[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Evitar robo de código fuente

El 28/02/2013, a las 01:52, Edgar Vargas escribió:

> El 27/02/13, Juan Manuel Acuña Barrera <gps1mx@gmail.com> escribió:
>> 
>> El 27/02/2013, a las 05:06, Edgar Vargas escribió:
>> 
>>> El día 26 de febrero de 2013 13:04, Juan Manuel Acuña Barrera
>>> <gps1mx@gmail.com> escribió:
>>>> Buenos días a todos.
>>>> 
>>>> El día de hoy los molesto porque un cliente y amigo me hizo una petición
>>>> muy particular, y recurro a su experiencia a ver si les ha tocado algo
>>>> similar o me pueden orientar. Les expongo la situación:
>>>> 
>>>> -> Mi cliente tiene software desarrollado a medida (php y mysql), en un
>>>> servidor Debian. Este software fue mandado a hacer unos años atrás, y fue
>>>> bastante costoso.
>>> 
>>> Hola, de seguro que fue costoso y vale la pena restringir su uso,
>>> porque lo mandó a hacer y le costó dinero, no hay nada de malo cuidar
>>> su propiedad.
>>> 
>>>> 
>>>> -> Ya por el tiempo que tiene este software es necesario hacer
>>>> adecuaciones, pero mi cliente tiene miedo a que le roben el código fuente
>>>> del mismo, porque en una actualización anterior del sistema, el
>>>> desarrollador que tenían se enviaba él mismo a su correo partes de código
>>>> fuente, fue descubierto y despedido, pero le dejó un muy mal sabor de
>>>> boca a mi cliente, ya que este software es la ventaja competitiva que
>>>> tiene mi cliente sobre su competencia, por lo que es vital para su
>>>> negocio.
>>> 
>>> 
>>> ¿Miedo? por qué? seguro que no tiene un equipo de confianza, seguro
>>> tiene personas que son algo extrañas, debería de cambiar de personal.
>>> 
>>> Cuando se trabaja con personas y se conversa con ellas bien claro y se
>>> trata de cumplir los acuerdos medianamente no tiene porque suceder
>>> este tipo de cosas, licencias sobre el sw, debería de tener y los
>>> desarrollares debería de saberlas bien claro.
>> 
>> El problema es que cuando mi cliente hizo este proceso hace algunos años,
>> confió en el programador, el cual evidentemente no era una persona con ética
>> profesional, y éste programador se llevó parte de su código, además de que
>> solo hizo chapuzas.
>> 
>>> 
>>>> 
>>>> -> Mi cliente quiere poner en una de sus oficinas un área para los
>>>> desarrolladores (2 o 3 pc), con debian, para que los desarrolladores
>>>> puedan actualizar el software, pero quiere que se pueda "garantizar" que
>>>> no se llevan su código fuente. Pongo "garantizar" entre comillas por que
>>>> me queda claro que no hay imposibles, pero mi labor es dificultarlo tanto
>>>> como sea posible. Éstos equipos únicamente están destinados para el
>>>> desarrollo de software, no hay ni audio ni impresoras ni nada de nada.
>>>> Los equipos se conectan a internet por medio de un DSL común y
>>>> corriente.
>>> 
>>> 
>>> No se puede garantizar al 100%, te imaginas que yo lea ese codigo y lo
>>> entienda y haga UNA COPIA EN MI DISCO DURO QUE ES MI CEREBRO? cómo me
>>> vas a restringir a ese nivel? no se puede, solo teniendo claro las
>>> reglas, de todas maneras el desarrollador llevará esa idea en su mente
>>> y podrá usar ello en otro proyecto, algo similar pero para eso esta la
>>> licencia, si es igual el dueño puede decirle es copia fie de mi
>>> propiedad y debes leer la licencia que puse, las restringí y si no
>>> mencionas al autor y no te pones en contacto conmigo te denunaciaré, y
>>> se que fuiste tu porque uno de los desarrolladores fuiste tu, algo
>>> asi, verdad? creo que hay licencias como GPL, BSD, etc., donde uno
>>> puede usar ellas y restringir.}
>> 
>> Estoy completamente de acuerdo que no hay garantía al 100%, y se lo he hecho
>> saber a mi cliente varias veces, pero él insiste en su idea.
>>> 
>>> ME parece que no lo estas asesorando buien a tu amigo o jefe, tu
>>> deberías de conversar y mostrarle los pros y contras los riesgos,
>>> etc., debes de leer licencias de sw y usar alguna que se adapte con la
>>> necesidad, creo que una solución es que implementen bien las licencias
>>> y contrate gente mas responsable y seria osea un profesional y no
>>> extraños que no respetan las normas o reglas.
>> 
>> Lo he comentado varias veces con él ... y nada :(
>>>> 
>>>> Lo que he pensado es lo siguiente:
>>>> 
>>>> -> Quitar todos los accesos USB a los equipos (usar equipos con ratón y
>>>> teclado pci).
>>> 
>>> medidas extremas, muy extremas, casi paranoico (segun yo) conversando
>>> y haciendo las cosas como deben ser no debería de usarse estas medidas
>>>> 
>>>> -> Quitar quemadores y similares de los equipos.
>>> 
>>> Que manera de trabajar, se nota que algo sucede ahi, deberían de
>>> reflexionar y hacer las cosas bien, son emdidas extremas muy extremas,
>>> aunque quien sabe si asi trabajan pues no se puede hacer casi nada,
>>> solo un consejo de mi parte respiren profundo y refelxionen algo anda
>>> mal, eso no es normal, por qué llegar a esas medidas? si una máquina
>>> necesita esas cosas para trabajar..., un caso que me sorprende...
>> 
>> En este punto no coincido contigo, ya que en la empresa de mi cliente se
>> maneja mucha información privada de sus clientes, por lo que ya de por si
>> todos (o casi todos) los equipos de la empresa traen bloqueados los usb y
>> los quemadores. Creo que para esto hay que determinar las condiciones
>> particulares de cada entidad o empresa y en base a esto determinar cuales
>> son las medidas "estandar" aplicables a la misma.
> 
> Si me dirían a  mi trabaja asi, de veras que me sorprendería mucho
> porque pocos casos se ve ello, no hay un buen clima por ahí me haría
> pensar que son muy extremistas y pensaría muchas cosas, por qué?
> porque yo no soy extraño, respeto las cosas y robo nada, no se han
> puesto a pensar en ello? causan mala impresión a futuros developers
> que tal vez contraten.

Pues fijate que, contrario a lo que se puede pensar, se lleva bastante buen clima laboral en esa empresa, y mi cliente suele ser bastante buen jefe con sus empleados.

Lo de las usb deshabilitadas y eso es por la info personal que manejan, que es bastante, y (me parece, no estoy seguro) tienen algún tipo de reglamentación al respecto.

> 
> 
>> 
>>> 
>>>> 
>>>> -> Ya que los equipos se conectarían al servidor por internet, vía SSH,
>>>> permitir únicamente que se conecte a dicho servidor (no se como hacerlo,
>>>> pero me imagino que no debería ser tan difícil).
>>> 
>>> Basta que este en internet ya no es seguro, theo (lider del proyecto
>>> OpenBSD) decía hostil internet y el es uno de los que crea el sistema
>>> operativo pensado en seguridad por defecto, entonces nada es seguro.
>>> 
>>> Pero se puede aumentar el nievel de seguridad usando algunas
>>> herramientas, pero no es completamente seguro, lo seguro sería
>>> desconectar la maquina de internet.
>>> 
>>> También lo importante es las PERSONAS los seres humanos, parece que no
>>> estan tomando en cuenta, deben ser bien elegidas.
>> 
>> Yo no haré la selección de personal.
> 
> 
> AHI ESTA EL PROBLEMA, tu supongo que tu sentido común te dice que le
> digas a tu cliente: "Amigo para evitarte malos ratos tienes que saber
> a qué personas contratas, quién es tu equipo de trabajo, debes elegir
> bien" así creo que deberías de aconsejar, de ahi para adelante ya no
> puedes hacer nada, queda en mano s del tu cliente y por lo visto no
> esta escogiendo un buen personal de confianza, si asi como dices ue le
> roban el codigo mañana pueden robarle la empresa jaaj, en fin creo que
> deberías ser más ingenioso tu al asesorar a tu cliente, que más que
> cliente creo que es tu amigo..., en fin.

Lo que le he recomendado apenas hace unos días es que tenga a sus programadores de planta, no solo para el proyecto a corto plazo, sino para que sean parte de la empresa. Obviamente el tema de la selección de personal es difícil y delicado, pero confío en que hará un buen trabajo.

> 
>> 
>>>> 
>>>> ¿Alguien se ha enfrentado en el pasado a alguna situación similar?
>>> 
>>> Si, algunas veces hice algunas cosas en programación y se lo vendí
>>> todo, codigo fuente y manuales, me pago y me pregunto cosas sobre
>>> proteger su codigo, le comenté sobre licencias, mi experiencia con
>>> estas cosas de sw libre, internet, etc., etc., entendió y todo estuvo
>>> bien, el comprendió y el sabe y conoce los riesgos y lo esta usando
>>> bien, lo tienen unos cuantos y no hay problema.
>>>> 
>>>> ¿Alguna recomendación para implementar lo anterior o para implementar
>>>> otros o mejores candados?
>>> 
>>> Las personas son importantes, luego sw y hardware, recuerda INGENIERIA
>>> SOCIAL, los "mejores hackers" han hablado sobre ello, habras leido
>>> supongo sobre ello, parece que no.
>>> 
>>>> 
>>>> Como siempre les agradezco mucho el tiempo que se tomaron en leer este
>>>> mensaje, que me quedó bastante más largo de lo esperado. También les
>>>> agradezco mucho sus comentarios y sugerencias.
>>> 
>>> Pues asesora bien a tu amigo o cliente, te toca estar en acción a ti
>>> ahora.
>> 
>> Te agradezco mucho tus comentarios.
>> 
>> Saludos!
>>> 
>>>> 
>>>> Saludos!
>>> 
>>> Saludos.
>>> 
>>>> 
>>>> Juan Manuel.
>>>> 
>>>> --
>>>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>>>> with a subject of "unsubscribe". Trouble? Contact
>>>> listmaster@lists.debian.org
>>>> Archive:
>>>> [🔎] 9816E1B9-50B8-40F4-83FB-F8ECA7554E80@gmail.com">http://lists.debian.org/[🔎] 9816E1B9-50B8-40F4-83FB-F8ECA7554E80@gmail.com
>>>> 
>> 
>> 
>> 
>> --
>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>> Archive:
>> [🔎] B7B6A180-96E0-4B1B-954B-151A380A1FE7@gmail.com">http://lists.debian.org/[🔎] B7B6A180-96E0-4B1B-954B-151A380A1FE7@gmail.com
>> 
>> 

Muchas gracias por tus comentarios.

Saludos!
Reply to: