
<p dir="ltr">Hola gente, creo que Eduardo dejó bastante aterrizado el tema, como de costumbre.<br>

Rescato 2 aspectos claves en esta movida:<br>

1. Certeza jurídica, porque hoy tus datos están bajo una legislación que no conoces, ni controlás y seguramente tampoco simpatizás, y eso no importaba mucho.<br>

2. Tener la oportunidad de incidir sobre la dificultad de acceso a esos datos. Tal vez me hackeen, pero di y puedo seguir dando batalla, aprendiendo y complicándosela de alguna forma, hasta por ser algo mucho más rudimentario y sin tanta inteligencia en cruzamiento de datos, les da más trabajo procesarlo.</p>


<p dir="ltr">Una movida anti-parálisis. Porque como menciona Eduardo, te pueden desconectar de tu ecosistema digital con una sola palanquita, y no hablo solo de personas, sino de países enteros, solo es cuestión de que sea necesario.</p>


<p dir="ltr">Saludos.</p>

<p dir="ltr">Alejandro Vartabedian</p>

<div class="gmail_quote">El 26/09/2013 11:53, "Eduardo Trápani" <<a href="mailto:etrapani@gmail.com">etrapani@gmail.com</a>> escribió:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hola,<br>

<br>

Hagamos así, busquen lo que dijo Mazoni y ahí discutimos, ¿sí? Porque,<br>

yo no encuentro ni en los medios brasileros una mención a tal mención de<br>

seguridad.<br>

<br>

> Usar sofware libre no implica automáticamente que sea mas seguro.<br>

<br>

Yo creo que este es el momento en que hay leer el contexto. Respiremos<br>

profundo. ¿De qué seguridad estaría hablando?<br>

<br>

En el supuesto caso que Mazoni haya dicho eso, la (mejora a la)<br>

seguridad a la que hace referencia para mí es clara. Tenemos los datos<br>

adentro de "fronteras", eso habla de seguridad física, ya que los<br>

"malos" resultaron estar fuera. No necesariamente seguridad física de<br>

los datos de los brasileros, sino de los de su estado (incluyendo la<br>

posible y probable pretensión de espionaje propia, claro). Y los tenemos<br>

administrados por software libre, eso también habla de (una dimensión<br>

más entre muchas) seguridad física, es obvio que ponerlos en servicios<br>

de una empresa estadounidense bajo software propietario minaría eso.<br>

Ergo, habiendo mitigado dos riesgos, tenemos algo más seguro. ¿Algo<br>

falla? (fíjense que digo mitigar y que parto de la base, comprobada hoy,<br>

de que lo más malos *hoy* están afuera).<br>

<br>

> A este nivel hay algunas preguntas interesantes:<br>

>     - El hardware también lo van a construir en Brasil ?<br>

>     - Todo el hardware, ej: servidores, discos, switches, routers,<br>

> controladoras, conectores ? Si hasta los conectores.<br>

>     - Quien audita que esas partes estan todas libres de sospecha ?<br>

>     - Quien audita que el software libre que esta en el repositorio<br>

> publico es el mismo que esta corriendo en los servidores ?<br>

>     - Quienes configuran estos servicios tienen el knohow desde los<br>

> conectores hasta la ultima capa de software ? Porque<br>

>       eso es lo que pasa en la NSA, Google o Facebook.<br>

>     - Importaste partes de un tercero ? .. perdiste, tenes que ir a la<br>

> fabrica y auditar la producción luego auditar que las partes<br>

>       que recibís hacen lo que supuestamente deben hacer y nada mas.<br>

> Si no hacen nada de esto, lo lamento, no es 'mas' seguro, solo cambiaste<br>

> en quien confias.... que en principio no es ni mejor<br>

<br>

Me resisto a aceptar que la seguridad es todo o nada. Que si no llego al<br>

electrón en el silicio no tengo manera de estar *más* seguro. Pero<br>

respeto tu posición, que ya has mencionado. Solamente no veo qué se<br>

puede hacer de útil parado desde ahí. Ni hoy ni mañana vamos a estar<br>

produciendo nuestros propios chips, manejando toda la cadena de fabricación.<br>

<br>

Yo creo que sí podés tener soluciones "un poco más seguras" (sobre todo<br>

cuando acotás el universo de atacantes). De hecho lo hacemos todos todo<br>

el tiempo. Cuando pasé de telnet a ssh no cambié en quien confiaba<br>

solamente, reduje el universo de quienes podía desconfiar, de eso se<br>

trata también la seguridad, de identificar a quienes la comprometen y<br>

sacarles margen de maniobra. Estoy un poco más seguro (no "seguro" a<br>

secas, pero "más seguro" sí, aún con una clave vulnerable).<br>

<br>

Entonces, traé los datos a "tu jurisdicción" y definitivamente tenés<br>

menos gente de la que desconfiar (por lo menos todos los nodos<br>

intermedios en el tránsito). Y menos gente significa un poco más de<br>

seguridad. ¿Seguridad total? No, ya sabemos que es imposible. Pero negar<br>

la relatividad de la mejora en seguridad es de un fundamentalismo<br>

inmovilizante. Me niego a ver la seguridad como 0 o 1, haciendo un "and<br>

lógico" de vaya a saber cuántas cosas y sabiendo que siempre a va a ser<br>

cero, y después cruzarme de brazos.<br>

<br>

Y por favor, ¡que alguien diga que se puede auditar no quiere decir que<br>

necesariamente se vaya a hacer! Lo bueno es saber que se puede. Es mucho<br>

mejor que saber que nunca vas a poder, ¿no?<br>

<br>

> ni peor que el otro, es diferente. (Ojo, ser diferente en este contexto<br>

> puede ser un plus, por aquello de no poner todos los huevos<br>

> en misma canasta)<br>

> El punto es entender el problema real (que reconozco no entender<br>

> completamente) para encontrar soluciones viables y<br>

> diferenciarse de la histeria colectiva.<br>

<br>

Parte del problema real ha sido tratado acá en la lista:<br>

<br>

- tráfico regional saliendo de la región: ¿solución? Creo que estamos<br>

todos de acuerdo, mejorar las rutas y puntos de intercambio para que eso<br>

no pase.<br>

<br>

- tráfico nacional saliendo del país: la misma solución (IXP)<br>

<br>

Yo agrego otra parte del problema:<br>

<br>

- tenemos todos los huevos en canastas en otro lado. Eso en sí no sería<br>

grave, si no fuera porque además todas esas canastas están supeditadas a<br>

la misma legislación nacional, lo que en términos de derecho, nos deja<br>

como si fueran una. Si mañana EEUU decide que Brasil entró a una lista<br>

negra, entonces Google, como empresa estadounidense, no puede darle más<br>

servicio. ¡Horror! Todas las cuentas Gmail, GooglePlus, Orkut, hosting,<br>

por mencionar algunas cosas (es alucinante el tamaño del ecosistema de<br>

servicios de Google) queda "desconectadas". De hecho, si por una<br>

decisión empresarial uno de estos gigantes (Facebook está incluído,<br>

Microsoft también con Skype y amigos, o Twitter, Verizon, ...) decide<br>

que un cierto contenido viola sus principios según las reglas de EEUU<br>

...fuiste, te pueden cerrar la cuenta o cancelar el dominio o sacar de<br>

los resultados de búsqueda.<br>

<br>

¿Podría eso pasar? Ni idea :), suena exagerado hoy, pero a cierto nivel<br>

de decisión y después de saber que estuvieron escuchándote todo ... debe<br>

dar miedito. Sin embargo hay cosas que sí pasaron, para no irnos al<br>

plano especulativo puro: el caso de Facebook desactivando cuentas que<br>

consideraba falsas y pidiendo copia de documento de identidad para<br>

restablecerlas. O las cuentas suspendidas de Twitter de este año. Todo<br>

debido a "errores de software". O sea, pueden dañar y mucho, sin<br>

siquiera hacerlo parecer públicamente punitivo.<br>

<br>

¿Solución? Empezar a repartir los huevos (información de los ciudadanos<br>

y organismos). ¿Y dónde ponerlos? Bueno, hagamos algunas canastas<br>

locales. No suena tan descabellado, ¿no? Hablaban hace un tiempo de<br>

países que se podían "apagar". Como si la caída del enlace fuera lo peor<br>

por lejos. Y en realidad muy, muy cerca en la escala de peores nos<br>

podría pasar que por una razón cualquiera (incluída una falla "técnica"<br>

en algún lado ;)) algún país se quedara sin alguno o todos esos servicios.<br>

<br>

Esa es un arma que hoy pueden blandir los mismos que espían. Es una<br>

vulnerabilidad grande. ¿Cómo evitar en parte esa amenaza? Ofrezcamos<br>

canastos alternativos, traigamos algunas de esas cosas. Nada de obligar<br>

(salvo a los organismos de gobierno). Fomentemos contenido local (y de<br>

paso tengámoslo cerca por si un día no somos tan buenos y también<br>

queremos mirarlo ;)). Y dejemos que el software que se encargue de eso<br>

sea software libre, para que, en caso de ser privativo, quien lo hizo no<br>

nos gane de mano y no nos entregue con troyanos o puertas traseras.<br>

<br>

Por poner un ejemplo, el mundo ideal no tiene un solo único y<br>

superpoderoso Facebook, sino una federación de soluciones del estilo de<br>

Facebook (ya todo existe para hacerlo). Si algunaa las quiere proveer el<br>

estado, ¡adelante!, otras los usuarios, ONGs. Diversidad. Esto de la NSA<br>

a la larga tal vez ayude. El modelo céntrico de servicios y datos<br>

(recuerden la variable legal de ese centrismo) no parecía sufrir<br>

problemas al escalar, pero la confianza va a, por lo menos, hacer pensar<br>

en las alternativas.<br>

<br>

Estábamos en la era de la "internet cómoda". Creo que es hora de salir a<br>

laburar otra vez. No puede hacernos mal.<br>

<br>

> En definitiva, solo alguien que no entiende el problema puede argumentar<br>

> que la solución de Brasil (o de cualquier otro<br>

> pais, empresa o amigo del barrio) va a ser mas segura porque usa<br>

> software libre.<br>

<br>

Entiendo seguridad como ponía arriba, yo creo que el software libre,<br>

como una componente más de la solución sí dan un incremento de seguridad<br>

(protección de datos) relativa automático. Los centrifugadores de Irán<br>

tienen una historia para contar ...<br>

<br>

Y, después de todo, en esta lista se supone que es el mundo soñado, ¿no?<br>

Todo con software libre, el conocimiento ahí para que lo usemos, lo<br>

apropriemos y lo compartamos libremente. Para que, si queremos y<br>

podemos, auditemos o mejoremos. El software libre es software se puede<br>

usar para bien o para mal como los otros, pero algo hace que estén en<br>

esta lista ... no para ver eso, sino justamente lo que lo hace<br>

diferente.  Por ese lado creo que entiendo parte de la perplejidad de<br>

Ismael.<br>

<br>

Eduardo.<br>

_______________________________________________<br>

Uylug-varios mailing list<br>

<a href="mailto:Uylug-varios@listas.uylug.org.uy">Uylug-varios@listas.uylug.org.uy</a><br>

<a href="http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy" target="_blank">http://listas.uylug.org.uy/listinfo.cgi/uylug-varios-uylug.org.uy</a><br>

</blockquote></div>