[uylug-varios] Fwd: sistema de correo brasileño con software libre
Alejandro Vartabedian
alejandro.vartabedian at gmail.com
Fri Sep 27 05:24:29 PDT 2013
Hola gente, creo que Eduardo dejó bastante aterrizado el tema, como de
costumbre.
Rescato 2 aspectos claves en esta movida:
1. Certeza jurídica, porque hoy tus datos están bajo una legislación que no
conoces, ni controlás y seguramente tampoco simpatizás, y eso no importaba
mucho.
2. Tener la oportunidad de incidir sobre la dificultad de acceso a esos
datos. Tal vez me hackeen, pero di y puedo seguir dando batalla,
aprendiendo y complicándosela de alguna forma, hasta por ser algo mucho más
rudimentario y sin tanta inteligencia en cruzamiento de datos, les da más
trabajo procesarlo.
Una movida anti-parálisis. Porque como menciona Eduardo, te pueden
desconectar de tu ecosistema digital con una sola palanquita, y no hablo
solo de personas, sino de países enteros, solo es cuestión de que sea
necesario.
Saludos.
Alejandro Vartabedian
El 26/09/2013 11:53, "Eduardo Trápani" <etrapani at gmail.com> escribió:
> Hola,
>
> Hagamos así, busquen lo que dijo Mazoni y ahí discutimos, ¿sí? Porque,
> yo no encuentro ni en los medios brasileros una mención a tal mención de
> seguridad.
>
> > Usar sofware libre no implica automáticamente que sea mas seguro.
>
> Yo creo que este es el momento en que hay leer el contexto. Respiremos
> profundo. ¿De qué seguridad estaría hablando?
>
> En el supuesto caso que Mazoni haya dicho eso, la (mejora a la)
> seguridad a la que hace referencia para mí es clara. Tenemos los datos
> adentro de "fronteras", eso habla de seguridad física, ya que los
> "malos" resultaron estar fuera. No necesariamente seguridad física de
> los datos de los brasileros, sino de los de su estado (incluyendo la
> posible y probable pretensión de espionaje propia, claro). Y los tenemos
> administrados por software libre, eso también habla de (una dimensión
> más entre muchas) seguridad física, es obvio que ponerlos en servicios
> de una empresa estadounidense bajo software propietario minaría eso.
> Ergo, habiendo mitigado dos riesgos, tenemos algo más seguro. ¿Algo
> falla? (fíjense que digo mitigar y que parto de la base, comprobada hoy,
> de que lo más malos *hoy* están afuera).
>
> > A este nivel hay algunas preguntas interesantes:
> > - El hardware también lo van a construir en Brasil ?
> > - Todo el hardware, ej: servidores, discos, switches, routers,
> > controladoras, conectores ? Si hasta los conectores.
> > - Quien audita que esas partes estan todas libres de sospecha ?
> > - Quien audita que el software libre que esta en el repositorio
> > publico es el mismo que esta corriendo en los servidores ?
> > - Quienes configuran estos servicios tienen el knohow desde los
> > conectores hasta la ultima capa de software ? Porque
> > eso es lo que pasa en la NSA, Google o Facebook.
> > - Importaste partes de un tercero ? .. perdiste, tenes que ir a la
> > fabrica y auditar la producción luego auditar que las partes
> > que recibís hacen lo que supuestamente deben hacer y nada mas.
> > Si no hacen nada de esto, lo lamento, no es 'mas' seguro, solo cambiaste
> > en quien confias.... que en principio no es ni mejor
>
> Me resisto a aceptar que la seguridad es todo o nada. Que si no llego al
> electrón en el silicio no tengo manera de estar *más* seguro. Pero
> respeto tu posición, que ya has mencionado. Solamente no veo qué se
> puede hacer de útil parado desde ahí. Ni hoy ni mañana vamos a estar
> produciendo nuestros propios chips, manejando toda la cadena de
> fabricación.
>
> Yo creo que sí podés tener soluciones "un poco más seguras" (sobre todo
> cuando acotás el universo de atacantes). De hecho lo hacemos todos todo
> el tiempo. Cuando pasé de telnet a ssh no cambié en quien confiaba
> solamente, reduje el universo de quienes podía desconfiar, de eso se
> trata también la seguridad, de identificar a quienes la comprometen y
> sacarles margen de maniobra. Estoy un poco más seguro (no "seguro" a
> secas, pero "más seguro" sí, aún con una clave vulnerable).
>
> Entonces, traé los datos a "tu jurisdicción" y definitivamente tenés
> menos gente de la que desconfiar (por lo menos todos los nodos
> intermedios en el tránsito). Y menos gente significa un poco más de
> seguridad. ¿Seguridad total? No, ya sabemos que es imposible. Pero negar
> la relatividad de la mejora en seguridad es de un fundamentalismo
> inmovilizante. Me niego a ver la seguridad como 0 o 1, haciendo un "and
> lógico" de vaya a saber cuántas cosas y sabiendo que siempre a va a ser
> cero, y después cruzarme de brazos.
>
> Y por favor, ¡que alguien diga que se puede auditar no quiere decir que
> necesariamente se vaya a hacer! Lo bueno es saber que se puede. Es mucho
> mejor que saber que nunca vas a poder, ¿no?
>
> > ni peor que el otro, es diferente. (Ojo, ser diferente en este contexto
> > puede ser un plus, por aquello de no poner todos los huevos
> > en misma canasta)
> > El punto es entender el problema real (que reconozco no entender
> > completamente) para encontrar soluciones viables y
> > diferenciarse de la histeria colectiva.
>
> Parte del problema real ha sido tratado acá en la lista:
>
> - tráfico regional saliendo de la región: ¿solución? Creo que estamos
> todos de acuerdo, mejorar las rutas y puntos de intercambio para que eso
> no pase.
>
> - tráfico nacional saliendo del país: la misma solución (IXP)
>
> Yo agrego otra parte del problema:
>
> - tenemos todos los huevos en canastas en otro lado. Eso en sí no sería
> grave, si no fuera porque además todas esas canastas están supeditadas a
> la misma legislación nacional, lo que en términos de derecho, nos deja
> como si fueran una. Si mañana EEUU decide que Brasil entró a una lista
> negra, entonces Google, como empresa estadounidense, no puede darle más
> servicio. ¡Horror! Todas las cuentas Gmail, GooglePlus, Orkut, hosting,
> por mencionar algunas cosas (es alucinante el tamaño del ecosistema de
> servicios de Google) queda "desconectadas". De hecho, si por una
> decisión empresarial uno de estos gigantes (Facebook está incluído,
> Microsoft también con Skype y amigos, o Twitter, Verizon, ...) decide
> que un cierto contenido viola sus principios según las reglas de EEUU
> ...fuiste, te pueden cerrar la cuenta o cancelar el dominio o sacar de
> los resultados de búsqueda.
>
> ¿Podría eso pasar? Ni idea :), suena exagerado hoy, pero a cierto nivel
> de decisión y después de saber que estuvieron escuchándote todo ... debe
> dar miedito. Sin embargo hay cosas que sí pasaron, para no irnos al
> plano especulativo puro: el caso de Facebook desactivando cuentas que
> consideraba falsas y pidiendo copia de documento de identidad para
> restablecerlas. O las cuentas suspendidas de Twitter de este año. Todo
> debido a "errores de software". O sea, pueden dañar y mucho, sin
> siquiera hacerlo parecer públicamente punitivo.
>
> ¿Solución? Empezar a repartir los huevos (información de los ciudadanos
> y organismos). ¿Y dónde ponerlos? Bueno, hagamos algunas canastas
> locales. No suena tan descabellado, ¿no? Hablaban hace un tiempo de
> países que se podían "apagar". Como si la caída del enlace fuera lo peor
> por lejos. Y en realidad muy, muy cerca en la escala de peores nos
> podría pasar que por una razón cualquiera (incluída una falla "técnica"
> en algún lado ;)) algún país se quedara sin alguno o todos esos servicios.
>
> Esa es un arma que hoy pueden blandir los mismos que espían. Es una
> vulnerabilidad grande. ¿Cómo evitar en parte esa amenaza? Ofrezcamos
> canastos alternativos, traigamos algunas de esas cosas. Nada de obligar
> (salvo a los organismos de gobierno). Fomentemos contenido local (y de
> paso tengámoslo cerca por si un día no somos tan buenos y también
> queremos mirarlo ;)). Y dejemos que el software que se encargue de eso
> sea software libre, para que, en caso de ser privativo, quien lo hizo no
> nos gane de mano y no nos entregue con troyanos o puertas traseras.
>
> Por poner un ejemplo, el mundo ideal no tiene un solo único y
> superpoderoso Facebook, sino una federación de soluciones del estilo de
> Facebook (ya todo existe para hacerlo). Si algunaa las quiere proveer el
> estado, ¡adelante!, otras los usuarios, ONGs. Diversidad. Esto de la NSA
> a la larga tal vez ayude. El modelo céntrico de servicios y datos
> (recuerden la variable legal de ese centrismo) no parecía sufrir
> problemas al escalar, pero la confianza va a, por lo menos, hacer pensar
> en las alternativas.
>
> Estábamos en la era de la "internet cómoda". Creo que es hora de salir a
> laburar otra vez. No puede hacernos mal.
>
> > En definitiva, solo alguien que no entiende el problema puede argumentar
> > que la solución de Brasil (o de cualquier otro
> > pais, empresa o amigo del barrio) va a ser mas segura porque usa
> > software libre.
>
> Entiendo seguridad como ponía arriba, yo creo que el software libre,
> como una componente más de la solución sí dan un incremento de seguridad
> (protección de datos) relativa automático. Los centrifugadores de Irán
> tienen una historia para contar ...
>
> Y, después de todo, en esta lista se supone que es el mundo soñado, ¿no?
> Todo con software libre, el conocimiento ahí para que lo usemos, lo
> apropriemos y lo compartamos libremente. Para que, si queremos y
> podemos, auditemos o mejoremos. El software libre es software se puede
> usar para bien o para mal como los otros, pero algo hace que estén en
> esta lista ... no para ver eso, sino justamente lo que lo hace
> diferente. Por ese lado creo que entiendo parte de la perplejidad de
> Ismael.
>
> Eduardo.
> _______________________________________________
> Uylug-varios mailing list
> Uylug-varios at listas.uylug.org.uy
> http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20130927/15717040/attachment-0002.htm>
More information about the Uylug-varios
mailing list