El Senado de los Estados Unidos emitió una propuesta la semana pasada según la cual utilizar software de empresas rusas en agencias gubernamentales debería estar prohibido salvo en un caso: el que esas empresas cedan su código fuente. Ceder el código fuente de estas herramientas plantea amenazas evidentes: ya no es la empresa la que controla por completo el desarrollo de esas aplicaciones y servicios, y agencias gubernamentales y de inteligencia podrían utilizar ese código para explotar vulnerabilidades.
Comentarios
#3 pues yo le quitaba algún punto y coma y que busquen
Pregunta
¿Y cómo saben que el código fuente cedido es el mismo que el utilizado?
#1 ¿compilando y ejecutando?
#3 Eliminas la parte del programa que tiene el spyware del código fuente
#6 Compilas, sacas el hash de los binarios, y comparas ambos.
Si es reproducible[1], deberían ser iguales. Si no lo es, no se puede saber.
[1] https://en.wikipedia.org/wiki/Deterministic_compilation
#7 El hash se podría atacar y conseguir ficheros que devuelvan el mismo hash. Si ademas del hash comprueban el tamaño y el contenido del fichero bit a bit, es cuando pueden determinar que los ficheros son iguales.
#7 #12 Si partes de que los resultados son idénticos hasta pueden hacer una comprobación de todo el archivo bit a bit. El mayor problema será ese, supongo que el resultado de la compilación dependerá de muchas cosas, si añades diferentes versiones, actualizaciones, etc, etc, pues no sé hasta que punto será útil pero si confiamos en que las intenciones son buenas, pues quizás sea mejor eso que no hacer nada.
#13 ya no solo versiones, simplemente los flags que utilices al compilar un mismo fuente producen que el binario sea diferente aunque a alto nivel haga exactamente lo mismo.
#1 Supuestamente con sumas de comprobación de los archivos, aunque se ha demostrado que dichas sumas de comprobación pueden ser falseadas.
#1 Yo se fuera un super hacker ruso aprovechaba para metersela doblada, ya sea mediante algún tipo de virus que estuviera escondido en el código fuente o con información de vulnerabilidades "falsa" que dejaran algún tipo de rastro cuando intentaran usarlas.
Aviso que no soy informático y no se si sería posible, pero es lo que se merecerían todos aquellos que intentan controlar el software para vulnerarli y espiar a sus propios ciudadanos.
Dicho esto, la propuesta del Senado me parece más que acertada. Hay que ser bastante idiota para meter en ordenadores gubernamentales programas privativos de otro país, sabiendo que estamos en la época de los "hacker funcionarios". Cuando los rusos empezaron a dejar el Windows me pareció adecuado, y ahora también.
#1 Si no funciona su exploit bombardean su casa.
el software open source funciona así, y no es menos seguro que el de código cerrado.
Ser open source no indica que sea más o menos seguro, y seguramente, puedes explorar vulnerabilidades escaneando el código
fuente, pero hay mucho software open source al nivel del comercial o superior (y también mucho peor)
#4 a ver, si eso no seria problema si se obligase a liberar el código, pero lo que quieren son puertas traseras frescas y day0 por lo de las filtraciones de la NSA de swadow broker
Porque luego el kafre que tienen de presidente lo publicará en su twitter.
El peligro radica en querer controlar las puertas traseras del software, de forma que puedan explotarlas a su antojo.
Lo han hecho antes y lo van a seguir haciendo. Ahora dependerá de que esa empresa evalúe realmente lo que sería perder esa parte del pastel gubernamental en licencias y si le compensa eso.
Vuelve la guerra fría entre Rusia y Estados Unidos, de vuelta al pasado, los comunistas que son el diablo, pero eeeh!, si ya no es un problema de misiles nucleares....entonces está clarísimo que tanto los americanos como los rusos están usando otro tipo de "armas", y el resto de la comunidad internacional calla.