[HACK] Re: Re: Que hacer cuando se accede a un sistema

[Sergio Pozo Hidalgo]

Buenas,
Hace poco que me he suscrito a la lista y espero seguirla si no me 
desespero antes (trabajo, estudios, etc.)

Desde mi punto de vista, este comentario no se puede quedar sin opinión 
por mi parte. Y repito, opinión.

El desconocimiento o no de un campo no debe ser juzgado por una única 
persona y además simplemente por una diferencia de opinión. Por otra 
parte, eso de que "Los únicos responsables de la inseguridad son 
aquellos que hacen software a la ligera" parece que sea la típica 
propaganda hacktivista que aparece en el Hacker Quarterly, y que desde 
mi humilde punto de vista poco tiene que ver con el mundo real en el que 
vivimos (y aquí aprovecho para decir que coincido casi plenamente con 
Bernardo en que el mundo de Internet es, evidentemente, el mundo real).

Si tuvieras una empresa, pensaríes en vender el producto, y no en 
mejorar la seguridad. Eso es así porque el que se gasta el dinero en 
crear el programa (el empresario) normalmente quiere reducir costes con 
su aplicación para luego sacarle más dinero cuando la venda. Si has 
trabajado de programador o conoces a alguien que lo haya hecho, sabrás 
que no tienen tiempo ni para comer en el día (es una exageración 
obviamente, pero casi todos hacen horas extras impagadas todos los días, 
menos los que hacen XP).
Al empresario lo que le interesa es la funcionalidad, y eso no se 
consigue mejorando en seguridad al programa. Al empresario le interesa 
pagar lo menos posible, y eso se traduce en programadores (entre otros) 
apretados. Al programador, después de estar apretado, lo último que le 
interesa es que aquello sea seguro, lo único que quiere es terminar 
cuando antes con las funcionalidades para no tener que hacer más horas 
extra. El cliente lo único que quiere es que aquello funcione, porque si 
tiene fallos de seguridad, los suele achacar (por desconocimiento) a su 
red, y no a las aplicaciones. A todo esto hay que sumarle que los 
empresarios no quieren que se programen líneas extra (las que no están 
pagadas porque no las ha pedido el cliente) porque "tienen estudios que 
demuestran que esas líneas en el 90% de los casos no sirven para nada", 
y que los proyectos VAN TARDE TODOS.

Total, que si viviéramos en un mundo de OZ en que todos pudiéramos 
programar como nos diese y no tuviésemos jefe, ni plazos, ni horas 
extra, ni presiones del lciente, etc. PUEDE que hiciésemos los programas 
seguros. Y digo puede porque a muchos empresarios no les interese por el 
mantenimiento. ¿O es que cuesta el ESP del coche realmente 600€ si sólo 
es un programa en la centralita? Hay que amortizar costes y no interesa 
ofrecerlo todo de golpe.

Evidentemente no coincido con muchas de estas experiencias, y hay 
entidades que sí deberían tomarse en serio el tema de la seguridad; y de 
hecho, muchas lo hacen.
Creo que el no poder hacer lo que uno quiere cuando trabaja es una de 
las razones de ser del SW libre. Y desgraciadamente se cae en los mismos 
errores de diseño que cuando se realiza SW propietario.

Es sólo mi opinión. Un saludo a todos y disculpas anticipadas si hiero 
la sensibilidad de alguien.

Roman Medina wrote:
>  :-!! Con todos mis respetos, una frase así denota un desconocimiento
> supremo del mundo de la seguridad. Según tú, ¿los que
> buscan/encuentran bugs son los responsables de la inseguridad? Dios
> mío, párate a pensar lo que has dicho... Los únicos responsables de la
> inseguridad son aquellos que hacen software a la ligera, que programan
> sin tener en cuenta posibles fallos de seguridad y que en definitiva,
> cuando hacen su programa/aplicación solo piensan en venderlo, y no en
> como mejorarlo evitando fallos de seguridad. Estos son los primeros
> responsables. En segunda fila, podríamos situar a aquellos que
> dificultan la labor de encontrar dichos fallos ("security by
> obscurity"). Precisamente, ¡la única forma de mejorar la seguridad es
> buscar / encontrar fallos, y *reportarlos* para que éstos puedan ser
> corregidos! (es decir, todo lo contrario a lo que tu has afirmado).