¿Es tu software de seguridad open source menos seguro?

Por Jim Fruchterman

¿Es tu software de seguridad open source menos seguro?
Daniel Blanco

¿Es tu software de seguridad open source menos seguro?

por:

"Tu software de seguridad es de código abierto ( open source ); ¿Provoca ello que sea menos seguro?"

Esta es una pregunta recurrente que nos hacen en  Benetech sobre  Martus, nuestro herramienta libre, de encriptación fuerte para recolección y administración de información sensible provista por el programa  Benetech Human Rights Program. (programa Benetech de Derechos Humanos). Es una pregunta importante para nosotros y para todos los pares que desarrollan software de seguridad en la era y el entorno "post-Snowden" sobre temor y preocupación sobre vigilancia. Creemos fuertemente que no solamente el código abierto es compatible con la seguridad digital, sino que además es esencial para ello.

El software de seguridad es como una caja fuerte

Déjenme explicar la analogía:

Piensen en la encriptación como una una combinación segura para sus datos. Uds pueden ser los únicos que tienen la combinación, o Uds pueden confiarla sólo a unos pocos asociados. El éxito de una caja fuerte es mantener a la gente no autorizada imposibilitada de acceder a su contenido. Pueden ser ladrones intentando robar información valuable de negocios, empleados tratando de conocer información confidencial sobre salarios de sus colegas, o un estafador que quiere acceder a la misma para perpetrar una estafa. En todos los casos, querremos tener esa caja fuerte para mantener nuestras cosas seguras y lejos de personas no autorizadas.

Digamos ahora que yo elijo una caja de seguridad para mis valores. ¿Elijo la Número Uno que se publicita teniendo paredes de media pulgada de acero, una pulgada en la puerta, seeis bolillas bloqueantes y está testeada por una agencia independiente para confirmar que el contenido sobrevivirá por dos horas durante un incendio? O, me inclino por la Número Dos, la que cuyo fabricante simplemente dice que se puede confiar, porque sus detalles de diseño son secretos? Podría ocurrir que la caja número Dos esté hecha de una lámina fina de metal, o podría ser que sea más fuerte que la número Uno... pero el punto es que no tengo idea.

El éxito real de la seguridad

No existe tal cosa como la seguridad perfecta. Las publicidades de "seguridad inviolable" prometen más de lo que pueden entregar. Por lo tanto el éxito de bloquear sus valores no es hacer que ellos sean imposibles de robar , sino más caros de robar . Ya sea en términos monetarios  (mejores herramientas cuestan más), tiempo, o la posibilidad de ser enviado a la cárcel.

Mientras más se eleve el costo de violar una caja de seguridad, más seguros sus valores estarán.

Saber las especificaciones, de una caja de seguridad, y en consecuencia que implica violarla, no la hace menos segura. Saber que las paredes son de media pulgada de espesor puede ayudar a un ladrón a saber qué herramientas requiere para cortar el acero, pero el conocmiento no hace que sea menos costoso hacerlo. Una caja de seguridad bien diseñada con una combinación difícil de adivinar, disuadirá más atacantes.

La analogía de la caja fuerte con el diseño abierto es directamente aplicable al diseño de software.

Así como con la caja de seguridad, la seguridad de una herramienta de software con encriptación fuerte, no será comprometida por ser de código abierto o software libre. De hecho, la visibilidad del código fuente fortalecerá la seguridad, y por extensión la seguridad y privacidad de sus usuarios.

Aquí está el porqué: Si el código es público y libremente disponible para revisión, entonces los usuarios finales, sus expertos y la comunidad de software libre en conjunto pueden verificar que el software hace exactamente lo que dice hacer, y que no hay "puertas traseras". En un mundo donde la hipervigilancia es la norma, es natural que los usuarios insistan en el compromiso de transparencia por parte de los desarrolladores de software. Esto es especialmente crítico en la defensa de los derechos humanos, activistas, periodistas, sociedad civil y otros actores sociales cuya seguridad digital y física tienen un enlace muy cercano.

Parece una paradoja que abrir el código, en realidad lo haga mas confiable. Como realizadores de herramientas, nuestro éxito no es mantener el diseño de software secreto, pero sí en su lugar protejer la confidencialidad de la información confiada al software. Como lo muestra la analogía de la caja de seguridad, la fortaleza de la seguridad de un software, depende de la calidad del diseño y de la dificultad de adivinar las contraseña. Con un diseño potente, accesible publicamente, el otro elemento clave en la seguridad es exhortar a los usuarios a elegir contraseñas fuertes y no obvias. La combinación de un diseño seguro y una contraseña confidencial hacen que ni siquiera los atacantes bien equipados y más dedicados puedan acceder a la información confidencial alamacenada en el software de seguridad de código abierto.

Así como la caja fuerte más segura podría eventualmente ceder a un atacante dedicado con muchos recursos y tiempo, el software de seguridad podría hacerlo también, ante unataque similar. El éxito del sofware de seguridad es elevar el costo de dichos ataques al punto donde los atacantes raramente lo molesten... ¡Preferirán atacar a un vecino menos seguro!

Poniendo el código abierto a trabajar

En Benetech, creemos que la colaboración y la comunidad ayudar a desplegar seguridad mas potente. Aquí el código abierto colabora con el desarrollo y hace más fácil colaborar e incorporar innovaciones existentes e importantes. En el caso de Martus, no necesitamos reimplmentar bibliotecas de criptografía, ya que usamos una muy potente, de código abierto (Bouncy Castle). Así mismo, no hemos necesitado reinventar herramientas de anonimato, ya que integramos Tor dentro de  Martus. De esta manera, nuestros usuarios se benefician de la comunidad entera, que soporta su trabajo con mejores herramientas digitales.

La mayoría de los fondos tecnológicos para los grupos de derechos humanos, han llegado a la conclusión de que el software de código abierto y libre, es más confiable para los activistas a los que quieren soportar y proteger. Alguno de ellos como el Open Technology Fund, están promoviendo activamente a sus beneficiarios que tengan sus sistemas auditados por expertos de terceras partes, y están sosteniendo con fondos estas auditorías.

Con mayor transparencia, contabilidad y verificabilidad, las colaboraciones tienen seguridad más potente. La ola del software libre nos mueve hacia ese logro.

Autor de la nota: Jim Fruchterman

Nota original AQUI. Traducción por Daniel Blanco
Odoo text and image block