[uylug-varios] Fwd: sistema de correo brasileño con software libre

[Eduardo Trápani]

Hola,

Hagamos así, busquen lo que dijo Mazoni y ahí discutimos, ¿sí? Porque,
yo no encuentro ni en los medios brasileros una mención a tal mención de
seguridad.

> Usar sofware libre no implica automáticamente que sea mas seguro.

Yo creo que este es el momento en que hay leer el contexto. Respiremos
profundo. ¿De qué seguridad estaría hablando?

En el supuesto caso que Mazoni haya dicho eso, la (mejora a la)
seguridad a la que hace referencia para mí es clara. Tenemos los datos
adentro de "fronteras", eso habla de seguridad física, ya que los
"malos" resultaron estar fuera. No necesariamente seguridad física de
los datos de los brasileros, sino de los de su estado (incluyendo la
posible y probable pretensión de espionaje propia, claro). Y los tenemos
administrados por software libre, eso también habla de (una dimensión
más entre muchas) seguridad física, es obvio que ponerlos en servicios
de una empresa estadounidense bajo software propietario minaría eso.
Ergo, habiendo mitigado dos riesgos, tenemos algo más seguro. ¿Algo
falla? (fíjense que digo mitigar y que parto de la base, comprobada hoy,
de que lo más malos *hoy* están afuera).

> A este nivel hay algunas preguntas interesantes:
>     - El hardware también lo van a construir en Brasil ? 
>     - Todo el hardware, ej: servidores, discos, switches, routers,
> controladoras, conectores ? Si hasta los conectores.
>     - Quien audita que esas partes estan todas libres de sospecha ?
>     - Quien audita que el software libre que esta en el repositorio
> publico es el mismo que esta corriendo en los servidores ?
>     - Quienes configuran estos servicios tienen el knohow desde los
> conectores hasta la ultima capa de software ? Porque
>       eso es lo que pasa en la NSA, Google o Facebook.
>     - Importaste partes de un tercero ? .. perdiste, tenes que ir a la
> fabrica y auditar la producción luego auditar que las partes
>       que recibís hacen lo que supuestamente deben hacer y nada mas.
> Si no hacen nada de esto, lo lamento, no es 'mas' seguro, solo cambiaste
> en quien confias.... que en principio no es ni mejor

Me resisto a aceptar que la seguridad es todo o nada. Que si no llego al
electrón en el silicio no tengo manera de estar *más* seguro. Pero
respeto tu posición, que ya has mencionado. Solamente no veo qué se
puede hacer de útil parado desde ahí. Ni hoy ni mañana vamos a estar
produciendo nuestros propios chips, manejando toda la cadena de fabricación.

Yo creo que sí podés tener soluciones "un poco más seguras" (sobre todo
cuando acotás el universo de atacantes). De hecho lo hacemos todos todo
el tiempo. Cuando pasé de telnet a ssh no cambié en quien confiaba
solamente, reduje el universo de quienes podía desconfiar, de eso se
trata también la seguridad, de identificar a quienes la comprometen y
sacarles margen de maniobra. Estoy un poco más seguro (no "seguro" a
secas, pero "más seguro" sí, aún con una clave vulnerable).

Entonces, traé los datos a "tu jurisdicción" y definitivamente tenés
menos gente de la que desconfiar (por lo menos todos los nodos
intermedios en el tránsito). Y menos gente significa un poco más de
seguridad. ¿Seguridad total? No, ya sabemos que es imposible. Pero negar
la relatividad de la mejora en seguridad es de un fundamentalismo
inmovilizante. Me niego a ver la seguridad como 0 o 1, haciendo un "and
lógico" de vaya a saber cuántas cosas y sabiendo que siempre a va a ser
cero, y después cruzarme de brazos.

Y por favor, ¡que alguien diga que se puede auditar no quiere decir que
necesariamente se vaya a hacer! Lo bueno es saber que se puede. Es mucho
mejor que saber que nunca vas a poder, ¿no?

> ni peor que el otro, es diferente. (Ojo, ser diferente en este contexto
> puede ser un plus, por aquello de no poner todos los huevos 
> en misma canasta)
> El punto es entender el problema real (que reconozco no entender
> completamente) para encontrar soluciones viables y
> diferenciarse de la histeria colectiva.

Parte del problema real ha sido tratado acá en la lista:

- tráfico regional saliendo de la región: ¿solución? Creo que estamos
todos de acuerdo, mejorar las rutas y puntos de intercambio para que eso
no pase.

- tráfico nacional saliendo del país: la misma solución (IXP)

Yo agrego otra parte del problema:

- tenemos todos los huevos en canastas en otro lado. Eso en sí no sería
grave, si no fuera porque además todas esas canastas están supeditadas a
la misma legislación nacional, lo que en términos de derecho, nos deja
como si fueran una. Si mañana EEUU decide que Brasil entró a una lista
negra, entonces Google, como empresa estadounidense, no puede darle más
servicio. ¡Horror! Todas las cuentas Gmail, GooglePlus, Orkut, hosting,
por mencionar algunas cosas (es alucinante el tamaño del ecosistema de
servicios de Google) queda "desconectadas". De hecho, si por una
decisión empresarial uno de estos gigantes (Facebook está incluído,
Microsoft también con Skype y amigos, o Twitter, Verizon, ...) decide
que un cierto contenido viola sus principios según las reglas de EEUU
...fuiste, te pueden cerrar la cuenta o cancelar el dominio o sacar de
los resultados de búsqueda.

¿Podría eso pasar? Ni idea :), suena exagerado hoy, pero a cierto nivel
de decisión y después de saber que estuvieron escuchándote todo ... debe
dar miedito. Sin embargo hay cosas que sí pasaron, para no irnos al
plano especulativo puro: el caso de Facebook desactivando cuentas que
consideraba falsas y pidiendo copia de documento de identidad para
restablecerlas. O las cuentas suspendidas de Twitter de este año. Todo
debido a "errores de software". O sea, pueden dañar y mucho, sin
siquiera hacerlo parecer públicamente punitivo.

¿Solución? Empezar a repartir los huevos (información de los ciudadanos
y organismos). ¿Y dónde ponerlos? Bueno, hagamos algunas canastas
locales. No suena tan descabellado, ¿no? Hablaban hace un tiempo de
países que se podían "apagar". Como si la caída del enlace fuera lo peor
por lejos. Y en realidad muy, muy cerca en la escala de peores nos
podría pasar que por una razón cualquiera (incluída una falla "técnica"
en algún lado ;)) algún país se quedara sin alguno o todos esos servicios.

Esa es un arma que hoy pueden blandir los mismos que espían. Es una
vulnerabilidad grande. ¿Cómo evitar en parte esa amenaza? Ofrezcamos
canastos alternativos, traigamos algunas de esas cosas. Nada de obligar
(salvo a los organismos de gobierno). Fomentemos contenido local (y de
paso tengámoslo cerca por si un día no somos tan buenos y también
queremos mirarlo ;)). Y dejemos que el software que se encargue de eso
sea software libre, para que, en caso de ser privativo, quien lo hizo no
nos gane de mano y no nos entregue con troyanos o puertas traseras.

Por poner un ejemplo, el mundo ideal no tiene un solo único y
superpoderoso Facebook, sino una federación de soluciones del estilo de
Facebook (ya todo existe para hacerlo). Si algunaa las quiere proveer el
estado, ¡adelante!, otras los usuarios, ONGs. Diversidad. Esto de la NSA
a la larga tal vez ayude. El modelo céntrico de servicios y datos
(recuerden la variable legal de ese centrismo) no parecía sufrir
problemas al escalar, pero la confianza va a, por lo menos, hacer pensar
en las alternativas.

Estábamos en la era de la "internet cómoda". Creo que es hora de salir a
laburar otra vez. No puede hacernos mal.

> En definitiva, solo alguien que no entiende el problema puede argumentar
> que la solución de Brasil (o de cualquier otro
> pais, empresa o amigo del barrio) va a ser mas segura porque usa
> software libre.

Entiendo seguridad como ponía arriba, yo creo que el software libre,
como una componente más de la solución sí dan un incremento de seguridad
(protección de datos) relativa automático. Los centrifugadores de Irán
tienen una historia para contar ...

Y, después de todo, en esta lista se supone que es el mundo soñado, ¿no?
Todo con software libre, el conocimiento ahí para que lo usemos, lo
apropriemos y lo compartamos libremente. Para que, si queremos y
podemos, auditemos o mejoremos. El software libre es software se puede
usar para bien o para mal como los otros, pero algo hace que estén en
esta lista ... no para ver eso, sino justamente lo que lo hace
diferente.  Por ese lado creo que entiendo parte de la perplejidad de
Ismael.

Eduardo.