Francesc Xavier Vendrell – Senior Security Consultant

Vim o Emacs? L’eterna pregunta. La gran guerra. Hi va haver una època que, o eres de VIM, o eres de EMAC. Rius de tinta i hores de teclat i pantalla es van perdre en aquesta confrontació. Se la va conèixer com la “guerra d’editors”. I si em pregunteu a mi, jo prefereixo… bé, deixem guerres passades per fer front a les guerres actuals.

I aquí obriré un meló. EL MELÓ! LA NOVA GUERRA.

SOFTWARE PRIVATIU O SOFTWARE OPEN SOURCE

I aquí la gran pregunta que ens fem avui en dia els informàtics i les empreses, parlant des de la perspectiva de la seguretat. I abans de continuar, vull separar el concepte de “Open Source” del de “gratuït”. Perquè també existeixen programes no Open Soure que són gratuïts (pocs, però existeixen).

Cada empresa que visito té els seus informàtics. I cada informàtic té les seves opinions sobre quin tipus de software és més segur. I jo no ho tinc tan clar…

I tot això ve per les últimes vulnerabilitats que ens han afectat aquest any.

Comencem amb les de Exchange (software privatiu)… Va ser una massacre… vaig arribar a veure Exchange amb cryptominat, amb ransomware, malware, robatori de dades… Tot un panorama.

Van seguir algunes menys “explotades” de Microsoft (cua d’impressió), alguna de Chrome, alguna d’Apple, alguna de Linux, alguna d’Adobe, alguna de Fortinet… fins a arribar a final d’any amb el Log4j (Open Source). Una altra del calat de l’Exchange o pitjor…

A tots els llocs couen faves…

I després d’un any tan entretingut, em venen una sèrie de preguntes:

És millor un software tancat, que possiblement ningú més que ells pot veure el codi font, o un software Open Source que tot el món pot veure el codi font, PERÒ QUE ES DEMOSTRA QUE NINGÚ EL MIRA (la llibreria Log4j 2.x va aparèixer el 2014… I estem a 2021)?

És millor tenir tècnics de l’empresa que han fet el software i que tu has pagat el producte perquè ho revisi i l’arregli, o és millor que sigui la comunitat, que en les seves estones lliures ho faci?

Per què molt de l’Open Source té suport, i no el solem pagar? Però, en canvi, és normal pagar pel software privatiu?

Posem l’exemple del VMWare vCenter.
Software de pagament que utilitza les llibreries
Log4j. Qui és el “responsable” d’aquesta
vulnerabilitat: VMWare, que cobra als
usuaris per utilitzar l’vCenter, o els
programadors de la llibreria que ho fan a
les seves estones lliures (són un parell o tres
programadors, que fora-d’hores de
treball, mantenen aquestes llibreries que estan
sota llicència Apache.)?

Al final hi ha partidaris del software de pagament, i partidaris de l’Open Source. El que està clar és que es troben i s’exploten vulnerabilitats en els dos entorns. I com més s’utilitzen, més greus solen ser les conseqüències d’aquestes vulnerabilitats; no tant el nombre d’elles o la seva gravetat.

LA MEVA OPINIÓ és que existeix en tots els llocs software dolent i software bo. I perquè molt bo que sigui, podrà tenir vulnerabilitats a cada tros de codi que un programador faci. Que l’Open Source, per molt que es pugui analitzar, no s’analitza; ningú l’analitza. S’utilitza i punt. I el privatiu, el mateix…

Si a mi em deixen escollir un software privatiu o un Open Source, intentaré que els dos tinguin suport, i si l’Open Source no el té, se l’haurà de fer un mateix amb recursos propis. O paguem amb diners o paguem amb hores de tècnics… que al final també són diners. Però no podem esperar que ho facin “altres” en les seves estones lliures. Necessitem que quan es trobi un “forat” es tapi ràpidament. I a la primera…