Conclusiones Ekoparty: Debian SSL y la Ley de Linus

Seba Bortnik —  7 octubre 2008 — 2 comentarios

Publicado originalmente en el blog de Openware

Una de las charlas más esperadas de la Ekoparty, fue la que Luciano Bello brindo (junto a Maximiliano Bertacchin) bajo el título “Debian’s OpenSSL random number generator Bug“. Para aquellos que no estén familiarizados con el bug, explicado, de forma muy simple, (más info) fue un error en un paquete de Debian que hacía que la generación de claves aleatorias no era tan aleatoria (las diferentes alternativas eran muy bajas) y, por lo tanto, se generaba un terrible agujero de seguridad por la facilidad para realizar un ataque de bruteforce sobre los certificados generados bajo esta distribución (o sus derivados). Así se presentaba la charla:

El último 13 de mayo, el proyecto Debian anunció que Luciano Bello había encontrado una vulnerabilidad en el paquete OpenSSL. Este paquete había sido distribuido durante los 2 últimos años. El bug consistía en la predicción de Generador de Números Aleatorios que afecta a todas las claves generadas por openssl y otros programas que utilicen libssl. Hablaremos sobre este bug, sus efectos y sus consecuencias.

Aunque la mayoría de los asistentes ya estaban en diferentes medidas enterados sobre el problema (que había sido bastante mediático), la presencia del mismo Luciano explicando en persona generaba altas expectativas. Y en mi caso, ya lo dije, superó mis expectativas. En primer lugar, por la capacidad de Luciano para dictar la charla con dinamismo y humor. Sabemos que es común encontrar, entre “techies” charlas de alto nivel técnico pero con muchas falencias en oratoria, dinámica y otros componentes relacionados. No fue el caso de Luciano. En segundo lugar, porque además de explicar el bug y contarnos a todos cómo fue que llegó a encontrarlo, Luciano cerró la presentación con un espacio reflexivo que también muchas veces es omitido, limitando las presentaciones a la información técnica, indispensable pero, a mi criterio, no suficiente.

Casualmente ayer aparecía otro fallo, producto de los modelos de desarrollo de software libre y bastante más curioso. Parece que alguien se valió de una noticia no confirmada, e hizo que todos los que usamos Linux en Argentina, veamos mal nuestra hora. Incluso muchos usuarios de Google habrán visto mal su calendario, por ejemplo. El problema ya tiene un parche aunque no aún en sus repositorios oficiales o automatizado.

Entonces ahora sí, volvamos a las preguntas que disparaba Luciano en su charla, y que invito a reflexionar nuevamente. La presentación finalizaba recordando algo que muchos usuarios de software libre deberían conocer, la Ley de Linus. La misma, deriva de una frase de Linus Torvalds que dice algo así como dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios“. La pregunta que se hacía Bello en la Eko era si esta ley es tan real como muchos usuarios de software libre preferimos pensar.

Evidentemente, la cantidad de ojos no influye en la calidad de un software. Evidentemente, que el código esté disponible no garantiza, como indicaba Linus, que los errores sean encontrados. Y este, lamentablemente, es un argumento muy utilizado por los defensores del software libre. De hecho, se repitió hasta el cansancio esta idea en el último evento de Software Libre en la ciudad de Rosario.

Me parece que este caso, obliga a toda la comunidad del software libre a re pensar sus ideas.

La pregunta que le hacía a Luciano después de la charla (se la quise hacer en vivo pero no me supe expresar) es que quizás, la Ley de Linus sea cierta, pero haya pocos ojos mirando. En ese caso, el problema se reducía a que el software libre no está tan difundido y que cuando sea muy difundido, la Ley será cierta. Luciano no coincidió y me convenció 😉 . Es decir, es verdad que más ojos ayudan pero el problema no está en la cantidad, sino en la calidad. “Lo que faltan son ojos críticos“, me decía Luciano. Si logramos más usuarios, habrá más ojos críticos, pero será un tema de probabilidad, y no de calidad.

Cierro con una pequeña opinión personal: como dice Luciano este fallo nos muestra que las cosas no son solo por un modelo. Que el modelo del software libre sea mejor para encontrar errores, no significa que no los haya. Y como defensores del software libre debemos ser realistas y objetivos para difundir. Caso contrario, logramos el efecto contrario, que la gente note por un único error (grave pero uno al fin y todos los SO han tenido errores graves) sienta que se le miente al invitarlos a usar y probar este grandioso mundo del software libre.

Pido por favor dejar de lado aquellos oportunistas que utilicen estos fallos para esgrimir (como ya se hizo en su momento) argumentos muy extremistas como “el software libre no sirve” o “el software privativo no tiene fallos, el libre sí”. Por favor, privativistas abstenerse. 😉

Para el resto, se escuchan opiniones…

Anuncios

2 comentarios para Conclusiones Ekoparty: Debian SSL y la Ley de Linus

  1. 

    Ja! yo no actualicé esta máquina, pero si la de mi novia… y muestra la hora erróneamente… (me maté cambiando la config de la bios, revisando la pila y demás xD). Mañana lo arreglo (ahora está apagada).

    En cuanto a la Ley de Linus, ya la tengo presente… y si, es uno de los argumentos que suelen criticarme cuando lo comento.

    Un profesor me dijo algo parecido a esto de que no ‘hay tantos ojos de calidad’ mirando, por lo que el problema existe. Aún así, creo que la mejor defensa en este caso, es que “al menos” existe la posibilidad de mirar el código.

    En el caso de una plataforma cerrada, uno nunca sabe si tal o cual componente tiene tal o cual falla, y puede pasar todo el ciclo de vida de un producto sin siquiera darse cuenta (a menos que el desarrollador lo corrija y mande actualización). Por tanto, pese a que existen pocos ojos ‘de calidad’ en el SL, es necesario resaltar … como dije antes… que al menos se puede (que se haga o no, es otro tema).

    Para cerrar, creo que con la venida de nuevos usuarios a la plataforma, no aseguramos que estos se conviertan en ojos críticos, pero si que más empresas comiencen a aportar su granito de arena para sacar rédito de este ‘territorio’, y ese granito… seguramente será uno o más desarrolladores que tendrán ojo crítico como para saber “moverse” por el código, y detectar fallas que pudiesen perjudicar los negocios de la empresa para la que trabajan a futuro (beneficiando con sus correcciones, por tanto, a la comunidad entera).

    Solo eso… espero algún día poder asistir a la Ekoparty, me encanta la seguridad informática, pero medio como que se complica demasiado viajar ($i $e entiende, je).

    Saludos!

Trackbacks y pingbacks:

  1. Federico Almada » Blog Archive » Horario cambiado en Ubuntu/Debian/etc para Argentina - octubre 8, 2008

    […] me entero por Sebastián que hubo un problema con el paquete tzdata (alguien lo actualizó indebidamente, pasando a -02, en […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s