InfoSecMan Blog

Acaba de salir el MacOS X Leopard y ya tiene problemas, sale Windows Vista y a los 2 días ya existen un montón de bugs y problemas de seguridad. Lo mismo ocurre día tras día con las distintas aplicaciones y sistemas operativos que todos manejamos, y esa es la base de la gran mayoría de ataques existentes en la red hoy por hoy: sus agujeros de seguridad, sus “errores” o bugs.

Parece impensable que se publique una aplicación de uso “masivo” en Internet que pueda estar libre de estos problemas de seguridad. Si existiese algo así y lo tuviese un gigante como Microsoft (por nombrar el más evidente) o cualquier otro fabricante de renombre, estoy seguro que lo veríamos a diario en prensa, sería una ventaja competitiva imbatible: nuestra aplicación NO tiene problemas de seguridad.

¿Os imagináis un servidor de correo así? … pues existe (estoy seguro de que muchos de vosotros lo conocéis) y este año ha cumplido la friolera de 10 años sin un cambio de versión, parche o actualización… porque no le ha hecho falta.

¿Y si os digo que hay más de 1.000.000 de instalaciones de este servidor? ¿y si os cuento que es el servidor de correo que soporta Yahoo! mail, Yahoo! Groups, USA.net, Network Solutions o MessageLabs (que analiza 100 millones de correos a la semana en búsqueda de malware) entre otros?

Pero aún hay más. Si os digo que desde su publicación el 15 de Junio de 1998 no se le ha descubierto ninguna vulnerabilidad ni error aún cuando su autor tiene ofrecida una “recompensa” de 1000$ a aquel que pueda encontrar un hueco en el mismo ¿qué me decís entonces? IM-PRE-SIO-NAN-TE ¿verdad?

Sí. No es otro que el eficiente, versátil y seguro servidor de correo qmail desarrollado por Daniel J. Bernstein, autor también de otra aplicación de similares características: djbdns, en este caso un servidor DNS con muchos mejores resultados en seguridad y gestión de recursos que los ya conocidos bind u otros similares.

Por distintas razones, he tenido la oportunidad de instalar y administrar este servidor en distintas ubicaciones desde su lanzamiento (allá en 1998) y os puedo asegurar que, sin duda alguna, es una auténtica joya. Eso sí, no es nada “amigable” desde el punto de vista de usuario (no esperéis una interfaz gráfica o cosas similares), pero se pueden hacer auténticas “virguerías” con el mismo. Os lo recomiendo (e igualmente, el servidor DNS djbdns, a años luz del bind).

Todo esto viene porque tras 10 años de este servidor retando al tiempo y a la comunidad en búsqueda de errores, su autor, Daniel J. Bernstein ha publicado un artículo muy interesante con algunas reflexiones sobre su desarrollo y lo que me parece aún más importante, algunas ideas sobre la programación segura y cómo disminuir los bugs y errores de una aplicación, aproximado siempre de una forma distinta como suele hacerlo el señor Bernstein (que por otra parte, como toque rosa a esta reseña, hemos de comentar que no es una persona extremadamente extrovertida o socialmente “afable”).

Podéis acceder al artículo completo de Dan J. Bernstein aquí.

Desde aquí, ¡Felicidades qmail! y claro, ¡Felicidades Sr. Bernstein!