Hace unos días leí la siguiente noticia desde computer world Venezuela:
http://www.cwv.com.ve/index.php?option=com_content&task=view&id=312&Itemid=1
Antes que todo quiero felicitar a Panda Security Venezuela por su exitos de negocio en Venezuela, busque su website oficial pero no cuentan con un website para Venezuela y el motivo de este post no es el de atacar a nadie y simplemente lo considero mi derecho a replica, su gerente la señora Roxana Hernández, dice en la respectiva noticia:
“Muchos ( clientes ) están migrando a Software Libre pues dicen que no les hace falta el producto, pero muchos vuelven y se dan cuenta que sí son atacados. Tenemos estadísticas de Malware en Software Libre, tenemos mucho desarrollo en este aspecto. Aquellos que no están protegidos dentro de una detección en Tiempo real no van a llegar a ningún lado y nosotros tenemos el producto ya desarrollado y ofrecido comercialmente“.
Lo cual para mi es un claro ejemplo de FUD, que en su definición en resumen es para quien no lo sepa:
“FUD (del inglés, Fear, Uncertainty and Doubt, «miedo, incertidumbre y duda») es una expresión con la que se califica a una determinada estrategia comercial consistente en diseminar información negativa, vaga o sesgada con el objeto de perjudicar a un competidor. El término se originó para describir las tácticas desinformativas en la industria de la computación, desde donde se ha adaptado para distintos campos.”
Y por mera clarificación de conceptos voy a definir lo que es malware:
“Malware (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en o dañar un ordenador sin el conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría encontramos desde un troyano hasta un spyware.”
Desmintiendo el FUD:
Quien es un usuario de GNU/linux de forma regular, se habrá dado cuenta que para instalar algún determinado programa o software en su computador con GNU/linux independientemente de la distribución que use la misma provee un ( o unos ) repositorio ( o repositorios ) de software empaquetado por personas que son colaboradores directos de la distribución, para todo el software que se descarga debe proveerse el código fuente ( si no, no sería software libre según la licencia GNUÂ ), este software es revisado por miles de personas y si en algún momento algún empaquetador o desarrollador de software libre osara dejar algún código maligno en su programa, además que podría ser en algún momento descubierto ( precisamente por contar con el código fuente ) vería seriamente dañada su carrera profesional con lo cual no creo que alguien llegara a arriesgarse.
La mayoría de las distribuciones modernas ( al menos Fedora lo hace ) firma sus paquetes con una llave GPG para validar la autenticidad del paquete y que no ha sido modificado por terceros luego de ser distribuido a los usuarios ( esto garantiza seguridad ) y al menos cada distribución implementa un proceso similar.
Es muy difícil por no decir prácticamente imposible que un programa distribuido bajo la filosofía de software libre aloje algún tipo de malware o código malicioso.
Pero y que de los programas que no son software libre y que la gente instala por ser de uso general?
Bueno estos programas ya no pueden llamarse software libre y al no disponer del código fuente muy poco podemos controlar lo que su desarrollador ( o desarrolladores ) colocan en el mismo, sin embargo programas con skype o el plugin de flash indican claramente en sus websites que sus programas no alojan ningún tipo de malware.
Sin embargo el mismo sistema de archivos de GNU/Linux prevee que cada archivo en el sistema ( y en GNU/linux todo es un archivo incluso el hardware ) tenga una lista de control de acceso y una permisología definida, cualquier archivo que se descargue desde internet no tiene permisos de ejecución por lo cual por defecto es inocuo y aún así un usuario del sistema lograra ejecutarlo realmente muy poco daño podría hacer en el sistema ( comparado con otros sistemas operativos ) por lo mucho podría hacer daño sobre aquellos archivos en los cuales el usuario afectado tiene privilegios.
Y si el usuario root ( administrador del sistema ) instala malware:
Bueno ya hasta acá no llega la protección, no podemos culpar a la falta de juicio de un usuario torpe por un daño sobre un sistema operativo que de caja viene seguro, sin embargo hoy en día existen herramientas como selinux o apparmor que proveen una capa extra de seguridad sobre el sistema operativo y encapsula el nivel de daño a un área limitada en donde prácticamente puede hacer un daño mínimo.
Sin embargo, debido a lo que dije anteriormente sobre la forma de distribución de software en GNU/linux y a la cantidad de software disponible es realmente poco probable que un usuario de GNU/Linux llegue a necesitar un software que no sea libre.
Y en linux existen virus?
Posiblemente, sin embargo eso es una leyenda urbana, aún no he visto el primero, sin embargo el software libre no está exento de errores de programación o bugs, pero debido a los sistemas de distribución de software en las distribuciones de GNU/Linux más populares el proceso de actualización es muy sencillo y el software libre cambia tan constantemente que posiblemente cuando un atacante consigue una vulnerabilidad seria ( las cuales son pocas y la gran mayoría de bugs se refieren a errores de funcionalidad ) posiblemente el software haya evolucionado a alguna versión nueva en donde dicha vulnerabilidad no está presente.
Y por que existen antivirus para GNU/Linux?
Hay múltiples antivirus para GNU/Linux sin embargo su campo de aplicación dista mucho de las razones por las cuales se implementan en otros sistemas operativos, acá por lo general se usan para chequear archivos en servidores de archivos, servidores de navegación o servidores de correos, para evitar que máquinas por lo general con Microsoft Windows se contaminen pasándose virus entre ellas a través de estos servicios ( nunca estos servidores se contaminan por dichos virus a pesar de alojar un archivo contaminado ).
Y por que se genera el FUD?
Puede ser por múltiples razones, sin embargo la más resaltante es la de sembrar dudas sobre un posible cliente haciendo ver mal a la competencia, es normal en empresas de software “importantes” empleados aprovechándose de la credibilidad en la industria de su empresa, traten de minimizar a la competencia difuminando opiniones sin fundamento y en detrimento de las mismas con el único fin de sembrar dudas en su cliente en favor del producto que venden y debido a que en el Software Libre no se cuenta con un modelo de negocio con una maquinaria publicitaria como alguna de las grandes empresas de software el mismo resulta ser un blanco fácil para este tipo de prácticas.
De hecho en Venezuela debido al decreto presidencial 3390, muchas empresas de software propietario que estaban acostumbradas a hacer negocios con el estado ( generalmente transnacionales ) y que no se amoldaron a los nuevos requerimientos se vieron gravemente afectadas y han estado recurriendo con frecuencia a estas prácticas.
Para citar un ejemplo, hace un buen tiempo ( algo más de un año ) se estaba viendo la posibilidad en el sitio donde trabajo de implementar un software administrativo, entre todas las empresas que licitaron a la final se decidió por una ( Merideña por cierto ) y me pasaron el broshure del producto para que lo evaluara, al comunicarme con el desarrollador ( el vendedor no tenía ni idea de las preguntas que necesitaba hacerle ) y hacerle una pequeña encuesta el resultado fue el siguiente:
- Lenguaje de programación: Visual Fox Pro ( obviamente no es software libre y es muy difícil controlar la licencia de cada librería que está presente en el código para decir que a pesar de tener el mismo su totalidad es libre ).
- Base de Datos: MsSQL ( y el carajo esperaba que instalaramos un Windows 2003 server para su software, jajaja ).
- Cliente multiplataforma?: No, a según podía ser emulado con wine para ser usado en GNU/Linux ( pero no estaba comprobada su funcionabilidad ), pero emulación =! software multiplataforma.
- Licencia: Indeterminada, el software no tenía un claro licenciamiento y más bien tenia una licencia de uso propia en la cual se nos daba el código fuente y se nos permitía modificarlo a nuestras necesidades ( por ser un cliente gubernamental ), para uso propio, no podíamos hacer público el software y las modificaciones y se nos prohibía hacer nuevas instalaciones del mismo para terceras partes, lo cual va en contra de cualquier definición de lo que es un software libre y la empresa decía abiertamente en todas sus cartas de intención que su sofware es completamente libre.
Por ética me reservo las ganas de nombrar a la empresa y obviamente su producto no fue seleccionado, pero quise citar este ejemplo simplemente para dar a conocer el tipo de prácticas que actualmente se generan en Venezuela para tratar de hacer pasar gato por liebre las empresas de software propietario para vender su software al estado.
Como conclusión:
Cada día debemos estar más atentos a este tipo de prácticas y no desfallecer nunca en el proceso de difusión del software libre en todos los ámbitos de la sociedad con el fin de educar a todo el mundo y sobre todo a las gerencias de tecnología de los entes públicos para que sepan bien como diferenciar de posibles engaños.
Por eso es que iniciativas como el Foro Mundial de Conocimiento Libre, el Festival Latinoamericano de Instalación de Software Libre y el Congreso Nacional de Software Libre y las iniciativas gubernamentales iniciadas por el CNTI, son muy importantes para la sociedad en general y requieren de todo nuestro apoyo y aún más del estado para ampliar su impacto a toda la sociedad.
, otra cosa que me pareció interesante fue el enlace a los kits de inversores para celdas solares 
por lo que discerni que el termino “PIRATA” en realidad esta mal aplicado por estos.
