Forums:
Hola a todos
Un cordial saludo.
Estoy entendiendo que el Gobierno del Ecuador, como política de estado para las instituciones públicas, ha dispuesto la no adquisición de software bajo licencia y la implementación de soluciones de software libre.
En el tema relativo a la seguridad perimetral, protección de amenazas yo me pregunto lo siguiente:
Sabiendo que el software libre u Open Source es una gran iniciativa, no deja de ser un trabajo de voluntarios. A quién se le reclama en casos de una falla de seguridad?
Quién se dedicará a trabajar en un centro de operaciones en donde se realizarán investigaciones y evaluaciones para obtener nuevos patrones (o firmas) de nuevas amenazas?
Está listo el software libre para evitar ataques de día cero? Nuevos métodos de explotación de vulnerabilidades? Intrusiones no autorizadas?
Quién responde? Qué garantías existen?
Muchos saludos
Un cordial saludo.
Estoy entendiendo que el Gobierno del Ecuador, como política de estado para las instituciones públicas, ha dispuesto la no adquisición de software bajo licencia y la implementación de soluciones de software libre.
En el tema relativo a la seguridad perimetral, protección de amenazas yo me pregunto lo siguiente:
Sabiendo que el software libre u Open Source es una gran iniciativa, no deja de ser un trabajo de voluntarios. A quién se le reclama en casos de una falla de seguridad?
Quién se dedicará a trabajar en un centro de operaciones en donde se realizarán investigaciones y evaluaciones para obtener nuevos patrones (o firmas) de nuevas amenazas?
Está listo el software libre para evitar ataques de día cero? Nuevos métodos de explotación de vulnerabilidades? Intrusiones no autorizadas?
Quién responde? Qué garantías existen?
Muchos saludos
Open source es más que "voluntarios"
Pasando al tema de la seguridad perimetral, muchas de las soluciones de bajo costo y otras de no tan bajo costo son basadas en linux, no es otra cosa que un linux con una interfaz gráfica o un cliente de escritorio mediante el cual puedes crear entre otras cosas reglas de iptables haciendo clicks, configurar acls en squid, vpn, etc.
Un X producto llámese gateprotect, fortigate, sofos, etc sea o no basado linux no podría decirse 100% open source sólo porque su núcleo sea linux, ya que ellos agregan interfaces gráficas u otras funciones cuyo código no es "open".
Cualquiera sea el producto que quieras adquirir, deberá tener una empresa detrás, quien haga actualizaciones y a quien puedas solicitar soporte, firmas de comportamiento de amenazas nuevas, sandboxing, etc.
Yendo un poco más allá, te comento que por seguridades del protocolo https no es cacheable ni se puede "urgar" en su tráfico para obtener estadísticas o aplicar filtros, muchos productos solventan este inconveniente mediante la instalación de un certificado ssl en los navegadores de los clientes para poder interceptar su tráfico y aplicar las reglas establecidas, no es algo fácil de hacer cuando tienes muchos usuarios pero en teoría no hay otra forma de hacerlo.
Saludos.!
------------
Cogito Ergo Sum
La falla de seguridad no es
Lamentablemente estamos acostumbrados a adquirir soluciones que supuestamente hacen todo. Y olvidamos que al cerebro hay que entrenarlo. Ahora lo mejor es tratar de invertir en mejorar el conocimiento, capacitarse, entrenarse y hacer muy buen uso de lo que el software libre nos puede brindar. Esto aplica incluso para cuando se compran soluciones yolohagotodoytunonecesitashacernada. Es penoso ver cómo se compran a veces soluciones y no se aprovecha ni el 10% de lo que hacen, porque no se sabe utilizar.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Muchas preguntas, muchas
A quién se le reclama en casos de una falla de seguridad? Pues si contrataste a una empresa con soporte y demás, pues a la empresa, si seleccionaste una solución basada por completo en la comunidad, pues, en primer lugar te reclamas a ti mismo por haber hecho la selección, paso seguido o en paralelo, haces el respectivo reporte a la comunidad para que se tome en cuenta el descubrimiento que has hecho y estás atento a la respuesta y parches para aplicarlos, te comento que comunidades fuertes, tienen tiempos de respuesta ante incidentes, incluso mejores que algunas corporaciones. Nuevamente aplica lo del párrafo anterior, una corporación o una comunidad ... En muchos casos si, ejemplos se han dado en implementaciones de protocolos, estándares, etc en SL u OS versus sus contrapartes en Software Propietario, los tiempos de respuesta han sido la mayoría de las veces mejores en las implementaciones de SL u OS, otros comerciales como la Moco$oft, incluso no cierran sus vulnerabilidades y no responden a solicitudes de usuarios ... Nuevamente, vamos al párrafo inicial, responde la empresa a la que contratas, a la cual puedes demandar si quieres (a eso me suena el Quién responde?), a una comunidad dudo que puedas demandar, o eso sentaría un precedente que no me quiero imaginar, en cuanto a las garantías, las que te de la empresa que contratas o la licencia del software implementado, normalmente dice algo como:
This software is provided "as is" without express or implied warranty.
Es decir, sin garantías implícitas o explícitas, ah y por cierto, el párrafo anterior ha sido tomado del texto de una licencia de Moco$oft ...
bye
}:-)