Hace unos dias Teotihuacan ponía un mensaje en los foros de Ubuntu, lo más destacable era esto:
“There is a file that contains all the installation logs :
/var/log/installer/cdebconf/questions.dat
In this file, there is all the questions asked to the user abd all the user’s answers.
So, near the end of the file, we can find the user created during the installation… and its password (not hidden).”
Teotihuacan no se daba cuenta de que la seguridad de Ubuntu había quedado hecha añicos, y es que en dicho fichero se almacenaba la contraseña del primer usuario en texto plano, es decir, del que por defecto tiene privilegios de root.
De la gestión del error no podemos decir más que fue expléndida, en Launchpad lo resolvieron con celeridad.
La curiosidad técnica es que este fallo de seguridad solo afectaba a la versión 5.10, quedaba libre la anterior 5.04 y la Dapper, de desarrollo.
Queda fuera de toda duda que no podemos pasar por alto este fallo solo porque Ubuntu sea un Linux de código abierto. El error de diseño es gravísimo, aunque también hay que destacar la eficiencia de su solución una vez descubierto.
Tenemos de nuevo la reflexión sobre si la seguridad es la oscuridad. Hace unos dias Symantec cambiaba su vara de medir en los errores en navegadores y aceptaba los errores en sí, admitidos por las compañías o sin admitir. Como resultado de dicha elección IE Explorer pasaba a ser el navegador menos seguro y Mozilla Firefox el más seguro.
¿Es conveniente que se conozcan los errores de un programa? Es evidente que en el OpenSource, al estar centrados en el producto interesa que se sepan para solucionarlos cuanto antes, en el software propietario interesa solucionarlos, pero no que se sepan para dar mejor imagen de la compañía. Como resultado es posible ( y sucede ) que las compañías trabajan en solucionar fallos que el usuario final ignora que existan.
Hay por tanto dos formas filosóficas de recibir el fallo de Ubuntu: En la primera nos quejaremos de la gravedad y les echaremos la culpa por incompetentes y diremos que software libre no equivale a seguridad, y en la segunda nos alegramos porque nuestro software tiene un error menos por descubrir ( nunca estaremos libres de errores ) y porque el desarrollo del mismo es transparente a los usuarios finales, o quizá una mezcla de ambas.