21 mayo 2008

En quién confiar?

Poco a poco parece que se van calmando los ánimos después del bombazo informativo que supuso la noticia de que las claves criptográficas SSL de debian eran vulnerables. Después de que nos contaran la noticia y de que nos aclarasen algunas dudas al respecto, probablemente todos habremos actualizado ya nuestras claves y respiraremos tranquilos tras comprobar que nadie ha utilizado la vulnerabilidad para hacerse con nuestros sistemas.



Y ahora, cuando ya ha pasado la ola, es cuando algunos pueden empezar a notar la resaca. Debian era una distribución reconocida, de prestigio. ¿Sigue siéndolo después de este incidente? ¿Se puede seguir confiando en debian? ¿Existen alternativas más confiables? Es posible que este tipo de preguntas le hayan surgido a más de uno (de hecho, en los comentarios de esta versión de la noticia tenemos un buen ejemplo).



Mi punto de vista es que este hecho, o cualquier otro de caracter similar, no debería suponer prácticamente ningún cambio en la opinión que teníamos de un determinado producto software. Que aparezca una vulnerabilidad crítica no es algo excepcional, y que sea explotable remotamente tampoco es tan raro. Ni más ni menos de lo que lo era antes. La probabilidad de ocurrencia existe, no sólo en debian sino en cualquier producto software, y que haya ocurrido una vez no cambia nada. Cualquier código tiene fallos, independientemente de que estén o no publicados. La probabilidad de que existan fallos de esta gravedad depende principalmente del propio producto, de su complejidad, tamaño, características y proceso de "fabricación". Que se publiquen tiene tanto de negativo como de positivo, pero no afecta a la "seguridad" del propio producto, sino a la probabilidad de que se intente explotar.



¿En conclusión? Que si queremos valorar la seguridad de debian, o de cualquier otra cosa, nos olvidemos del incidente de moda. Era tan probable que se incendiase un rascacielos antes de que se quemara el Windsor como después. No debemos dejarnos llevar por nuestra percepción del riesgo. Si hasta el incidente habíamos confiado en ese producto, sería por algo, no? Habrá que pensar en ese motivo, y analizar si sigue siendo válido. Y ojo, que la estadística suele jugar malas pasadas. Que no haya salido un 6 en ninguna de las tiradas de dados que hemos hecho no quiere decir que en la siguiente no pueda salir, ni tampoco que salga una de cada seis veces...

No hay comentarios: