Una ponencia presentada en un congreso sobre el software de
código abierto analiza el modelo de seguridad del software de
código fuente abierto y del software de código fuente propietario
y advierte sobre las iniciativas que está tomando la industria
para ‘proteger’ los sistemas informáticos.

En el congreso «Open Source Software: Economics, Law and Policy»,
celebrado en la localidad francesa de Toulouse del 20 al 21 de
junio de este año, Ross Anderson, de la universidad de Cambridge,
presentó la ponencia «Security in Open versus Closed Systems –
The Dance of Boltzmann, Coase and Moore».

Esta ponencia analiza los modelos de seguridad implícitos a los
dos modelos predominantes de desarrollo de software: software de
código fuente abierto («open source») y software de código fuente
propietario. Por otro lado, realiza un análisis de la iniciativa
TCPA.

Tradicionalmente se ha asumido siempre que el modelo de código
abierto permitía disponer de un código de mayor calidad (y más
seguro) debido a que la propia comunidad era la encargada de
mantener el código fuente. Ante esto, los defensores del modelo
de código fuente propietario respondían que el libre acceso al
código fuente facilitaba la localización de agujeros en la
seguridad del software.

Hasta la fecha nadie había realizado un estudio serio sobre ambos
modelos de seguridad, para analizar las ventajas e inconvenientes
de ambos.

Precisamente este ha sido el objetivo del trabajo de Ross
Anderson. En él, intenta demostrar que los argumentos indicados
anteriormente para la defensa de uno u otro modelo son
excesivamente simplistas.

La segunda parte del estudio de Ross Anderson, se centra en el
análisis de la iniciativa de Intel, HP, IBM y Microsoft
denominada «Trusted Computing Platform Alliance» (TCPA) que tiene
como objetivo que la nueva generación de ordenadores personales
sean más seguros. En realidad, según Anderson, el objetivo es
aumentar la seguridad en aquello que interesa a los fabricantes
de ordenadores y de software, en contra de los intereses reales
de los usuarios de los mismos en materia de seguridad.

Según Anderson, la TCPA de prosperar puede ser una amenaza
directa a la comunidad de software de código abierto, por motivos
más directamente relacionados con la economía que no con la
tecnología.

TCPA no es un proyecto futuro, sino que hoy en día ya existen
ordenadores que cumplen las especificaciones TCPA. También
algunas características de Windows XP (la necesidad de renovar el
registro si el usuario modifica sustancialmente la configuración
de su ordenador) también están incluidas dentro de la TCPA.

Xavier Caballé
xavi@hispasec.com

Más información:

Página personal de Ross Anderson
http://www.cl.cam.ac.uk/users/rja14

Security in Open versus Closed Systems – The Dance of Boltzmann, Coase
and Moore
http://www.cl.cam.ac.uk/ftp/users/rja14/toulouse.pdf

Open Source Software: Economics, Law and Policy
http://www.idei.asso.fr/ossconf.html

Trusted Computing Platform Alliance (TCPA)
http://www.trustedcomputing.org/

Especificación TCPA v1.1
http://www.trustedcomputing.org/docs/main%20v1_1b.pdf

Especificación para la implementación de TCPA en PC
http://www.trustedcomputing.org/docs/TCPA_PCSpecificSpecification_v100.pdf

Fears of Misuse of Encryption System Are Voiced
The New York Times (20-06-02)
http://cryptome.org/tcpa-rja.htm

Security of Open vs. Closed Source Software
http://slashdot.org/articles/02/06/21/1227222.shtml

Study: Equal security in all software
http://news.com.com/2100-1001-938124.html

MS to eradicate GPL, hence Linux
http://www.theregister.co.uk/content/4/25891.html

Compártelo: