Los usuarios de Linux a menudo citan los beneficios de seguridad como una de las razones para preferir el software de código abierto. Como el código está abierto para que todos lo vean, hay más ojos buscando posibles errores. Se refieren al enfoque opuesto, donde el código solo es visible para los desarrolladores, como la seguridad a través de la oscuridad. Solo unas pocas personas pueden ver el código, y las personas que quieren aprovechar los errores no están en esa lista.
Si bien este lenguaje es común en el mundo del código abierto, este no es un problema específico de Linux. De hecho, este debate es más antiguo que las computadoras. Entonces, ¿está la pregunta resuelta? ¿Es un enfoque realmente más seguro que el otro, o es posible que haya verdad en ambos?
¿Qué es la seguridad a través de la oscuridad?
La seguridad a través de la oscuridad es la confianza en el secreto como un medio para proteger los componentes de un sistema. Este método es parcialmente adoptado por las compañías detrás de los sistemas operativos comerciales más exitosos de la actualidad: Microsoft, Apple y, en menor medida, Google. La idea es que si los malos actores no saben que existe una falla, ¿cómo pueden aprovecharlos? 3 Windows 98 Bugs Worth Revisiting 3 Errores de Windows 98 que vale la pena revisar ¿Es solo la nostalgia lo que me mantiene apegado a este sistema operativo o Windows 98 realmente vale la pena recordar? Este sistema operativo lanzado hace 15 años tuvo sus altibajos. Los críticos han sido bastante duros ... Leer más?
Usted y yo no podemos aprovechar el código que hace que Windows se ejecute (a menos que tenga una relación con Microsoft). Lo mismo es cierto para macOS. Google abre las fuentes de los componentes principales de Android ¿Es Android realmente de código abierto? ¿Y eso importa? ¿Android es realmente de código abierto? ¿Y eso importa? Aquí exploramos si Android es realmente de código abierto. ¡Después de todo, está basado en Linux! Lea más, pero la mayoría de las aplicaciones siguen siendo de propiedad exclusiva. Del mismo modo, Chrome OS es en gran medida de código abierto, a excepción de los bits especiales que separan a Chrome de Chromium Is Google Eavesdropping en Chromium Users? ¿Está Google escudriñando a los usuarios de Chromium? Los desarrolladores de código abierto han descubierto que la versión de Debian de Chromium está descargando el código de Google graba al usuario a través de un micrófono de PC y transmite el audio para su análisis. ¿Google está escuchando a escondidas? Lee mas .
¿Cuáles son los inconvenientes?
Como no podemos ver qué está pasando en el código, debemos confiar en las compañías cuando dicen que su software es seguro. En realidad, pueden tener la mayor seguridad en la industria (como parece ser el caso de los servicios en línea de Google), o pueden tener agujeros evidentes que permanecen vergonzosamente por años.
La seguridad por oscuridad, por sí misma, no proporciona un sistema con seguridad. Esto se toma como algo dado en el mundo de la criptografía. El principio de Kerckhoff sostiene que un criptosistema debe ser seguro incluso si los mecanismos caen en manos del enemigo. Este principio data de finales de 1800.
La máxima de Shannon siguió en el siglo XX. Dice que las personas deberían diseñar sistemas bajo la suposición de que los oponentes se familiarizarán de inmediato con ellos.
Allá por la década de 1850, el cerrajero estadounidense Alfred Hobbs demostró cómo elegir cerraduras de última generación fabricadas por fabricantes que afirmaban que el secreto hacía sus diseños más seguros. Las personas que se ganan la vida (por decirlo de algún modo) recogiendo cerraduras se vuelven realmente buenas para sacar cerraduras. El hecho de que no hayan visto uno antes no lo hace impenetrable.
Esto se puede ver en las actualizaciones de seguridad habituales que llegan en Windows, macOS y otros sistemas operativos propietarios. Si mantener el código privado fuera suficiente para mantener los defectos ocultos, no necesitarían ser parcheados.
La seguridad a través de la oscuridad no puede ser la única solución
Afortunadamente, este enfoque es solo una parte del plan defensivo que toman estas compañías. Google recompensa a las personas que descubren fallas de seguridad en Chrome, y no es el único gigante tecnológico que usa esta táctica.
Las empresas de tecnología propietaria gastan miles de millones en hacer que su software sea seguro. No dependen por completo del humo y los espejos para alejar a los tipos malos. En su lugar, confían en el secreto como solo la primera capa de defensa, reduciendo la velocidad de los atacantes al dificultarles obtener información sobre el sistema en el que buscan infiltrarse.
El asunto es que a veces la amenaza no proviene del exterior del sistema operativo. Microsoft alivia las preocupaciones de privacidad de Windows 10. Microsoft alivia las preocupaciones de privacidad de Windows 10 Antes del lanzamiento de la Actualización de creadores, Microsoft está abordando las preocupaciones de privacidad de las personas con respecto a Windows 10. ¿Esto será suficiente para apaciguar a los defensores de la privacidad? Lee mas . El lanzamiento de Windows 10 mostró a muchos usuarios que el comportamiento indeseado puede provenir del propio software. Microsoft ha intensificado sus esfuerzos para recopilar información sobre los usuarios de Windows con el fin de monetizar aún más su producto. Lo que hace con esa información, no lo sabemos. No podemos echarle un vistazo al código para ver. E incluso cuando Microsoft se abre, sigue siendo vagamente útil.
¿Es mejor la seguridad de código abierto?
Cuando el código fuente es público, hay más ojos disponibles para detectar vulnerabilidades. Si hay errores en el código, se piensa, entonces alguien los detectará. Y no pienses en colar una puerta trasera en tu software. Alguien se dará cuenta y lo llamarán.
Pocas personas esperan que los usuarios finales vean y tengan sentido del código fuente. Eso es para que lo hagan otros desarrolladores y expertos en seguridad. Podemos descansar tranquilos sabiendo que están haciendo este trabajo en nuestro nombre.
¿O podemos? Podemos dibujar un paralelo fácil con el gobierno. Cuando se aprueban nuevas leyes u órdenes ejecutivas, a veces los periodistas y los profesionales del derecho escudriñan el material. A veces pasa desapercibido.
Errores como Heartbleed nos han demostrado que la seguridad no está garantizada. A veces, los errores son tan oscuros que pasan décadas sin ser detectados, a pesar de que el software está en uso por millones (por no decir que esto no sucede en Windows también). Puede tomar un tiempo descubrir peculiaridades como presionar la tecla Retroceso 28 veces para omitir la pantalla de bloqueo. Y el hecho de que muchas personas puedan ver el código no significa que lo hagan. De nuevo, como a veces vemos en el gobierno, el material público puede ser ignorado simplemente porque es aburrido .
Entonces, ¿por qué Linux es ampliamente considerado como un sistema operativo seguro? ¿Linux es tan seguro como crees? ¿Linux es tan seguro como crees? Linux a menudo se promociona como el sistema operativo más seguro al que se puede acceder, pero, ¿realmente es así? Echemos un vistazo a diferentes aspectos de la seguridad informática de Linux. Lee mas ? Si bien esto se debe en parte a las ventajas del diseño de estilo Unix, Linux también se beneficia de la gran cantidad de personas invertidas en su ecosistema. Con organizaciones tan variadas y diversas como Google e IBM para el Departamento de Defensa de EE. UU. Y el gobierno chino. El gobierno chino tiene una nueva distribución de Linux: ¿es algo bueno? El gobierno chino tiene una nueva distribución de Linux: ¿es buena? Ubuntu Kylin es un giro muy personalizado de Ubuntu Linux, creado por el gobierno chino, dirigido a usuarios chinos. A diferencia de otros proyectos Linux basados en el gobierno, ¡Ubuntu Kylin es bastante bueno! Lea más, hay muchas partes invertidas para mantener el software seguro. Dado que el código está abierto, las personas son libres de realizar mejoras y enviarlas de vuelta para que otros usuarios de Linux se beneficien. O pueden mantener esas mejoras por sí mismos. Código abierto vs. Software libre: ¿Cuál es la diferencia y por qué es importante? Código abierto vs. Software libre: ¿Cuál es la diferencia y por qué es importante? Muchos asumen que "código abierto" y "software libre" significan lo mismo, pero eso no es cierto. Le conviene saber cuáles son las diferencias. Lee mas . En comparación, Windows y macOS se limitan a las mejoras que provienen directamente de Microsoft y Apple.
Además, aunque Windows puede ser dominante en los escritorios, Linux se usa ampliamente en servidores y otras piezas de hardware de misión crítica. A muchas compañías les gusta tener la opción de hacer sus propias correcciones cuando hay mucho en juego. Y si usted es verdaderamente paranoico, los sistemas operativos Linux para el paranoico: ¿cuáles son las opciones más seguras? Sistemas operativos Linux para el paranoico: ¿cuáles son las opciones más seguras? El cambio a Linux ofrece muchos beneficios para los usuarios. Desde un sistema más estable a una amplia selección de software de código abierto, estás en un ganador. ¡Y no le costará ni un centavo! Lea más o necesite garantizar que nadie está controlando lo que sucede en su PC, solo puede hacer eso si puede verificar qué está haciendo el código en su máquina.
¿Qué modelo de seguridad prefieres?
Existe un consenso general de que los algoritmos de encriptación deben estar abiertos, siempre y cuando las claves sean privadas. ¿Cómo funciona el cifrado y es realmente seguro? ¿Cómo funciona el cifrado y es realmente seguro? Lee mas . Pero no hay consenso de que todo el software sea más seguro si el código estuviera abierto. Esta ni siquiera es la pregunta correcta para hacer. Otros factores afectan la vulnerabilidad de su sistema, como la frecuencia con que se descubren los exploits y la rapidez con que se solucionan.
No obstante, ¿la naturaleza de código cerrado de Windows o macOS te hace sentir incómodo? ¿Los usas de todos modos? ¿Lo considera una ventaja, no un perjuicio? Chime in!