El día 6 de Julio del 2020 un twitt de Arturo Misael Vazque me hizo el día, a mi y al resto de informáticos en Twitter, hizo unas declaraciones muy desafortunadas, que bien podrían valer para 1996 o 1998 cuando Microsoft no amaba a GNU/Linux, básicamente revivió una flamewar que asegura que el código privativo es mas seguro por obscuridad. El comentario fue el siguiente:
Soy Consultor de TI, en informatica no hay nada mas peligroso que un programa de código abierto, por que cualquier desarrollador puede ingresar y modificarlo para beneficiar a terceros.
No es aceptado ni permitido, es invitar a un fraude y retroceder.
Un comentario muy desafortunado por el contexto en el que estamos, posiblemente relacionado con algo que twitteo Perla Tapatía , aunque ya nunca podremos saber pues cerro su cuenta. Todo parece indicar que el tema inicial fue sobre las urnas electrónicas del ine para ejercer el voto y posiblemente haya salido el tema del software libre o tendría alguna relación pues fue cuando Arturo, salió con su desafortunado comentario.
Al referirse a sí mismo como consultor causo que verdaderos consultores informáticos y profesionales salieran a decir cosas como:
* Dime cómo se llama tu empresa de consultoría para no contratarte
* Hola Arturo, código abierto significa que todos pueden colaborar y utilizar el código, no así que todos tienen permisos sobre el repositorio. Lo que tienes que hacer es limitar la forma en la que se pushea código, implementar code reviews y pull requests. Saludos.
* Falta que tú les permitas ese acceso al código (abierto o cerrado) que tú hayas puesto en tus servidores.
El Twitt original esta en: https://twitter.com/MisaelVazque/status/1280354639402029058
Incansables respuestas llegaron para decirle que no sabia del tema del que habla, sin embargo, lejos de entender o darse cuenta del error que había cometido contesta con:
Como se puede ver es un intento de defenderse aún más desafortunado que el original, pues él está hablando de código en su empresa, que por cierto dicho sea de paso esa practica es muy mala, terrible que si de mi dependiera lo despedía de inmediato sin importarme las buenas intenciones que pudiera tener con la empresa pues, no hay nada peor que un tonto con iniciativa, todo código debe pasar por al menos 3 fases, la cuales es el desarrollo, sandbox y producción, por lo que se lee el pasaba directamente a mover código de producción para meterlo en producción sin probar nada en sandbox, como era de esperarse al mostrarse que no conoce de su trabajo por su respuesta le fue peor en los comentarios, lo mejor habría sido salir del twitter y no contestar mas pero cual meme de la casa de los dibujos de morocha amorocha con su celebre frase de “ y la perra seguía y seguía … “ soltó otro twitt aún peor
Un hacker, sea chino o mexicano sin problemas podría mapear las tablas de su db si encuentra una inyección SQL, mostrando de nueva cuenta mucha ignorancia en el tema
La opinión de Last Dragon
Creo que Arturo nunca ha trabajado con software libre, no lo entiende, pero se hace llamar consultor de tecnologías de la información. No se da cuenta que todo eso lo ha twiteado desde su Android, un sistema operativo con software libre, es decir, o no entiende, es mentira que es un consultor o es un hipócrita, pues en su palma de la mano usa un dispositivo con mucho software libre integrado en el. Tal vez el contexto de su reaccionar es que a todas luces se nota que e es un AMLOVER, en el 2020 la popularidad de Andrés Manuel no esta en su mejor momento, tal vez en un intento de defender al señor presidente termino dándose un balazo el pie
El argumento de Arturo es simple, como todos pueden ver el código fuente entonces es inseguro, otra cosa que todos pueden ver como código fuente es OPENSSL o LibreSSL con lo que funciona muchas paginas bancarias, voy a dejar este hash cifrado y a esperar que a que alguien lo hackee pues en palabras de Arturo con el código fuente de OpenSSL seria suficiente.
Mensaje para el futuro donde tal vez una computadora cuántica lo descifre la llave es de 8192 bits / 1024 bytes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==
Llave publica con la que fue cifrado, si tan solo tuvieras la llave privada = (
—–BEGIN PUBLIC KEY—–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—–END PUBLIC KEY—–
Arturo por favor lee el código de OpenSSL y deja un comentario con el texto original.
Código abierto vs código cerrado ( obscuridad )
Código Abierto
Es cierto que todos podemos ver el código, eso significa que si alguien de alguna forma pudiera encontrar la manera de poner un código de malware en cualquier proyecto, millones de ojos lo verían y eliminarían el código inmediatamente, la comunidad no permite que cualquiera modifique pero si quien modifica hace algo desleal, no pasaría prácticamente nada de tiempo antes que el resto de la comunidad alerte y corrija el problema.
Código cerrado, seguridad por obscuridad.
Ciertamente los programadores no tienen acceso al código, pero un hacker eso no le importa, porque puede debugear y descompilar un programa a su código original ejemplo: ALEX TORRES TORRESCRACK EXPLICANDO EL RETO CRACK 2007 Esto significa que se puede recuperar el código original, escribir un malware en el recompilar y la comunidad no sabría que ese ejecutable incluye un malware, no tiene que ser un hacker, un gobierno le puede pedir a una empresa como Microsoft que inyecte código para la NSA y al venir cerrado la mayoría de gente no podrá ver que trae puertas traseras, los virus adjuntan su código binario al código de un programa sin requerir del código fuente.
El resultado es obvio gana:
La seguridad por auditoria de código la da el código abierto la ventaja
Tres frases para el bronce:
1) “No hay nada mas peligroso que un programa de código abierto”
Arturo Misael Vasque
Pseudoinformático, graduado en la Universidad de la Vida.
2) “If I take a letter, lock it in a safe, hide the safe somewhere in New York, then tell you to read the letter, that’s not security. That’s obscurity. On the other hand, if I take a letter and lock it in a safe, and then give you the safe along with the design specifications of the safe and a hundred identical safes with their combinations so that you and the world’s best safecrackers can study the locking mechanism—and you still can’t open the safe and read the letter—that’s security”
Bruce Schneier
Segundo párrafo del prefacio de su libro “Applied Cryptography, Second Edition: Protocols, Algorithms, and Source Code in C”
3) “No hay nada peor que un tonto con iniciativa”
LastDragon, alguien que sabe pensar.