Francesc Xavier Vendrell – Senior Security Consultant

¿Vim o Emacs? La eterna pregunta. La gran guerra. Hubo una época que, o eras de VIM, o eras de EMAC. Ríos de tinta y horas de teclado y pantalla se perdieron en esta confrontación. Se la conoció como la “guerra de editores”. Y si me preguntáis a mí, yo prefiero… bueno, dejemos guerras pasadas para afrontar las guerras actuales.

Y aquí voy a abrir un melón. ¡EL MELÓN! LA NUEVA GUERRA.

SOFTWARE PRIVATIVO O SOFTWARE OPEN SOURCE.

He aquí la gran pregunta que nos hacemos hoy en día los informáticos y las empresas, hablando desde la perspectiva de la seguridad. Y antes de continuar, quiero separar el concepto de “Open Source” del de “gratis”. Porque también existe programas no Open Source que son gratis (pocos, pero existen).

Cada empresa que visito tiene sus informáticos. Y cada informático tiene sus opiniones sobre qué tipo de software es más seguro. Y yo no lo tengo tan claro…

Y todo esto viene de por las ultimas vulnerabilidades que nos han afectado este año.

Empezamos con las de Exchange (software privativo)…. Fue una masacre… llegue a ver Exchange con cryptominado, con ransomware, malware, robo de datos… Todo un panorama.

Siguieron algunas menos “explotadas” de Microsoft (cola de impresión), alguna de Chrome, alguna de Apple, alguna de Linux, alguna de adobe, alguna de Fortinet,… hasta llegar a final de año con el Log4j (Open Source). Otra del calado del Exchange o peor…

En todos los sitios cuecen habas…

Y después de un año tan entretenido, me vienen una serie de preguntas

¿Es mejor un software cerrado, que posiblemente nadie más que ellos pueda ver el código fuente, o un software Open Source que todo el mundo puede ver el código fuente, PERO QUE SE DEMUESTRA QUE NADIE LO MIRA (la librería Log4j 2.x apareció en 2014…. Y estamos en 2021)?

¿Es mejor tener técnicos de la empresa que han hecho el software y que tú has pagado el producto para que lo revise y lo arregle, o es mejor que sea la comunidad, que en sus ratos libres lo haga?

¿Porque mucho del Open Source tiene soporte, y no solemos pagarlo? Pero en cambio normal pagar por el software privativo?

Pongamos el ejemplo del VMWare vCenter.
Software de pago que utiliza las librerías
Log4j. ¿Quién es el “responsable” de esa
vulnerabilidad: VMWare, que cobra a los
usuarios por usar el vCenter, o los
programadores de la librería que lo hacen en
sus ratos libres (son un par o tres
programadores, que fuera de horas de
trabajo, mantienen esas librerías que están
bajo la licencia Apache.)?

Al final hay partidarios del software de pago, y partidarios del Open Source. Lo que está claro es que se encuentran y se explotan vulnerabilidades en los dos entornos. Y cuanto más se usan, más graves suelen ser las consecuencias de estas vulnerabilidades; no tanto el número de ellas o su gravedad.

MI OPINIÓN es que existe en todos los sitios software malo y software bueno. Y que por muy bueno que sea, podrá tener vulnerabilidades en cada trozo de código que un programador haga. Que el Open Source, por mucho que se puede analizar, no se analiza; nadie lo analiza. Se usa y punto. Y el privativo, otro tanto…

Si a mí me dan a elegir un software privativo o un Open Source, intentare que los dos tengan soporte, y si el Open Source no lo tiene, se lo tendrá que hacer uno mismo con recursos propios. O pagamos con dinero o pagamos con horas de técnicos… que al final también es dinero. Pero no podemos esperar que lo hagan “otros” en sus ratos libres. Necesitamos que cuando se encuentre un “agujero” se tape rápidamente. Y a la primera…