Barrapunto

I am afraid I do not speak Spanish, however I have updated the FAQ on the website to talk about spyware/malware. I hope this answers your question, maybe somebody can post a translation into Spanish here.

thanks - mike (autopackage maintainer)

Traducción a continuación:

Hola,
me temo que no hablo español, pero, en cualquier caso, he actualizado las FAQ en el servidor web para hablar de spyware/malware. Espero que esto responda a tu pregunta, quizá alguien pueda escribir una traducción a español aquí.

Gracias - mike (mantenedor de autopackage).

(Next, a translation of the relevant FAQ parts about spyware and malware). Y, ahora, una traducción de los apartados relevantes:

***ATENCIÓN: PARRAFADA LAAARGA*** # No permitirá la falta de firmas la entrada de spyware y malware en Linux, como en Windows?
No. Eso es una falacia. El spyware no proviene de la falta de firmas de paquetes en Windows: de hecho, los propios controles ActiveX tiene firma a menudo y, sin embargo, mucho spyware entra explotando debilidades de ActiveX (por ejemplo, usando objectos que no permiten scripting con seguridad). Microsoft envía a menudo archivos EXE firmados: por ejemplo, empaquetan documentos en ellos.

Spyware se usa más a menudo por vendedores de software propietario como modo de obtener fondos para su desarrollo. Al incluir Gator o porquería similar con su programa, pueden obtener ingresos extra de programas "gratis".

La firma de paquetes en dpkg, rpm y similares no resuelve este problema, porque solamente afecta a software propietario, que no suele aceptarse en esos repositorios de todos modos. Ciertamnete, si un usuario ha decidido que quiere un programa, lo instalará sin importar en qué formato venga: si Linux se mete en medio, le echarán la culpa al sistema operativo, no al vendedor del programa. Autopackage no facilita a los vendedores de software privado el incluir spyware más que Loki Setup.

Al tiempo que ejecutar software propietario en Linux se hace más popular, el spyware probablemente se convierta en un problema. Alguien lo confrontará, pero eso es cosa de otro proyecto.

Por tanto, la verdadera solución a pargo plazo es reemplazar el software propietario del usuario final por software libre. Sin embargo, eso no va a poder hacerse mañana mismo, así que debemos planear con antelación para tratar el periodo de transición (y algún software comercial será quizá siempre privado, como los juegos comerciales).

¿Y cómo luchamos contra el spyware si no lo hacemos a nivel de paquetes?
Básicamente, el asunto es de filtrado y confianza. Sabemos que hay "chikoz maloz" (lo siento, no pude evitar la referencia a Warhammer) que quieren inundar nuestra infrastructura con programas maliciosos, y sabemos que debemos hacer algo para detenerlos. ¿Qué podemos hacer, entonces?

Combatir el spyware es lo mismo que combatir virus y bots. Básicamente se trata de evitar que cierta clase de programas se ejecute. Digo "cierta clase" porque la definición de malicioso varí de persona a persona: realmente hay gente por ahí que instala cosas como Gator deliberadamente, porque le gusta los servicios que les da y no les importa lo que esté haciendo por detrás. Así que lo que es "software malo" para una persona no lo es para otra, y cualquier intento sistemático de excluir programas debe tener eso en cuenta.

Hay varios problemas que hacen difícil esta tarea. El primero es que el código malicioso tiene muchas formas de obtener acceso a la CPU. En el caso má obvio, el usuario puede descargar y ejecutar un troyano. Lo único que podemos hacer aquí es interceptar el intento de ejecución y avisar al usuario de lo que realmente están ejecutando. Esto podrí implementarse en un nuevo módulo de seguridad de Linux que mantenga una base de datos de archivos permitidos y deniegue el permiso de ejecución inicial mientras provoca u

Hi, Mike, thanks for answering. What I was talking about was not the lack of digital signing, in fact it had nothing to do with computers but users.

If it is easy to install a program from the internet, it would be easy for anyone to upload malware and hide it as some software. A novice user might not notice the difference between trusted and untrusted sources (call it sources, URLs, webpages...)

On the other side, if it is compulsory to use online repositories, like debian's, mandrake's and others, it is more difficult to introduce virus on the programs

I think that autopackage is a good start for linux ease of use, but has Windows' implicit security problem: the thing between computer and chair

En castellano

Hola, Mike, gracias por contestar. No me estaba refiriendo a un problema de "diseño" causado por la falta de firmas digitales, en realidad me refería al problema del usario en sí

Si es fácil instalar un programa de internet, también es fácil que cualquiera suba malware y lo camufle como un software normal. Un usuario novato no notaría la diferencia entre fuentes fiables y no fiables (llámalo fuentes, URLs, páginas web...)

Por eso, si es obligatorio usar repositorios online, como los de debian o mandrake, es mas difícil que se metan virus en los programas

Pienso que autopackage es un logro para la facilidad de uso de linux, pero tiene el problema implícito de Windows: la cosa entre el ordenador y la silla