jueves, 15 de febrero de 2007

DRM en Windows Vista

Leo vía Kriptópolis la traducción al español del artículo publicado el 12 de Febrero por Bruce Schneier entorno a la gestión de derechos digitales y Windows Vista.

Las críticas entorno a este sistema operativo están siendo tan intensas como la campaña de marketing que la propia compañía ha realizado. Es en estos momentos cuando debe generarse la necesidad para el cambio, la batalla por convencer al usuario final se libra más intensamente y en todos los frentes. He recibido varios correos cadena con argumentos dispares y confusos pero cuyo objetivo es atemorizar a la gente para que no migre.

Sinceramente no soy ni de unos ni de otros, aunque soy usuario Windows. Todavía como usuario no me convencen los entornos Linux porque su funcionalidad es similar y no veo ventajas a migrarme dado que voy a disfrutar de software que hace cosas similares a las de Windows o incluso muchas veces más limitadas.
La seguridad como argumento tampoco me convence porque con mis herramientas gratuitas siempre he conseguido mantener el PC libre de todo tipo de malware. Hay mucha potencia y mecanismos de prevención en los sistemas Microsoft que bien configurados consiguen unos niveles de seguridad muy considerables. Solo quiero recordar que la norma utilizada para certificar la "seguridad del software" son los Common Criteria o ISO 15408 y otorgan a Windows 2000 un nivel EAL 4. Mencionar que estas certificaciones son realizadas por laboratorios INDEPENDIENTES y que ponen a disposición de todo el mundo el escenario que se evalua y la información de configuración para conseguir el nivel certificado. En esta regla de comparación objetiva, otros sistemas operativos tienen resultados similares o inferiores:
- Apple Mac OS X v10.3.6, EAL 3.
- Hewlett-Packard HP-UX 11i v2, EAL 4+.
- MIRACLE LINUX V4.0, EAL 1.
- Nokia IPSO 3.5, EAL 4.
- Red Hat Enterprise Linux AS, EAL 3+
- Red Hat Enterprise Linux (RHEL) Version 4 Update 1 AS, EAL 4+.
- SUSE Linux Enterprise Server Version 9 with Service Pack 2, EAL 3+.
- VMware ESX Server 2.5.0, EAL 2.

Las configuraciones necesarias para obtener estos niveles y los requisitos de seguridad evaluados están disponibles al consultar cada certificación y accesibles visitando la url href="http://www.commoncriteriaportal.org/public/consumer/index.php.

Por tanto, no hay ni trampa ni cartón. En ese sentido comparto muchas veces los razonamientos del blog Un informático en el lado del mal como recientemente publico en su post Tonterías a la vista.

Se que en aspectos de seguridad se han realizado bastantes mejoras, que han sido cambios profundos en la propia Microsoft. Se han hecho bastantes esfuerzos y todos creo que correctos, como son el desarrollo de una metodología propia de desarrollo donde aplica seguridad en el diseño como es SDL o la construcción de un marco de operación de los sistemas con el famoso Microsoft Operation Framework (MOF). Todos estos esfuerzos por garantizar la fiabilidad y robustez de la informática son objetivamente una mejora en el camino correcto y desde este punto de vista,(en mi modesta opinión) Microsoft va siempre por delante. Es más dificil explorar un nuevo camino y abrir una senda, que recorrerlo cuanto ya está señalado y muy pateado.

Dicho esto, los argumentos que Schneier plantea cambian ya mi manera de ver este nuevo sistema operativo. No porque no satisfaga todos los requisitos necesarios para ser un sistema operativo más fiable, más robusto o más seguro sino porque empieza a hacer cosas que no me interesan. Como usuario no tengo por qué dedicar mi máquina a estar vigilando que se garantizan los derechos de terceros que no se hacen con otro tipo de amenazas o peligros. El 90% de mi tiempo lo dedico a retocar mis fotos, elaborar mis documentos o navegar por Internet para documentarme. ¿Por qué entonces el ordenador tiene que estar perdiendo el tiempo y recursos(memoria, ciclos de procesador) en monitorizarme para salvaguardar los intereses de unos terceros. ¿No es el usuario responsable e inocente hasta que se demuestre lo contrario?

Que yo sepa, nadie se plantea limitar los coches para que cumplan con las leyes de seguridad vial.¿Por qué debe ser el software diferente?.
 
;