El 27/02/2013, a las 05:06, Edgar Vargas escribió: > El día 26 de febrero de 2013 13:04, Juan Manuel Acuña Barrera > <gps...@gmail.com> escribió: >> Buenos días a todos. >> >> El día de hoy los molesto porque un cliente y amigo me hizo una petición muy >> particular, y recurro a su experiencia a ver si les ha tocado algo similar o >> me pueden orientar. Les expongo la situación: >> >> -> Mi cliente tiene software desarrollado a medida (php y mysql), en un >> servidor Debian. Este software fue mandado a hacer unos años atrás, y fue >> bastante costoso. > > Hola, de seguro que fue costoso y vale la pena restringir su uso, > porque lo mandó a hacer y le costó dinero, no hay nada de malo cuidar > su propiedad. > >> >> -> Ya por el tiempo que tiene este software es necesario hacer adecuaciones, >> pero mi cliente tiene miedo a que le roben el código fuente del mismo, >> porque en una actualización anterior del sistema, el desarrollador que >> tenían se enviaba él mismo a su correo partes de código fuente, fue >> descubierto y despedido, pero le dejó un muy mal sabor de boca a mi cliente, >> ya que este software es la ventaja competitiva que tiene mi cliente sobre su >> competencia, por lo que es vital para su negocio. > > > ¿Miedo? por qué? seguro que no tiene un equipo de confianza, seguro > tiene personas que son algo extrañas, debería de cambiar de personal. > > Cuando se trabaja con personas y se conversa con ellas bien claro y se > trata de cumplir los acuerdos medianamente no tiene porque suceder > este tipo de cosas, licencias sobre el sw, debería de tener y los > desarrollares debería de saberlas bien claro.
El problema es que cuando mi cliente hizo este proceso hace algunos años, confió en el programador, el cual evidentemente no era una persona con ética profesional, y éste programador se llevó parte de su código, además de que solo hizo chapuzas. > >> >> -> Mi cliente quiere poner en una de sus oficinas un área para los >> desarrolladores (2 o 3 pc), con debian, para que los desarrolladores puedan >> actualizar el software, pero quiere que se pueda "garantizar" que no se >> llevan su código fuente. Pongo "garantizar" entre comillas por que me queda >> claro que no hay imposibles, pero mi labor es dificultarlo tanto como sea >> posible. Éstos equipos únicamente están destinados para el desarrollo de >> software, no hay ni audio ni impresoras ni nada de nada. Los equipos se >> conectan a internet por medio de un DSL común y corriente. > > > No se puede garantizar al 100%, te imaginas que yo lea ese codigo y lo > entienda y haga UNA COPIA EN MI DISCO DURO QUE ES MI CEREBRO? cómo me > vas a restringir a ese nivel? no se puede, solo teniendo claro las > reglas, de todas maneras el desarrollador llevará esa idea en su mente > y podrá usar ello en otro proyecto, algo similar pero para eso esta la > licencia, si es igual el dueño puede decirle es copia fie de mi > propiedad y debes leer la licencia que puse, las restringí y si no > mencionas al autor y no te pones en contacto conmigo te denunaciaré, y > se que fuiste tu porque uno de los desarrolladores fuiste tu, algo > asi, verdad? creo que hay licencias como GPL, BSD, etc., donde uno > puede usar ellas y restringir.} Estoy completamente de acuerdo que no hay garantía al 100%, y se lo he hecho saber a mi cliente varias veces, pero él insiste en su idea. > > ME parece que no lo estas asesorando buien a tu amigo o jefe, tu > deberías de conversar y mostrarle los pros y contras los riesgos, > etc., debes de leer licencias de sw y usar alguna que se adapte con la > necesidad, creo que una solución es que implementen bien las licencias > y contrate gente mas responsable y seria osea un profesional y no > extraños que no respetan las normas o reglas. Lo he comentado varias veces con él ... y nada :( >> >> Lo que he pensado es lo siguiente: >> >> -> Quitar todos los accesos USB a los equipos (usar equipos con ratón y >> teclado pci). > > medidas extremas, muy extremas, casi paranoico (segun yo) conversando > y haciendo las cosas como deben ser no debería de usarse estas medidas >> >> -> Quitar quemadores y similares de los equipos. > > Que manera de trabajar, se nota que algo sucede ahi, deberían de > reflexionar y hacer las cosas bien, son emdidas extremas muy extremas, > aunque quien sabe si asi trabajan pues no se puede hacer casi nada, > solo un consejo de mi parte respiren profundo y refelxionen algo anda > mal, eso no es normal, por qué llegar a esas medidas? si una máquina > necesita esas cosas para trabajar..., un caso que me sorprende... En este punto no coincido contigo, ya que en la empresa de mi cliente se maneja mucha información privada de sus clientes, por lo que ya de por si todos (o casi todos) los equipos de la empresa traen bloqueados los usb y los quemadores. Creo que para esto hay que determinar las condiciones particulares de cada entidad o empresa y en base a esto determinar cuales son las medidas "estandar" aplicables a la misma. > >> >> -> Ya que los equipos se conectarían al servidor por internet, vía SSH, >> permitir únicamente que se conecte a dicho servidor (no se como hacerlo, >> pero me imagino que no debería ser tan difícil). > > Basta que este en internet ya no es seguro, theo (lider del proyecto > OpenBSD) decía hostil internet y el es uno de los que crea el sistema > operativo pensado en seguridad por defecto, entonces nada es seguro. > > Pero se puede aumentar el nievel de seguridad usando algunas > herramientas, pero no es completamente seguro, lo seguro sería > desconectar la maquina de internet. > > También lo importante es las PERSONAS los seres humanos, parece que no > estan tomando en cuenta, deben ser bien elegidas. Yo no haré la selección de personal. >> >> ¿Alguien se ha enfrentado en el pasado a alguna situación similar? > > Si, algunas veces hice algunas cosas en programación y se lo vendí > todo, codigo fuente y manuales, me pago y me pregunto cosas sobre > proteger su codigo, le comenté sobre licencias, mi experiencia con > estas cosas de sw libre, internet, etc., etc., entendió y todo estuvo > bien, el comprendió y el sabe y conoce los riesgos y lo esta usando > bien, lo tienen unos cuantos y no hay problema. >> >> ¿Alguna recomendación para implementar lo anterior o para implementar otros >> o mejores candados? > > Las personas son importantes, luego sw y hardware, recuerda INGENIERIA > SOCIAL, los "mejores hackers" han hablado sobre ello, habras leido > supongo sobre ello, parece que no. > >> >> Como siempre les agradezco mucho el tiempo que se tomaron en leer este >> mensaje, que me quedó bastante más largo de lo esperado. También les >> agradezco mucho sus comentarios y sugerencias. > > Pues asesora bien a tu amigo o cliente, te toca estar en acción a ti ahora. Te agradezco mucho tus comentarios. Saludos! > >> >> Saludos! > > Saludos. > >> >> Juan Manuel. >> >> -- >> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> Archive: >> http://lists.debian.org/9816e1b9-50b8-40f4-83fb-f8eca7554...@gmail.com >> -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/b7b6a180-96e0-4b1b-954b-151a380a1...@gmail.com
