ha mantenido durante tanto tiempo, no es porque sea vulnerable.. deja para analisar..
 
No hace falta hacer una investigación o estudio para saber esto, que perdida de tiempo

Con solo usar la lógica bastaría para saber que cualquier sistema o aplicación open source, se puede modificar para bien o para mal.

Y por lo visto, es mucho mas el interes de mejorar el open source, que perjudicarlo
 
★Supermegaman™► dijo:
No hace falta hacer una investigación o estudio para saber esto, que perdida de tiempo

Con solo usar la lógica bastaría para saber que cualquier sistema o aplicación open source, se puede modificar para bien o para mal.

Y por lo visto, es mucho mas el interes de mejorar el open source, que perjudicarlo
Haz clic para expandir...

Coincido y resalto la ultima parte.=)



Dak dijo:
Que tiene que ver?
Haz clic para expandir...

Tiene que ver, porque si eres programador deberias saber que no existe sistema infranqueable, todo depende de que tanto se sepa como funciona.

A modo de ejemplo, yo puedo hacer un programa que encripte mensajes para enviarlos por la red con una encriptación relativamente básica; si tu no sabes como es que trabaja mi algoritmo te va a tomar mas trabajo que si yo te digo como funciona, es así de sencillo.
¿O acaso crees que los hackers salen de la nada y pueden voltear cualquier programa/encriptación que desconocen sin estudiarlo primero?
Eso solo pasa en las películas.:p

Entonces no entiendo porque dices que las cosas hay que hacerlas bien, un exploit no es un bug.
Suponte que estas en un balcón de un decimo octavo piso, tu miras hacia abajo y te mareas, eso es un bug.
Ahora estas en el mismo balcón mirando los alrededores tranquilo, viene alguien y te empuja, tu caes, das contra el piso y pasas a mejor vida, ¿Entonces estas mal diseñado? no; eso es un exploit.

No se si captas la idea.
 
Tash dijo:
De acuerdo contigo, veo mas como una ventaja de seguridad el hecho de ser software libre que como una desventaja.
es mas facil que un error sea detectado y corregido por una gran comunidad de programadores y amantes del software libre, a solo unos pocos programadores de una empresa(como es el caso del software cerrado).
Haz clic para expandir...
maton1200 dijo:
hmm no se, me parece que es mucho mas facil que millones de programadores analicen el codigo de un programa y detecten fallas, avisandole al diseñador de la aplicacion, que a que lo detecten solo unos 5-10 de una compañia.
Haz clic para expandir...

lo que pasa es que ese cuento de que el sw libre es mejor porque hay miles o millones de personas revisandolo es solo eso un cuento de hadas, en la vida real son solo un puñado de personas ( 5 - 10 ) por proyecto ...

hace un año +/- hice un analisis detallado acá en LANeros exponiendo el patético caso de FF que pese a ser el más popular tiene miles de bug sin corregir y los supuestos miles de programadores que revisan esos bug no son nisiquiera 10 y de esos solo 2 o 3 estan activos... :muerto:
 
Eso es cierto, cuando uno se mete a las comunidades de desarrollo de algun software open source se da cuenta de eso. Muchas veces hay como 1.000 personas inscritas al proyecto pero si revisas el control de versiones, hay menos de un commit diario, y en el ultimo mes solo 6 o 7 personas han aportado código. Mientras que en software cerrado un equipo de 30 o 40 personas normalmente tiene mas de 7 commits por día. La gente tiende a pensar que lo que es open source tiene un mundo de desarrolladores detrás que se la pasan tiempo completo trabajandole gratis a la aplicación por puro amor al arte. La verdad es otra, y por experiencia sé que es muchísimo más fácil vulnerar un sistema open source (ya que sabes que es lo que hace cada cosa) que vulnerar algo que es cerrado y te toca estudiarlo, analizarlo, hacerle ingeniería inversa y a veces hasta adivinar que hace para tratar de encontrar las vulnerabilidades.
 
.

JuanK_solocodigo dijo:
lo que pasa es que ese cuento de que el sw libre es mejor porque hay miles o millones de personas revisandolo es solo eso un cuento de hadas, en la vida real son solo un puñado de personas ( 5 - 10 ) por proyecto ...

hace un año +/- hice un analisis detallado acá en LANeros exponiendo el patético caso de FF que pese a ser el más popular tiene miles de bug sin corregir y los supuestos miles de programadores que revisan esos bug no son nisiquiera 10 y de esos solo 2 o 3 estan activos... :muerto:
Haz clic para expandir...


Vamos señor, seguramente son bugs de poca importancia, porque cualquier falla de seguridad importante la corrigen en menos de 1 semana.

Pero basta con ver los hechos, hoy en dia firefox sigue siendo mucho mas seguro que Internet Explorer. Y podemos descartar la tipica excusa de que el opensource es seguro porque no mucha gente lo usa, porque firefox ya tiene una gran couta de mercado.

Patetico es el caso de Internet Explorer, teniendo tantos millones y solo consiguen un navegador pesimo e inseguro.

Eso es cierto, cuando uno se mete a las comunidades de desarrollo de algun software open source se da cuenta de eso. Muchas veces hay como 1.000 personas inscritas al proyecto pero si revisas el control de versiones, hay menos de un commit diario, y en el ultimo mes solo 6 o 7 personas han aportado código. Mientras que en software cerrado un equipo de 30 o 40 personas normalmente tiene mas de 7 commits por día. La gente tiende a pensar que lo que es open source tiene un mundo de desarrolladores detrás que se la pasan tiempo completo trabajandole gratis a la aplicación por puro amor al arte. La verdad es otra, y por experiencia sé que es muchísimo más fácil vulnerar un sistema open source (ya que sabes que es lo que hace cada cosa) que vulnerar algo que es cerrado y te toca estudiarlo, analizarlo, hacerle ingeniería inversa y a veces hasta adivinar que hace para tratar de encontrar las vulnerabilidades.
Haz clic para expandir...

Pon algun ejemplo, porque seguramente hablas de programas pequeños, que no tienen mucho desarrollo. Pero en aplicaciones grandes, como distribuciones de linux o el nucleo, trabaja mucha gente.
 
davidjhi dijo:
Pon algun ejemplo, porque seguramente hablas de programas pequeños, que no tienen mucho desarrollo. Pero en aplicaciones grandes, como distribuciones de linux o el nucleo, trabaja mucha gente.
Haz clic para expandir...

´si?
cuantos?
es muy facil hablar por hablar...
pero de los miles que supones como activos... no creo que haya ni huella...
 
JuanK_solocodigo dijo:
´si?
cuantos?
es muy facil hablar por hablar...
pero de los miles que supones como activos... no creo que haya ni huella...
Haz clic para expandir...

Amigo, es necesario alterarse?.

Me he fijado que en todo tema relacionado con Software Libre o Linux, usted es el primero en entrar a difamar u opinar en contra, la mayoria de las veces injustificadamente.

Como ejemplo, el nucleo de linux, tiene cercas de mil trabajadores y la mayoria percibe un sueldo por eso, no son programadores por el amor al arte ni nada de eso, son empleados.

Me imagino que trabaja en Microsoft o algo por el estilo, de hay el fanatismo, de lo contrario, siento mucha lastima por usted.
 
davidjhi dijo:
Amigo, es necesario alterarse?.
Haz clic para expandir...
no soy alterado, lo que sucede es que la mayoria de las personas en su posición solo tienen actitudes pasionales y emotivas, raras veces bien justificadas o argumentadas.
davidjhi dijo:
Me he fijado que en todo tema relacionado con Software Libre o Linux, usted es el primero en entrar a difamar u opinar en contra, la mayoria de las veces injustificadamente.
Haz clic para expandir...
Entonces nos e ha fijado en absolutamente nada, porque contrario a lo que muchos hacen suelo argumentarme y documentarme muy bien antes de emitir opiniones.
davidjhi dijo:
Como ejemplo, el nucleo de linux, tiene cercas de mil trabajadores y la mayoria percibe un sueldo por eso, no son programadores por el amor al arte ni nada de eso, son empleados.
Haz clic para expandir...
y? como ud lo dice, si que reciben sueldo pero no estamos hablando acá de los empleados que hacen sw libre, estamos hablando de la falsa premisa acerca de que por ser software libre hay miles de programadores metiendole mano, NADA MAS FALSO e inocente...
davidjhi dijo:
Me imagino que trabaja en Microsoft o algo por el estilo, de hay el fanatismo, de lo contrario, siento mucha lastima por usted.
Haz clic para expandir...

El hecho de que no sea un seguidor ciego del sw libre y que ademas no me deje meter los dedos a la boca no quiere decir que sea empleado de microsoft.
Ese argumento de tildarme de microsoft es muy infantil y es comúnmente utilizado aca por fanboys que ante la imposibilidad de demostrar o rebatir argumentos con datos reales no les queda más que evadir su falso discurso tildándome de empleado de Microsoft.

Y aunque repito que esto no tiene NADA que ver con la discusión:
Para la versión 2.6.24 del kernel de linux trabajaron 1.057 desarrolladores distribuidos en 186 empresas

Para Windows 7 se requierieron +/- 1000 programadores distribuidos en equipos de 40 personas.
 
Claro que tiene que ver.


"en la vida real son solo un puñado de personas ( 5 - 10 ) por proyecto ..."
Haz clic para expandir...

JuanK_solocodigo dijo:
´si?
cuantos?
es muy facil hablar por hablar...
pero de los miles que supones como activos... no creo que haya ni huella...
Haz clic para expandir...

Tan solo estoy respondiendo a sus comentarios, si dice que en los proyectos de SW no hay personal, yo tan solo menciono, que claro que lo hay, me sigue?...

El hecho de que no sea un seguidor ciego del sw libre y que ademas no me deje meter los dedos a la boca no quiere decir que sea empleado de microsoft
Ese argumento de tildarme de microsoft es muy infantil y es comúnmente utilizado aca por fanboys que ante la imposibilidad de demostrar o rebatir argumentos con datos reales no les queda más que evadir su falso discurso tildándome de empleado de Microsoft.
Haz clic para expandir...

De hecho mencione eso porque como dije anteriormente, muchas veces he leido opiniones suyas contra Linux en general, y deja a microsoft como el lado bueno, el mejor preparado, etc.

No me parece mal que opine, el problema es cuando confunde a la gente y trata de convencerlos de que Linux y el software libre en general son malos.

Por ejemplo, recuerdo un post donde un usuario pedia ayuda sobre que distribucion de linux usar, y como era de esperarse, usted menciono todas las desventajas de Linux vs Windows, a usted esto no le parece fanatismo?

Y eso es en absulatamente todas las noticias de este estilo, un comment de Juank, arremetiendo contra el Linux en general.
 
davidjhi dijo:
personal, yo tan solo menciono, que claro que lo hay, me sigue?...
Haz clic para expandir...
para nada.

davidjhi dijo:
De hecho mencione eso porque como dije anteriormente, muchas veces he leido opiniones suyas contra Linux en general, y deja a microsoft como el lado bueno, el mejor preparado, etc.

No me parece mal que opine, el problema es cuando confunde a la gente y trata de convencerlos de que Linux y el software libre en general son malos.

Por ejemplo, recuerdo un post donde un usuario pedia ayuda sobre que distribucion de linux usar, y como era de esperarse, usted menciono todas las desventajas de Linux vs Windows, a usted esto no le parece fanatismo?

Y eso es en absulatamente todas las noticias de este estilo, un comment de Juank, arremetiendo contra el Linux en general.
Haz clic para expandir...

Por el contrario, me esfuerzo para que la gente no se confunda y por si las moscas no suelo hablar mal de linux...
 
Los programadores que realmente trabajan estan haciendo o depurando aplicaciones que les permitan ganar dinero pero no se van a poner a seguirle el cuento a un codigo open source que no les da ni merda, eso lo hacen estudiantes, jovenes que tienen tiempo para llevarse en eso y aprendiendo, por lo general les gusta aprender pero haciendo algo malo y que mas que encontrar y aprovechar huecos en el codigo o darlos a conocer para corregirlos.
Lo que dice Juank_solocodigo es la absoluta verdad.
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás