¿Para cuándo una supervisión completa en GNU/Linux a nivel de seguridad?

2014 está siendo posiblemente uno de los años más negros para GNU/Linux, siendo dejado en evidencia en varias ocasiones, con unos fallos de seguridad que están perjudicando seriamente la reputación del sistema operativo, tradicionalmente considerado como “seguro”.



Sin embargo han habido dos grandes problemas que han dejado muy dañada esa fama de “seguro”, Heartbleed y Shellshock, que han hecho temblar los mismísimos cimientos de Internet.

¿Qué está pasando?

Esa esa la pregunta que muchos nos hacemos, ¿qué ha pasado?, ¿qué se ha hecho mal para que ahora a GNU/Linux le saquen los colores por toda partes y que sea el hazmerreír de los fans de Microsoft? La respuesta está en Heartbleed, no tanto en el fallo en sí, porque no tiene nada que ver, al menos en un principio, con Shellshock, pero si en cómo se ha mantenido OpenSSL, que ha estado durante años totalmente desatendido.

Se puede decir que GNU/Linux, y los universos Unix y Unix-like en general, han sobreestimado sus fuerzas a nivel general, tirando mierda ante el lapidado por malaware Windows en vez de esforzarse en mejorar. Estos excesos de confianza y autocomplacencia han provocado que muchos proyectos críticos a nivel de seguridad no hayan tenido un manteamiento correcto, haciendo que ahora estamos viendo el resultado, un sistema operativo que a nivel de seguridad hace aguas por todas partes, guste o no.

La dispersión, otro enemigo en contra de la seguridad

El problema de GNU/Linux es que no es un sistema operativo “monolítico”, como lo son OS X y Windows, sino es un sistema derivado de la unión de diversas herramientas que pertenecen a distintos proyectos y entidades. Esto hace que cada desarrollador sea responsable de su parte, sin que haya nada que coordine esos esfuerzos. Por desgracia la naturaleza heterogénea y desunida de GNU/Linux juega en su contra en este aspecto, ya que todo esto hace que se requieran de más esfuerzos para supervisarlo todo, o que haya proyectos que acaben semiabandonados porque quienes estaban detrás ya no lo están tanto o bien se han quitado de en medio.

De hecho tanto las herramientas del proyecto GNU, como el kernel Linux, pueden ir por separado. Lo primero puede ser implementado en otros kernels, como la familia BSD o el difunto Hurd, mientras que del segundo ya hay varios proyectos conocidos que lo implementan sin las herramientas de GNU como interfaz, como por ejemplo Android, Chrome OS o Tizen.

Viendo el panorama, está más que claro que GNU/Linux necesita una supervisión a nivel de seguridad en su totalidad. El problema viene a la hora de repartir responsabilidades, que si esto es del proyecto GNU, que si esto es de la Fundación Apache, que si esto otro es de la Linux Foundation, y al final todo va a desembocar en una guerra de piedras que lo único que hará será provocar las risas de la competencia, sobre de Microsoft, quien puede sacar pecho de todo lo ocurrido, ya que tanto Heartbleed como Shellshock no le han afectado, al menos no en un principio.

Conclusión

Algunos de los problemas de siempre están empezando ya a dañar GNU/Linux, posiblemente de forma irreversible, y es que aunque no tenga nada que ver, otros problemas como por ejemplo el tema de Mir y Wayland puede terminar partiendo en dos el soporte de tarjetas gráficas, siendo otra muestra de lo perjudicial de la falta de unión.

Divide y vencerás, esa ha sido la consigna de la competencia para hundir a GNU/Linux, y parece que lo está consiguiendo, ya que a los distintos proyectos y entidades que hay tras este sistema operativo les pesa más sus disputas internas que el luchar por un bien común, que cada día parece más y más lejano.

El acoso sistemático al que ha sido sometido Microsoft a lo largo del tiempo la ha preparado mejor para estos casos que las distintas empresas y comunidades tras GNU/Linux, que han basado buena parte de la seguridad del sistema en una simple marca y no en hacer bien su trabajo, una política más bien propia de Apple, muy dada a esgrimir el is Unix para tapar sus carencias.

GNU/Linux necesita menos romanticismo, menos autocomplacencia, y más autocrítica para afrontar los próximos desafíos, ya que parece que aquellos que decían que GNU/Linux haría aguas a nivel de seguridad a la mínima que tuviese popularidad tenían razón.

Comentarios

  1. La gracia será cuándo GNU/Linux caiga y deje de existir, porque van por ese camino. Si no hacen nada ese será el resultado. He dicho. Y me da pena que eso pueda ocurrir, aunque antes de que pase esto en RHEL, Canonical y SUSE harán algo antes de que pase esto, bien con una fuerte estandarización de este y dejarse de tonterías con el software libre o que si es Unix.

    ResponderEliminar
    Respuestas
    1. Mira que atizo a GNU/Linux en este blog, y aunque reconozco que mi actitud no es muy constructiva, intento mostrar a mi manera las carencias de este sistema operativo.

      Pero si atizo a GNU/Linux, lo hago por dos motivos. Uno, porque no es una persona, ni ningún ser vivo, segundo, porque me apasiona este sistema operativo, me encanta, y no soy un masoca, no lo usaría si no me gustara.

      El problema es que en GNU/Linux hay una élite que no escucha a nadie, que se muestra autista y alejada de la realidad, que no encaja las críticas ni aunque sean constructivas y fundamentadas (TyOS no es un ejemplo de esto).

      Esta élite siempre ha pensado que GNU/Linux era el mejor sistema, y no, no lo era, no en el desktop, donde ha mostrado muchísimas carencias a lo largo del tiempo, y hasta el mismísimo Linus Torvalds ha reconocido que la experiencia del GNU/Linux desktop es mejorable, pero ante todo esto la respuesta siempre ha sido la misma, ombliguismo y autocomplacencia.

      Ahora, cuando la hora de la verdad llega para GNU/Linux, el sistema hace aguas por todas partes, los cimientos no son sólidos, se necesita concentrar esfuerzos, coordinación, en fin, crear de una vez unos buenos cimientos, pero ahí tenemos al Tea Party del Unix libre defendiendo lo indefendible.

      Ahora que me vengan con libertades y romanticismo, que si hippies rebeldes luchando contra el capitalismo mientras bifurcan proyectos para cambiar el color y bla, bla, bla. No señor, se necesitan corporaciones que canalicen y concentren los esfuerzos, no hay otra, la realidad es esa, guste o no.

      Eliminar
  2. autocomplaciencia como la de la FSF en su comunicado?
    https://fsf.org/news/free-software-foundation-statement-on-the-gnu-bash-shellshock-vulnerability

    ResponderEliminar
  3. No comparto para nada el articulo (y lo comento porque me compete mucho el tema) de Eduardo Medina. Para empezar OSX tampoco es monolitico como lo es Windows, hace uso de bash tambien y tambien tiene la falla y NI SI QUIERA tiene actualizacion a la fecha.

    Tambien hace uso de sudo y muchas cosas del mundo BSD y GNU.

    El problema de Linux, si es que asi se puede llamar, no es tal, no necesita una supervision general, porque eso lo hacen los frikis genios locos de lugares como seclist, Solar Designer el mas destacado con su distro openwall, y tantos otros especialistas en seguridad, que son un BATALLON de especialistas, que ni la Linux Foundation ni nadie podria dar, mejor que cualquier ingeniero preparado, porque respiran seguridad esos tipos y por suerte estan del lado de Linux, no en contra. Me gustaria que Eduardo mire en full disclosure de seclist como comenzo el tema de bash.

    Lo de bash ocurrio porque no existe calidad de codigo, algo que si existe en FreeBSD, y eso se demuestra tambien en lo que paso con el fallado GCC 4.9 solo que claro como no era un error de seguridad nadie le dio importancia solo torvalds que no paro de putear por dicho error.

    La filosofia de calidad es un tema de la idiosincracia de Linux vs BSD, lo mismo pasa entre distros, asi como algunas como Openwall se centran en eso, o bien Slackware, otras se centran en la usabilidad o belleza (Ubuntu y Elementary OS respectivamente).

    El tema de OpenSSL es un rancho aparte, ese proyecto hace años no deberia existir, y lo digo porque si hasta Google abrio los ojos asi como Theo de OpenBSD, es porque realmente ese codigo es basofia y mejor empezar desde cero.

    Existe una distro Linux de hecho que YA incorpora LibreSSL, en mi blog esta explicada a grandes razgos, y es una rolling release.

    La pregunta mejor seria, no porque esta fallado Openssl, sino porque no se busco una alternativa antes?, facil... Linux nunca se centro en la seguridad, era seguro y LO ES, en eso discrepo con Eduardo, porque asi es su diseño, pero claro si vamos a comparar, digamos que por cada 10 fallos en Linux o mejor dicho GNU/Linux, hay 5 fallos en FreeBSD y 1 en OpenBSD, lo que sucede es que ya lo dijo Torvalds, ellos no ven los bug de seguridad como fallos especiales sino como fallos comunes, y AHI radica el problema. Linux no se centra en la seguridad, tampoco en la calidad, sino en la velocidad de desarrollo.

    Esos son los motivos desde mi punto de vista, aun asi sigue siendo mas seguro que Windows, o quieren mirar cuantos 0day tiene Windows sin que se sepa o que demoran 3-4 dias en solucionarse?

    ResponderEliminar

Publicar un comentario

Entradas populares