Barrapunto

Digo, parece ser que los gurúes y white hats lo que hacen es simplemente brindar un servicio desinteresado a la comunidad toda.

De la misma manera, podríamos ponernos a tratar de abrir autos, a ver que tan seguros son, desarmar sistemas de alarmas, frenar los autos de 200 a 0 en menos de 120 mts. (que es lo que dice el fabricante que tiene), probar las estructuras de los edificios, y, en fin, "por la nuestra", tratar de reventar todo lo que tiene un cierto margen de fiabilidad.
No estoy diciendo que no controlemos, ni que no debemos tener controles de los que controlan, pero me parece un argumento muy viejo y muy barato eso de que simplemente están buscando la vulnerabilidad para que otro no la encuentre antes.
Es obvio que si las cosas se basan en modelos y presupuestos de hace 30 o 40 años (como la estructura de los programas o el modelo tcp/ip), con los adelantos y diversificaciones que han tenido, se les pueden encontrar errores, o agujeros.

Hay un libro muy interesante de Mark Minasi "The software conspiration", donde presentan errores graves que costaron la vida de personas, pero esos programas eran de uso tan privado - como un programa de contabilidad hecho a medida, pongamos por caso - que era muy difícil que algún white hat les hiciera una prueba de vulnerabilidad.
>
::: yo no soy yo :::

De la misma manera, podríamos ponernos a tratar de abrir autos, a ver que tan seguros son, desarmar sistemas de alarmas, frenar los autos de 200 a 0 en menos de 120 mts. (que es lo que dice el fabricante que tiene), probar las estructuras de los edificios, y, en fin, "por la nuestra", tratar de reventar todo lo que tiene un cierto margen de fiabilidad.

Y acaso no podemos intentar abrir nuestro coche, desactivar nuestra alarma, probar la resistencia de nuestras estanterías, etc. Y si vemos que no funcionan bien, pues contárselo a los demás. Acaso tú no le cuentas a tus amigos si te han cobrado demasiado en un restaurante o si la comida era una bazofia. Pues deberíamos poder avisar a la gente cuando lo que nos ofrecen no es todo lo bueno que merecemos.



En teoría no hay diferencia entre la teoría y la práctica. En la práctica sí la hay

Ojala fuera lo mismo en todo.
Las cerraduras TIENEN que cumplir una normativa que establece niveles de seguridad, y TIENEN que decir que nivel de seguridad da una cerradura. Se realizan auditorias OBLIGATORIAS por ciertas empresas para comprobar que lo cumplen.
Para hacer un piso, hay que cumplir muuchas normativas, y si no cumples y se cae (por fallo del que lo hace) se puede ir contra el en juicio. Los coches pasan pruebas de seguridad, de frenado, de pegarsela contra un muro... osease lo mismo k lo k hace un "white hat". Y si se dan cuenta despues de venderlo, cambian todos los que estan mal (para evitar problemas mayores).

En software NO tienen que cumplir nada, de hecho ni siquiera tienen una garantia (como el resto de productos) y actualmente un ordenador (en algunas empresa) tienen cosas que pueden valer mas que lo que robes por saltarte una cerradura de un coche.

Cuando el soft privativo se tengan que someter a normas de seguridad y calidad o algo asi, se podra dar tu argumento, mientras tanto lo unico que hace la comunidad es defenderse.

Conste que no hablo de entrar a ordenadores de otros, sino con alguno de prueba.

Hay una diferencia importante: el software son ideas y todo lo que has dicho son cosas fisicas. Si un hacker destripa un programa no ha hecho daño a nadie, ni se ha perdido dinero, ni recursos, ni tampoco ha representado un peligro o perjuicio para nadie. Y lo mejor de todo: ha ganado experiencia y ha demostrado que la idea de otros se puede desmontar, haciendo que la ciencia de la seguridad avance. Segun tu lo mejor es "fiarnos" y creer que lo que tenemos entre manos es seguro, fiarnos de algo que no es como un coche, una cosa que se puede petar remotamente o sin nisiquiera estar fisicamente ahi. Lo tuyo es valor...

A mi incluso me parece que en realidad todavia hay pocos hackers y tendrian que haber mas.

PD: El Gnome se me come los acentos.