marzo 03, 2006

Los cerrajeros y la seguridad del software libre

Por segunda vez en mi vida, hoy me he dejado las llaves de casa puestas por dentro. Una putadilla, la verdad. La ocasión anterior, que vivía en un primero, pase desde la casa del vecino, pero claro, ahora desde un octavo, pues como que impresiona un poco más.
Así que el seguro de la casa nos ha mandado un cerrajero. En 20 minutos. Que aprendan algunas empresas de servicios...
Hemos subido el cerrajero y yo hasta la puerta de mi casa, y con otra llave le he enseñado que no podía abrir. Así que se iba a poner manos a la obra-puerta,...

Cerrajero:- ¿puedes bajar al descansillo?
Yo: - ¿ehh? (ya me lo imaginaba, pero me he hecho el loco)
- Sí, es por motivos de seguridad.
- Pero si es mi casa y mi puerta. No tengo ningún problema.
- Pero no puedes ver cómo abro la puerta, por seguridad.
- Vaya, pero entonces tampoco sabré como puedo asegurarla si lo necesito.
- Debes bajar al descansillo...
- ¿y no hay más gente que sepa cómo se abre una puerta?
- Pero a los cerrajeros no debes verlos por seguridad.
- Claro, y a los ladrones por seguridad tampoco, por su seguridad...
- ...
- O sea, que tú sabes cómo abrir cualquier puerta en un momento, y la forma de que no se sepa es no dejando ver cómo se hace.
- Más o menos.
- ¿no sería mejor que todos lo supiesemos, y que cuando realmente queremos que no nos abran podamos tomar medidas y asegurarnos?
- Pero entonces todo el mundo sabría abrir puertas muy fácil.
- Pero también sabría todo el mundo cómo asegurarlas, ¿no?
- ¿y entonces en qué trabajo yo?
- Bueno, habrá puertas que necesiten mayor especialización, conocimientos especiales, que no todo el mundo tendrá el tiempo de aprender. O te puedes dedicar a revisar las puertas para asegurar como experto que no tienen entradas fáciles...
Casi estuve por soltarle la célebre frase de "tu fallido modelo de negocio no sería mi problema", pero me contuve. :)
En fin, que al final me he bajado al descansillo, y no he visto como abría la puerta en menos de 10 segundos. Así que ahora tengo un dilema: Si siempre cierro con las llaves puestas por dentro, lo más probable es que me las vuelva a dejar. Si no cierro, algún malvado cerrajero podría entrar en mi casa sin que yo me entere, mientras duermo por ejemplo.

¿Qué es más seguro? ¿exponer el código fuente a la revisión de la comunidad? ¿o esconder los fallos tras el oscurantismo?
Si (expones) liberas el código fuente:
  • Los usuarios se aseguran de la funcionalidad de ese software es la indicada Y NO MAS.
  • Los usuarios más expertos pueden solucionar fallos de seguridad haciendolos públicos a su vez.
  • Los cerrajeros malvados pueden buscar fallos en el sistema desde dentro.
Si utilizas código "oscuro":
  • Los usuarios no conocen que hace realmente ese software en su máquina.
  • Los usuarios más expertos pueden indicar que encuentran fallos al mega-cerrajero que creo la puerta de la oscuridad del código.
  • Los cerrajeros malvados pueden hacer cosas curiosas con el software que los usuarios pueden ni enterarse y quizás no gustarles demasiado, como abrir una puerta especial para ellos mismos para cuando duermas...

Y al hilo de esto, a R. Galli le ha sucedido algo que tiene que ver con la seguridad de su producto estrella: sus clases de Sistemas operativos, ¡no!: Meneame. Es de software libre, y parece que un par de personas habían encontrado unas vulnerabilidades. Lamentablemente estos pájaros eran de los cerrajeros malvados y las han utilizado para pegarse una gracia en el portal.
Ahora bien, Ricardo ha publicado la correción enseguida, y ya está disponible para los cienes y cienes de clones de Meneame que han surgido. Código fuente, clarito, y disponible al momento.
De todas maneras, le recomendaré a Ricardo, que se lea los "Top 10" de los elementos a comprobar en la seguridad de las aplicaciones web, que parece que se le ha ido la mano justo con el primero, tal y como lo cuenta él: la comprobación de los parámetros de entrada. A ver si así se vuelve un poco más humilde... ;)

27 comentarios:

  1. Anónimo4/3/06 23:41

    Ser optimista es bueno. Pero lo tuyo es pasarse :-P

    ResponderEliminar
  2. Anónimo7/3/06 15:37

    El 95% de los cerrajeros usan una radiografía para empujar el pestillo y abrir la puerta. El otro 5% usa otras cosas finas y duras.

    No quieren que les veas porque la próxima vez que te dejes las llaves dentro irás a un conocido, le pedirás una radiografía, y la abrirás tu.

    ResponderEliminar
  3. Anónimo7/3/06 16:13

    Exacto, el tema es aun más perverso que el cerrajero malvado no dice: una puerta cerrada solo con el pestillo no está realmente cerrada. Nosotros creemos que sí, pero no. El pestillo se puede manipular de la forma habitual o con una radiografía. Pero realmente la puerta está abierta. Si damos la vuelta a la llave entra en juego el mecanismo que realmente cierra la puerta. Si lo supieramos seríamos al menos conscientes de cómo dejamos la puerta (ahora quiero dejarla abierta con el pestillo o cerrada con la cerradura. Por ejemplo si hay un enfermo dentro que no me va a poder abrir, quizá) Sin duda voto por código abierto.

    ResponderEliminar
  4. Anónimo#1: no seas iroóooonico.O lo he sido yo? :D

    Anonimo#2: !Acabas de arruinar a los cerrajerosss!!!

    Anonimo#3:Sin duda, en este campo de seguridad el código abierto lleva las de ganar. Y la prueba de que l errado no protege de nada, es... Microsoft.

    ResponderEliminar
  5. Voto a bríos que conozco profundamente la relación entre cerrajeros y software libre ^_^

    ResponderEliminar
  6. Para abrir una puerta que no esta cerrada con llave basta con pasar una radiografia (o trozo de vinilo flexible, plastico o trozo de garrafa de agua de las blancas, no de las azules, que se rompen...) entre la puerta y el marco.

    Este, hace entrar al pasador de la puerta y empujando se abre.

    Cabe cedir que el trozo de Radiografia (es lo mejor para usar) ha de ser mas ancho que el ancho del pestillo de la cerradura.
    | |
    _|_|___
    |XXX|_ \
    |XXX|_| |
    |XXX|__/
    | |
    | |

    No se si se vera bien el esquema, pero lo de las XXX representa la radiografia, las lineas verticales el marco y lo que hace forma de C al reves representaria la cerradura...

    Resumiendo, un cacho de radiografia mas ancha que la cerradura entera (por la duda) o un minitrozo que cobra el doble del pestillo si lo tenemos localizado.

    En puertas estilo oficina, esas en las que no hay tapajuntas y podemos ver lo que hay en el otro lado observando entre la rendija de la puerta y el marco, una visa bastaria.

    P.D.: Por supuesto, solo es posible abrir de este modo las puertas que habren hacia adentro.

    El "pestillo" me refiero a lo que atranca la puerta, que tiene forma de cuña, que deja cerrar la puerta, pero no la deja abrir, que normalmente se mete para dentro al meter la llave y girar para abrir.

    Si esta cerrada con llave, hay que barrenar la puerta, o en su defecto, taladrar el tambor de la cerradura para extraerlo y mover manualmente el mecanismo de apertura.

    (No soy cerrajero... por si lo preguntais!)

    ResponderEliminar
  7. Ja Ja He disfrutado leyendo vuestras elucubraciones.
    Lo cierto es que los cerrajeros no podemos dejaros ver cómo se abre una puerta por si os va mal el negocio informático y decidís pasaros al lado oscuro.
    Entre tanto puedes ponerte un cilindro embragado y te puedes olvidar las llaves todas las veces que quieras mientras tengas otras fuera.
    Saludos,
    Asiscenter.

    ResponderEliminar
  8. Hola Asiscenter, un cerrajero de verdad, eh? :)
    yo intentaba más bien hacer ver que hay que pasarse al software libre... espero haberte convencido!!!!! :D

    ResponderEliminar
  9. Anónimo2/9/06 00:17

    soy cerrajero y me ha gustado mucho lo que comentáis, es divertido ver como intentáis desmontar nuestro trabajo y no dejo que nadie mire por que no se a que os dedicáis, ni siquiera en vuestros ratos libres. Da igual que seáis jueces en misión judicial de desalojo de okupas, policías de servicio, que aún así no os dejare mirar por que si no de qué ´vivirian nuestros maximos explotadores "paginas amarillas", aquellos que nos cobran 1800 euros + iva por un rengloncito de 1 centimetro, no te quiero ni contar los que pagan 12.000 euros + iva por una pagina completa. Ni a ellos los dejo mirar, por que si no, aparte de cobrarme el pastón que pago, ellos abrirían sus puertas.

    ResponderEliminar
  10. Joserra: ya estaba convencido. Salvo por el güindows, todo lo demás es libre.
    Saludos

    ResponderEliminar
  11. Anónimo2/9/06 23:02

    Al final prefiero el software libre, es más relajante...
    Saludos a Joserra y Asiscenter

    ResponderEliminar
  12. Anónimo5/9/06 11:14

    blindoor, todos tenemos nuestras "páginas amarillas" ;)
    Cada uno vive de lo que puede o le dejan, jeje. Espero no haber hecho demasiado daño a vuestro gremio, :)

    Salu2!

    ResponderEliminar
  13. Anónimo7/9/06 16:52

    Para nada Joserra, hay muchos cerrajeros que se merecen que los entierren por ser unos verdaderos atracadores, pero si que es verdad que no deberíais desvelar secretos para evitar que clientes despechados se echen a la mala vida del atraco. La policía por ejemplo nos aconseja que no haya nadie presente en las aperturas. Nosotros somos de valencia y hay cerrajeros desaprensivos que permiten ver a los clientes como abren sus puertas, de echo se han dado casos en comunidades que los espectadores robaban a gente de la misma finca.
    Bueno a lo que íbamos "viva el software libre"
    Chao

    ResponderEliminar
  14. hola soy un cerragero de gerona"girona" y creo que de verdad los malos no somos nosotros,la jente save que abrimos muchas puertas al dia!es un serbicio!24horas que tenemos muchos casos distintos es una manera de estar tranquilo que no das malas ideas!tu pagas un servico! privado y tiene su metodo de trabajo,que da mas profesionalidad.el servicio que pides se te cunple! y no es 10 segundos sienpre;y al tema de tu seguridad,piensa que es una rueda si tu saves yo pongo algo mas! no es ese el tema el temas es que no ayan ladrones si no los cerrageros lo diras! te pidio los papeles de tu casa? en fin mucha suerte a todos

    ResponderEliminar
  15. Anónimo8/9/07 01:33

    si queres saber sobre el oficio te diria que estudies, si por cada cosa que te pase vas a preguntar como se hace?? te diria que lo hagas vos, y para saber si el cerrajero es de confianza tienes que pedirle su matricula, y los 2 juntos dirijirce auna dependencia policial y labrar un acta, por que el cerrajero tampoco sabe si ese es tu departamento.gracias

    ResponderEliminar
  16. Qquique cerrajero valencia pero ayer vi abrir una moia a un 24 horas y me averguence y se porque atodos nos tratan igual pero los profesionLES SOMOS PROFESIONALES

    ResponderEliminar
  17. lo primero que hago cuando requieren mis servicios es pedir documentacion y tomar nota del dni en el parte de trabajo que hago y una vez abierto escritura o contrato de alquiler,si no llame usted a otro,una vez en su casa me da igual que me vea poque no hago magia,uso tecnicas que con radiografia o sin ella(yo no la uso)se pueden aprender y si usted aprende y paga su licencia le felicito,a mi me encanta mi profesion a pesar de las ingratitudes que tiene,y de lo poco valorados que estamos lo profesionales por no ir a la universidad para esto,en cuanto a los precios el mercado es libre,por cierto tengan cuidado cuando vaya al dentista,o al notario,o al medico especialista,o a la pitonisa que cobran barato y de paso nos enseñan

    ResponderEliminar
  18. Anónimo4/8/09 19:09

    BUENO YA SE QUE ESTA PUBLICADO DESDE HACE MUUUUCHO TIEMPO.

    Lo 1º es que si te mandan al rellano es por seguridad y oblicacion .Al cerrajero le da igual lo que tu sepas y no sepas. Ti eres quien le has llamado para abrirte la puerta, no para enseñarte como se abre.Si quieres aprender haz cursillos, que de 400 € no bajan

    Lo 2º las herramientas pueden ser las mas caras compradas a un comercial de wurt o hechas en su propia casa mientras escucha musica en la radio.
    es una de las cosas del cerrajero se complica la cabeza para hacer los trabajos lo mas limpio posible, sin romper y rapido.

    ResponderEliminar
  19. Menuda disputa entre lo profesional o no de un cerrajero que deja o no, ver cómo hace su trabajo. En mi caso (soy cerrajero de Orizaba, Veracruz; México), dejo ver, pero no demasiado, uno va aprendiendo que a los clientes les gusta mirar (solo así se sienten satisfechos con lo que pagan), pero hay forma de dejar ver sin ver. (Cubriendo con las manos, el proceso que se está haciendo, ó enredandoles en pasos innecesarios en ocasiones que se repara una cerradura). La seguridad es primero, y sobre todo, la seguridad del cliente. Por ejemplo: Si un cirujano deja ver a su paciente cómo le opera (si éste pudiera estar consciente mientras lo hace), ¿corre el riesgo de que el paciente después destripe a alguien más ó se destripe solo?, y lo peor... ¿éste podría reclamar al médico después?. Me ha ocurrido que alguien me reclama una "garantía" luego de querer reparar por sí mismo el fallo (se le llama "hacerle al héroe"). No tengo nada en contra de quien quiera aprender, siempre que lo haga profesionalmente y no solo viendo, hay asociaciones a las que acercarse en cada país, que disponen de cursos muy buenos, además de las herramientas adecuadas. No todo en cerrajería se resuelve con radiografías, aunque pueden ser útiles, incluso un gancho para colgar la ropa, un alfiler ó un lazo hecho con una cuerda cualquiera. Lo importante, es el conocimiento (del que nace la improvisación). En el tema automotriz, se pone más delicado y complicado, los equipos suelen ser mas caros y complejos, y para comprarlos uno debe acreditar ser cerrajero establecido. ¿Que hay si alguien ve como se hace?, no por ello, tendrá posibilidad de comprar un equipo programador de códigos, por ejemplo. ¿Software Libre?... depende, si se sabe lo que se hace, es excelente, si no, más vale tener un respaldo, un soporte. Muchas veces, es más dañino saber infiltrarse en una cuenta de banco con un username y un password (generado u obtenido mediante algún programa oculto en otro), que saber abrir una casa con diez cerraduras, con o sin llave puesta (Sin mencionar las cajas fuertes). Así que si uno tiene el suficiente conocimiento para detectar algún ataque de éste tipo dentro de un software "libre" y diferenciar uno bien intencionado y útil, de otro que solo quiere hacernos daño o instalarnos algún troyano, adelante, es una excelente opción en pro del desarrollo. Un saludo a todos los cerrajeros que participaron, y a los que no son cerrajeros, también. Un abrazo.

    ResponderEliminar
  20. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  21. A propósito, olvidé mencionar un letrero que pienso poner en mi taller:

    ---------------------------
    Apertura de auto: $300.00 a $500.00 (Depende Marca, Modelo y Año de Fabricación)

    Si Ud. VE: $1,500.00

    Si Ud. AYUDA: $2,500.00

    (Precios en Pesos Mexicanos. No incluyen impuestos por facturación).

    ---------------------------
    Ahora si, me voy.

    Saludos!

    ResponderEliminar
  22. Existen muchas herramientas de las cuales se pueden aprender , En la internet hay mucha informacion sobre cerrajeria .

    ResponderEliminar
  23. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  24. Al final es importante contar con cerrajeros profesionales como los de esta empresa de Zaragoza

    ResponderEliminar
  25. buen articulo Si no tienes en que quien confiar, yo te recomiendo uno para que le des ese voto de confianza al Cerrajero Vic uno de los mejores y con disponibilidad para emergencia 24 horas

    ResponderEliminar
  26. Excelente informacion y podes conseguir Cerrajeros en Madrid las 24 horas del dia.

    ResponderEliminar
  27. Los Cerrajero Urgente Madrid suministran, instalan y reparan cerraduras de casas, negocios y automóviles. Hacen llaves para que encajen en las cerraduras. Utilizan gran variedad de herramientas

    ResponderEliminar