Privacidad vs Seguridad

26 replies [Last post]
delaforce
Offline
Joined: 05/18/2014

Queria un poco abrir debate con el tema de privacidad o anonimato (mas alla a la privacidad) frente a la seguridad.
Usar replicant por ejemplo tiene ventajas ,pero... ¿nos protege de Stagefright o de Quadrooter?

https://derechodelared.com/2016/09/07/imagen-hackear-android/

trinux
Offline
Joined: 10/03/2009

Hola,

el debate privacidad (libertad) o seguridad es una falsa disyuntiva planteada por estados y corporaciones. No debemos caer entre una supuesta seguridad en detrimento de nuestra libertad.

Los fallos de seguridad han existido y van existir siempre. Lo importante es que el sistema operativo y/o programa reciba actualizaciones de seguridad y que tenga un tiempo de respuesta rápido ante un aviso de seguridad.

Un mal ejemplo lo tenemos en Trisquel Mini 7. Usa por defecto el navegador web Midori. Una versión antigua y que no recibe parches de seguridad alguno. Está notificado, pero lo(s) desarrollador(es) no mueven ficha.

https://trisquel.info/es/issues/20634

En el mismo "bug" se puede leer que es vulnerable a varios ataques bien conocidos a día de hoy.

Saludos.

Lightmoon

I am a member!

Offline
Joined: 12/16/2013

Coincido contigo trinux.

Saludos.

trinux
Offline
Joined: 10/03/2009

Otra práctica insegura de Trisquel en general es que mezcla todos los paquetes de nuestro upstream, Ubuntu, en un solo repositorio. Es decir tanto los paquetes de "Main" y "Universe" están mezclados.

Sin embargo hay que notar que los paquetes de "Universe" no reciben actualizaciones algunas; ni de seguridad por supuesto que es el caso de Midori.

https://help.ubuntu.com/community/Repositories#Universe

Y como comprobamos en el caso de Midori el equipo de Trisquel no se encarga de ello...

Saludos.

delaforce
Offline
Joined: 05/18/2014

Se puede arreglar eso? Es decir que solo coja paquetes Main (creo q es lo que dices)

trinux
Offline
Joined: 10/03/2009

Pues desde el punto de visto del desarrollo, supongo que sí...

SuperTramp83

I am a translator!

Offline
Joined: 10/31/2014

Solo quiero decir que no hay seguridad y no hay privacidad sin software libre y eso lo digo en absoluto: usted puede tener un sistema GNU que es libre por el 99.9%, ya basta una sola aplicacion privativa para destruir su privacidad/seguridad (skype por ejemplo o steam o lo que sea). La regla es: no instalar ningun software privativo, nunca.
De verdad podemos decir que no hay privacidad sin seguridad: una computadora que no es segura no puede otorgar privacidad al usuario y por esta razon la seguridad informatica es de primera importancia.
Hay pero que distinguir entre privacidad y anonimato, son cosas diferentes - es la diferencia entre una VPN y Tor...

trinux
Offline
Joined: 10/03/2009

+1 Resumen: No code, no trust!

vita_cell
Offline
Joined: 07/19/2015

Cabe incluir chips con backd00rs, un claro ejemplo son Intel, con su ME y AMT, antithief, y microcodigo. Te dicen "computacion de confianza" o "Trusted computing", hipocritas. Por no decir el dichoso UEFI, de verdad que hacia falta? Aunque corras todo el GNU con software privativo, siempre hay brechas, en programas de bajo nivel.

trinux
Offline
Joined: 10/03/2009

Se han cargado la arquitectura x86. Personalmente me llama la atención power8. Tiene un precio bastante prohibitivo para mi bolsillo la placa base ATX de Raptor. También está el muy interesante el proyecto EOMA68; apoyado en ARM.

Ahora mismo parece más realizable y económico EOMA68. Pero la potencia de power8 no tiene comparación. Son complementarios, sin duda.

vita_cell
Offline
Joined: 07/19/2015

x86 es mas corrupta que un politico. Las arquitecturas anteriores de PowerPC y Power8, on las que mas me atraen. La arquitectura Power siempre ha superado a x86, sobretodo en workstation.

SuperTramp83

I am a translator!

Offline
Joined: 10/31/2014

> Cabe incluir chips con backd00rs, un claro ejemplo son Intel, con su ME y AMT

Claro, pero esas son cosas sobre las que la mayoria de los usuarios no tiene algun control, o tal vez lo ignoran en total.. Yo estoy muy pero muy contento con mi laptop del 2003/04 (no tiene algun backdoor y viaja que es una maravilla con Xfce) y creo que con un X200 estarè feliz hasta el 2025 pues el software libre no està bajo el poder de lo que yo llamo "obsolescencia programada" y no hace falta una central electrica para hacer lo que necesita un usuario comun hehe ^^

vita_cell
Offline
Joined: 07/19/2015

Siento defraudarte, yo me estoy pasando a MATE, lo veo mas completo y estable (si, tambien tiene bugs).

Tu computadora no creo que tenga backd00r, computacion traicionera empezo en 2006, gracias Intel.

Nadie quiere Thinkpad, estan regalados para lo que ofrecen, como todo el mundo quiere Crapple, sus comptadoras obsoletisimas estan sobrevaloradas, lo explico: por lo que te vale un Macbook2,1 puede comprar 2 o 3 Thinkpads T400.

Personalmente, yo te sugiero si o si comprar un Thinkpad T400, a poder ser 1280x800 y con solo chip grafico Intel. Y si eso actualizarlo a T9600-T9900(este ultimo creo que se puede). Tambien soporta 8gb de ram, y corre mucho mas fresco que cualquier otra portatil, tiene disipador de cobre generoso, y un ventilador de calidad, facil de dosmontar y limpiar. T400 intenta comprarlo con retroiluminacion LED, te dara menos problemas y durara mas la lampara. Para saberlo, el truco consiste en mirar una etiqueta negra que tiene debajo, pone algo asi como "this laptop contains lithium battery" y si no sigue como "and lamp which contains mercury" entonces es LED.

Tienes razon, mira tengo equipos de Apple, que son todos PowerPC, que Apple ya abando hace muchisimo tiempo el soporte, sin embargo con software libre puedes tener todo el software al dia, reemplazando su mal llamado "El sistema operativo mas avanzado del mundo".

Con T400 tendras computadora para aburrirte, totalmente desmontable.

delaforce
Offline
Joined: 05/18/2014

Volviendo a Replicant .. ¿como va ser privado sino es seguro?. La base android de replicant es supuestamente vulnerable.

¿Me interesa mas tener un nexus que es lo menos privado que hay o un telefono replicant que no se actualiza en seguridad?

Y ahora un poco offtopic :

¿Que grado de codigo libre tiene Mint?. Leo mucho de sus actualizaciones diarias... y de que puedes elegir drivers graficos privativos o no.

Ignacio.Agullo
Offline
Joined: 09/29/2009

name at domain, Lun 12 Set 2016 19:03:58 CEST:

> Volviendo a Replicant .. ¿como va ser privado sino es seguro?. La
> base android de replicant es supuestamente vulnerable.

No entiendo lo que escribes. Quizás intentas preguntar "¿Cómo va
a ser respetuoso con la privacidad si no es seguro?". Si es así, has
entendido el problema al revés. Todos los códigos pueden ser
inseguros en cualquier momento, pero sólo los códigos abiertos pueden
ser confiables. La seguridad no es imprescindible para que el código
sea abierto, pero que el código sea abierto sí que es imprescindible
para que haya seguridad. Si quieres seguridad, es condición necesaria
que el código sea abierto; si no, no tienes nada. Evidentemente, esta
condición es necesaria pero no suficiente; no basta que el código sea
abierto, además hay que trabajar para que sea seguro.

Me uno a quienes dicen "Sin código no hay confianza".

------------------------------------------------------------------------
Ignacio Agulló · name at domain

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

delaforce
Offline
Joined: 05/18/2014

Si tienes razon en todo... lo que me referia es a la conveniencia entre 2 terminales q estan en los extremos de la seguridad/privacidad .Un nexus que repara las vulnerabilidades del kernel o un replicant que aunque permite privacidad no corregiria dichas vulnerabilidades.

Aforrado
Offline
Joined: 03/16/2015

Veo que todos caen aquí en el error garrafal de los supuestos. No supongan; le software libre, por el simple hecho de ser libre no es más seguro, puede LLEGAR a ser más seguro, pero su libertad no le añade seguridad.

Sin ojos que vean, sin manos que trabajen, sin cerebros que coordinen, nada se puede hacer. Es decir, sin usuarios, colaboradores, desarrolladores y demás. Muy libre puede ser un programa, pero puede estar lleno de errores de seguridad que mas por abandono que por falta de recursos no se corrijen.

Si, software libre y tal. Pero Trisquel tiene serios problemas que se ven únicamente en el software libre. Por que los encargados o los involucrados dicen tener "la libertad" de desentenderse de su compromiso y dejan de lado el software. Por eso el software libre jamás se verá como profesional, ni mucho menos servirá para su uso diario.

Las grandes cualidades del software libre se verán cuando los encargados se comprometan (y nos comprometamos, que ésto no va de pedir y pedir) con entregar un resultado estable y lo mejor pulido posible.

Ignacio.Agullo
Offline
Joined: 09/29/2009

name at domain, Mér 14 Set 2016 13:09:58 CEST:

> Veo que todos caen aquí en el error garrafal de los supuestos. No
> supongan; le software libre, por el simple hecho de ser libre no es
> más seguro,

Perdona, pero no creo que sepas de lo que hablas.

------------------------------------------------------------------------
Ignacio Agulló · name at domain

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

Aforrado
Offline
Joined: 03/16/2015

No, no hay necesidad de "perdón" alguno.

Pues sé perfectamente de lo que hablo y por qué lo hablo.

Para ponerte un poco en contexto es necesario que te pongas en los zapatos o en la situación de una persona que ha pasado 23 año de su vida, estudiando y creando una herramienta de software. ¿La patentarías? ¿La pondrías a la disposición del resto?

En serio, me parece muy dificil creer que todos ustedes que predican el software libre a bocajarro, lo empiezen a hacer con el ejemplo, es por ello que me parecen admirables las personas que aún con las condiciones más desfavorables logran crear el verdadero progreso.

Bien, ahora el por qué de lo que dije: El software libre, por ser libre si te brinda una seguridad técnica, teórica. Sin embargo, en un ambiente práctico, la balanza se inclina, y pues, las condiciones se dan en un 51% en contra. ¿Por qué? En TEORÍA, el Software Libre me brinda seguridad a un 100% respecto a otro modelo de software, pues tengo acceso a todo lo que "hace", pero, ¿y si no soy programador?, digamos que sí lo soy, entiendo el código, pero otra persona sin escrúpulos es mucho más hábil que yo y logra vulnerar el software, ¿tengo la misma seguridad? (nótese las definiciones por antonomasia de la palabra: seguridad). Ya llegados a éste punto, pongamos en otro plan al mismo proyecto (para darle más condiciones favorables al ejemplo). El proyecto es robusto, goza de buena salud y tiene a más de 100 colaboradores activos e involucrados en su desarrollo. Disputas, mi libertad termina donde empieza la del otro. Tengo una super actualización, y sé que mejora la funcionalidad del proyecto; mis 99 colegas restantes no le parece mi cambio, no les gusta mi trabajo. Yo decido explicar y dar a conocer los por menores y beneficios del mismo. Ahora son 10 personas que se unen a mí y apoyan en el cambio: El proyecto se disuelve y nosotros nos separamos, yo hera uno de los 3 desarrolladores principales y me llevo a 5 de los mejores colaboradores. ¿Sigue gozando de seguridad el software?. En este último caso se aplica el mismo principio del inescrupuloso, pues la discrepancia de valores o no trabajar en la misma sintonía es el principal motor de "discordia".

De verdad, tenemos la dicha de juzgar lo que pocos ven. Tenemos que aprovecharlo y mejorar aquello que se debe mejorar. Pues resulta que la libertad es algo que muy pocos entienden, otros pocos que la practican, y que casi nadie la vive. La libertad necesita de todos, la union hace la fuerza, es necesario que compartamos la misma base de principios y valores por que de lo contrario el caos reinará como lo ha hecho siempre.

trinux
Offline
Joined: 10/03/2009

?

SuperTramp83

I am a translator!

Offline
Joined: 10/31/2014

??

vita_cell
Offline
Joined: 07/19/2015

Hay software libre muy chapucero y/y desatendido o abandonado (ejemplo: Midori de Trisquel mini). Pero hay software libre que se folla a competencia propietaria.

trinux
Offline
Joined: 10/03/2009

Siempre va ser más seguro que el software privativo. No suponemos, lo sabemos por experiencia y hechos ya acontecidos. Especialmente por la seguridad por oscuridad tan empleada en el software privativo.

https://es.wikipedia.org/wiki/Seguridad_por_oscuridad

De hecho la seguridad por oscuridad es el hándicap más importante del software privativo. A día de hoy dicha afirmación está muy discutida.

La comisión europea va auditar varios proyectos libres. Y tiene pinta que es un programa que se va repetir en el tiempo.

http://lamiradadelreplicante.com/2016/07/21/la-comision-europea-auditara-keepass-y-apache/

Y un tercero recientemente acaba de auditar Conversations.

https://conversations.im/omemo/audit.pdf

Auditar software complejo como Apache, KeePass o Conversations no es algo trivial. Requiere recursos humanos importantes. Sin olvidar que auditar es una foto fija de dicho software en ese momento.

Saludos.

SuperTramp83

I am a translator!

Offline
Joined: 10/31/2014

Es muy simple de verdad: si no hay codigo fuente **nadie** puede saber lo que hace dicho software y por eso podemos decir que todo software privativo es malware, pues nadie puede comprobar lo contrario.
Confiar en software privativo es como confiar en un un hombre encapuchado..una bobada ^^

vita_cell
Offline
Joined: 07/19/2015

Yo diria mas bien, que todo software privativo es malware, no ves que no se pueden aguantar de meter puertas traseras y spyware dentro del codigo? fijate en Android, soretodo en Google Play, todo lo que contiene es spyware y malware. Es facil mentir, y la gente normalmente lo hace por conveniencia, egoismo e intereses.

SuperTramp83

I am a translator!

Offline
Joined: 10/31/2014

Stallman se refiere al software privativo como a "computing for suckers", es decir "informatica para bobos".
Usar software privativo es de lelos y la razon es simple de entender: cuando usas software privativo tienes que fiarte del programador, un tio que nunca viste/oiste, cuyo interes principal es ganar dinero y al que no le importa nada de ti y tan menos de tu libertad/seguridad/privacidad..
Contrariamente, cuando usan software libre (lo que los demas llaman "open source") deben fiarse solo del codigo fuente, es decir de ojos y mente.

Pego aquì un resumen para los anglofonos ^^

With closed source software, you need to have 100% trust in the vendor because there's nothing except for their morality in the way of them leaking your personal information. Even if you can vouch for their integrity, proprietary software invariably has more uncaught security bugs and exploits because there are fewer eyes examining the source code.

delaforce
Offline
Joined: 05/18/2014

Aqui teneis otra nueva oferta:

https://www.crowdsupply.com/design-shift/orwl

Con protecciones de todo tipo , pero cito:

Why Intel? Isn’t x86 Considered Harmful?
This project is about having a standard, physically secure computer that anyone can use – as open as we can make it. All these concepts are important, and they mean that x86 and flawless out-of-the-box Windows support are not optional. There are reasons everyone is using x86, even in the security community and in governmental agencies around the world: compatibility, performance, and security. Make no mistake, some of us own Yeeloongs, and others are veterans of the silicon industry. We would love to ship a completely free and usable desktop processor, but we know very well that there is no alternative. Some people seem to think that switching to AMD can solve problems related Intel’s Management Engine (ME), microcode, or SMM. It doesn’t, as there are equivalents of these technologies in all recent x86 processors.