Todos los días confiamos en tecnologías que nadie puede comprender completamente.
Desde mucho antes de la revolución industrial, las tareas complejas y desafiantes requerían un enfoque que dividiera las diferentes partes en tareas de menor escala.
Cada uno resulta en un conocimiento especializado que se utiliza en algunas partes de nuestras vidas, dejando que otras partes confíen en las habilidades que otros habían aprendido previamente.
Este enfoque de conocimiento compartido también se aplica al software.
Incluso los profesionales expertos probablemente no compilen ni validen cada fragmento de código que ejecuten.
Esto se debe simplemente a que el mundo de las computadoras es demasiado grande para que lo comprenda una sola persona.
Aún así, aunque es casi imposible comprender todo lo que sucede dentro de tu dispositivo cuando lo está usando, eso no te deja ciego y desprotegido.
El Free and Open Source Software o FLOSS, comparte la confianza, brindando protección a todos los usuarios, incluso si los usuarios individuales no pueden comprender todas las partes del sistema.
Este artículo de varias partes discutirá cómo funciona esta ‘Web of Trust’ y cómo puedes participar en ella.
Pero primero tendremos que dar un paso atrás y discutir los conceptos básicos, antes de que podamos profundizar en los detalles y en la web.
Además, una nota antes de comenzar, la seguridad no se trata solo de virus y malware.
La seguridad también incluye tu privacidad, tu estabilidad económica y tu independencia tecnológica.
Un Sistema unidireccional
Por su diseño, las computadoras solo pueden funcionar de la manera más rudimentaria de la lógica: verdadero o falso.
Esta lógica booleana, no es fácilmente accesible para los humanos, por lo tanto, debemos hacer algo especial.
Actualmente escribimos aplicaciones en un código que podemos razonar y comprender con una lógica legible por humanos.
Una vez completado esto, convertimos este código legible por humanos en un código que la computadora puede comprender llamado código máquina o binario.
El paso de conversión se llama compilación y es un proceso unidireccional.
El código binario ya compilado no es realmente comprensible para humanos, y se necesitan herramientas especiales para estudiarlo en detalle.
Se puede comprender partes pequeñas, pero en general, una aplicación completa se convierte en una caja negra.
Esta sutil diferencia cambia el poder. Poder que en este caso es la influencia de una persona sobre otra.
La persona que ha escrito la versión legible por humanos de la aplicación y luego la libera como código compilado para que lo utilicen otros, sabe todo sobre lo que hace el código, mientras que el usuario final conoce un alcance muy limitado.
Cuando se usa software en forma compilada, es imposible saber con certeza todo lo que hacer una aplicación, a menos que se pueda ver el código original legible por humanos.
Cambios a la naturaleza del poder
Encabezada por Richard Stallman, fue el cambio de poder que surgió en la década de 1980, porque fue el momento en que las computadoras dejaron el mundo académico e investigación y entraron al mundo del comercio.
De repente, ese poder se convirtió en una gran fuente de control y explotación.
Una forma de combatir este desequilibrio de poder fue con el concepto de software FLOSS.
El software FLOSS se basa en 4-Freedoms , que le brinda una amplia gama de otros derechos y garantías a sus ‘afiliados’.
En esencia, el software FLOSS utiliza las licencias de derechos de autor como una forma de contrato moral, que obliga a los desarrolladores de software a no aprovechar el poder unidireccional contra sus usuarios.
La forma principal de hacer esto es con las Licencias Públicas Generales GNU, que Richard Stallman creó y ha estado promoviendo desde entonces.
Una de esas garantías es que puede ver el código que debería estar ejecutándose en tu dispositivo.
Cuando obtienes un dispositivo que usa software FLOSS, el fabricante debe proporcionarle el código que está usando el dispositivo, así como todas las instrucciones que necesita para compilar ese código tu mismo.
Luego, puedes reemplazar el código en el dispositivo con la versión que tu con pilas
Aún mejor, si comparas la versión que tienes con la versión del dispositivo, puedes ver si el fabricante del dispositivo intentó engañarte a ti o a otros clientes.
Aquí es donde la red de Trust vuelve a entrar en escena. Web of Trust implica que incluso si la gran mayoría de las personas no pueden validar el funcionamiento de un dispositivo, otros pueden hacerlo en su nombre.
Los periodistas, analistas de seguridad y aficionados pueden hacer el trabajo que otros simplemente no podrían.
Y si encuentran algo, tienen el poder de compartir sus hallazgos.
Seguridad Blind Trust
Esto es, por supuesto, si la aplicación y todos los componentes debajo de ella son FLOSS.
El software propietario, o incluso el software que es simplemente de código abierto, ha compilado versiones que nadie puede recrear y validar.
Por lo tanto, nunca se puede saber realmente si ese software es seguro.
Podría tener una puerta trasera, podría vender tus datos personales o podría estar impulsando un ecosistema cerrado para crear un bloqueo de proveedor.
Con el software de código cerrado, tu seguridad es tan buena como la empresa que fabrica el software y de si este es confiable.
Para las empresas y los desarrolladores, esto crea otra trampa.
Si bien es posible que aún le preocupen sus usuarios y su seguridad, es una responsabilidad:
Si un delincuente puede acceder a tus construcciones oficiales o cadena de suministro, nadie podrá descubrirlo después.
Un número cada vez mayor de ataques no se dirigen directamente a los usuarios, sino que intentan entrar, explotando la confianza que las empresas y desarrolladores han ganado.
Tampoco debes subestimar la presión externa: los gobiernos pueden pedirle que ignore una vulnerabilidad, o incluso pueden exigir cooperación.
Las empresas de inversión o los accionistas también pueden insistir en que cree un bloqueo de proveedor para uso futuro.
La confianza ciega que exigen a sus usuarios puede usarse en su contra.
Seguridad por una web de confianza
Si eres un usuario, el software FLOSS es bueno porque otros pueden advertirte cuando encuentren elementos sospechosos.
Se puede utilizar cualquier dispositivo FLOSS con un riesgo económico mínimo y hay muchos desarrolladores de FLOSS que si se preocupan por tu privacidad.
Incluso si los detalles están fuera de tu alcance, existen reglas para facilitar esa confianza.
Si eres un desarrollador, FLOSS tambien es bueno porque con un poco de trabajo extra, puedes verificar las promesas de los demás.
Puedes advertir a las personas cuando algo sale mal o validar las advertencias de los demás.
También puedes comprobar piezas individuales en una imagen más grande.
Las bibliotecas utilizadas por las aplicaciones FLOSS también están abiertas para revisión: es «Confiar hasta el final».
Para las empresas y los desarrolladores, FLOSS también es una gran garantía de que su confianza no se puede evadir fácilmente.
Si los agentes malintencionados desean atacar a sus usuarios, entonces cualquier irregularidad puede detectarse rápidamente.
Por último, pero no menos importante, dado que también defiende el bienestar económico y la privacidad de sus clientes, puede utilizar eso como un importante argumento de venta para los clientes que se preocupan por su propia seguridad.
El caso de Fedora
Fedora abraza el concepto de FLOSS y se mantiene firme para defenderlo.
Existen pautas legales integrales y principios en Fedora que hacen referencia directa a las 4 libertades.
Con este fin, se han configurado sistemas completos para facilitar este tipo de seguridad.
Fedora funciona completamente al aire libre y cualquier usuario puede consultar los servidores oficiales.
Koji es el nombre del sistema de compilación de Fedora, y puede ver todas las aplicaciones y sus registros de compilación allí.
Para mayor seguridad, también existe Bohdi , que organiza la implementación de una aplicación.
Varias personas deben aprobarlo antes de que la aplicación esté disponible.
Esto crea la red de confianza en la que puedes confiar.
Todos los paquetes del repositorio pasan por el mismo proceso y en cada punto alguien puede intervenir.
También existen sistemas de escalado para informar problemas, de modo que los problemas se puedan abordar rápidamente cuando ocurran.
Los colaboradores individuales también saben que pueden ser revisados en todo momento, lo que ya es una precaución suficiente para disuadir los pensamientos maliciosos.
No tienes que confiar en Fedora implícitamente, pero puedes obtener algo mejor; confía en otros usuarios como tú.
Apoya nuestra organización comprando con nosotros:
-
Procesador Intel Core i9-13900 S-1700 13A Gen 24 Núcleos con Disipador y Gráficos UHD 770 Garantía de 3 años$10,903.95 – $11,329.41 MXN -
Procesador AMD RYZEN 7 5800X S-AM4 5A Gen sin Disipador y sin Gráficos Garantía de 1 año$8,401.56 – $8,440.53 MXN -
Procesador Intel Core i5-10400 2.90GHz 6 núcleos Socket 1200 Comet Lake. Garantía de 3 años$2,358.13 – $2,489.52 MXN
