Skip to content

Nessus dejará de ser código abierto

Publicado por Sergio Hernando el 8 octubre 2005

Comentan los camaradas del laboratorio que Nessus dejará de ser código abierto.

He buscado alguna fuente donde hablen del tema, y la única que me ha aparecido en Google News es Kriptópolis, donde hablan de que Nessus echa el cerrojazo.

Al parecer, según leo el autor, Renaud Deraison, justifica el cambio de licencia debido a que la competencia se está aprovechando la libre disponibilidad del código de Nessus para implementar productos que merman su cuota de mercado.
nessus

Quizás a Renuad Deraison, libre de hacer con su producto lo que le venga en gana, habría que recordarle que eso de echarle la culpa al código libre es un poco pueril. Si su estrategia de productos comerciales basados en Nessus ha fracasado, es simplemente, porque no ha actuado bien desde el punto de vista comercial. Si la competencia hace algo mejor que tú, la culpa es tuya por no haber explotado bien la ventaja competitiva que te hace ser líder siempre: ser el primero en picar la piedra, y hacer que los demás bailen a tu son, lo que se conocer en la jerga empresarial como follow the leader.

SuSe, o Novell, como se prefiera, Red Hat, y otras muchas compañías de altísimo nivel, como IBM, son ejemplos claros de lo que Deraison ha pasado por alto. El modelo comercial de GPL funciona, y funciona bien.
Y la disponibilidad del código sólo puede perjudicar a quien no sabe cómo explotar comercialmente una herramienta. ¿Cuántas empresas consultoras a nivel mundial explotan soluciones abiertas generando ingresos millonarios? ¿Sabrá Deraison que Google basa, por ejemplo, todos sus servicios web en una infraestructura Linux? ¿O que IBM totaliza casi un 70% de sus ingresos por servicios de implementación y/o consultoría de soluciones libres?

Nessus es una herramienta. El error en el que cae Deraison es que confunde herramientas con servicios. Si Nessus hubiera actuado diligentemente en los 7 años que lleva en el mercado y hubiera consolidado una empresa de servicios de consultoría para haber explotado y conducido test perimetrales, de intrusión o de índole interna con su estupenda herramienta, Deraison sería ahora un hombre con mucho dinero en la cuenta del banco. Dada la repercusión de Nessus, y el incalculable valor de que más de 75.000 organizaciones usen tu herramienta y te hagan un marketing viral gratuíto, si no ha sabido consolidar una empresa de servicios que se aproveche de Nessus, es simplemente, necedad empresarial.

La decisión que toma, desde luego, y me refiero a lo relativo al incremento de su competitividad, es ridícula. Eso no quita que desde el punto de vista personal vea respetabilísima y honorabilísima la decisión, ya que para algo es el creador. Pero si toma la decisión por motivos comerciales, desde luego, que se está equivocando. Sobre todo porque la versión actual, que es GPL, es perfectamente forkable, y porque esos teóricos productos que le hacen la competencia, los cuales ni cita, deben ser GPL al estar basados en GPL. Es decir, por mucho que Nessus cierre el grifo, todos aquellos que le han suministrado fixes, features, mejoras, que la comunidad de Nessus y sus contrubuyentes es MUY grande, podrán retomar el proyecto, podrán hacer un producto equivalente a Nessus y podrán seguir explotando comercialmente lo que de Nessus se derive.
nessus

Tampoco debe olvidar Deraison que si pretende ganar más dinero, de poco le ayudará seguir distribuyendo de modo gratuíto la aplicación. Desde luego es un detalle de su parte, teniendo en cuenta que durante 7 años de desarrollo, miles son los programadores, auditores y usuarios que le han afinado la herramienta sin cobrar un duro, en un modelo de desarrollo comunitario idílico. Tampoco debe olvidar el amplísimo ramillete de escáneres, como Nmap, que equivalen perfectamente a Nessus (ACT: al parecer ésta frase ha suscitado "polémica" así que ratifico aquí que me refiero a que CIERTAS FUNCIONALIDADES de ambas soluciones son compartidas y CIERTOS tipos de trabajos son realizables con las dos soluciones. En ningún caso se pretendía equiparar LA TOTALIDAD de funcionalidades de Nessus y Nmap, ya que es obvio que viendo las features, hablamos de dos cosas muy distintas y con gran diferencia) . ¿Cree que la gente va a pagar así porque así, habiendo alternativas buenas y sobre todo, siendo la previsión del propio Deraison conservar el acceso a la descarga de Nessus gratuíto?

Cuando se licencia un contenido bajo GPL, hay que tener muy claro que, por un lado, tu código será visible y modificable, pero por otro lado, dado que externalizas prácticamente todo el desarrollo, que te lo hace gratis una comunidad de usuarios, no gastas dinero. Novell, que tiene un concepto empresarial más avanzado que el de Deraison, ha liberado OpenSuSe porque sabe muy bien que por mucho que la competencia vea el código, el beneficio que obtiene del feedback de la comunidad y la externalización del desarrollo le va a permitir invertir lo suficiente en recursos comerciales para seguir siendo una de las empresas más rentables del planeta. Lo mismo podríamos decir de Sun, que ofrece en código abierto OpenSolaris, así como el código de Looking Glass. Openwengo es otro ejemplo de cómo se hacen bien las cosas. Red Hat y Fedora Core son otro ejemplo muy válido. IBM y Cloudscape y un total de más de 500 patentes propiedad suya liberadas, son otro caso real de rentabilidad. HP liberó CoolTown, incluso porciones del código de su revolucionario sistema operativo de calculadoras, y no se les hundió el negocio. O el caso de ID Software y Activision liberando porciones de sus juegos, que hoy por hoy siguen proporcionando ingresos millonarios. Si es que hasta el modesto Ayuntamiento de San Roque se ha dado cuenta de las bondades de GPL y ha liberado aplicaciones Java. Idem para la Junta de Andalucía.

Y no hay que ser una multinacional para sacar dinero de la GPL: Obsérvense los casos de Capatres, explotando Asterisk, Facturalux desplegando servicios de consultoría, el sistema de gestión Fenicius, el software ducativo SOFILIN... Hasta los usuarios particulares con dos dedos de frente pueden rentabilizar código GPL. Hasta yo mismo puedo incluírme en la lista. Cuando alguien me pide un sistema de logueo en un servicio web le ofrezco gratis XSLS, que es un script chorra y elemental que ofrezco bajo GPL, y el cual insto a que sea dewcargado y modificado cuanto se desee. Hasta respondo gratis consultas a usuarios que quieren usarlo en sus páginas y se topan con alguna dificultad. Eso sí, si quieres que te lo instale yo, te cobro. Hoy por hoy, he instalado un sistema basado en XSLS, eso sí, mucho más completo, en algunos clientes conocidos míos, y os puedo asegurar que entre el despliegue y el mantenimiento de los sistemas de autenticación web, he rentabilizado con sobras las 2 horillas que me llevó desarrollar el script.

La lista sería interminable.

Sin embargo, Deraison no ha sabido explotar comercialmente sus productos. Y pese a que respeto mucho su decisión de cambiar la licencia, ya que a fin de cuentas es su propiedad intelectual, debería ser menos mezquino y asumir sus errores comerciales en vez de culpar a algo que le está proprocionando ingresos millonarios a buena parte de la esfera TI, no sólo española, sino internacional.

nessus

Me comentaba recientemente un amigo sobre licencias, y me pedía consejo. Yo le dije que escogiera sabiamente, y que valorase los pros y contras de una licencia privativa frente a una licencia abierta. Le puse ejemplos de ambos tipos, le cité a Autodesk, un ejemplo de cómo se hacen bien las cosas con código privativo, y le hablé de Asterisk, un ejemplo de buen hacer con código libre. No quise entrar en valorar qué era mejor, ya que algunas veces recomiendo código abierto y otras, código cerrado. Valorar el código libre frente al propietario sin contextualizar por segmentos, es aún más ridículo que echarle la culpa de tu incapacidad comercial a la GPL.

Comprendió el caso del código privativo sin problema. Sin duda, es fácil de comprender: yo hago algo, retengo en secreto la fórmula y la exploto yo solito. Sin embargo no entendió bien cómo explotar comercialmente algo que era libre. Le puse el ejemplo de un bar, y le dije: ¿Tú sabes como funciona un bar por dentro? ¿sabrías montar uno? ¿es de dominio público el conocimiento necesario para habilitar una cafetería en cuanto a sus instalaciones?

Respondió que sí. Acto seguido le dije que pensar en cuántos bares y cafeterías tenían éxito y cuáles cerraban a los meses de estar abiertas. Le dije que pensara en que cuando un bar o cafetería cierra es por falta de clientela, y éso es culpa exclusiva del dueño, que no ha sabido hacerse una cartera, o se ha equivocado de sitio al montar el bar. Pero en ningún caso es culpa de que un vecino se fije en cómo has montado el bar, monte uno parecido al tuyo y lo llene de clientes satisfecho día tras día.

Seguramente, si Deraison vendiera más copias de sus libros, o si tuviera más clientes que le solicitasen tests perimetrales, no se quejaría de lo que no se puede quejar.

Renaud, una última cosa: gracias por tu trabajo y por liderar la comunidad. Tus esfuerzos son reconocidos y de manera sobresaliente. Y suerte con tu nuevo punto de vista. Yo no he usado apenas Nessus, soy más bien amigo de Nmap (ACT: insisto, para las labores realizables en ambas soluciones, véase ACT anterior), pero eso no quita que aunque no comparta los motivos que te llevan a tomar ésta decisión, espero y deseo que logres el éxito económico que no has podido lograr con el planteamiento actual de tu herramienta.

Be Sociable, Share!
4 comentarios
  1. 10 octubre 2005
    chuwa permalink

    “ACT: al parecer ésta frase -la que decía que Nmap equivale a lo mismo que Nessus- ha suscitado “polémica” así que ratifico aquí que me refiero a que CIERTAS FUNCIONALIDADES de ambas soluciones son compartidas (…)”.

    Evidentemente aún después de que te hayan hecho toda esa “polémica” -como la llamás- seguís sin saber de lo que estás hablando… Como cualquiera que los haya usado sabe: Nmap es un scanner de puertos; Nessus un scanner de vulnerabilidades. Punto. Ni comparten “ciertas funcionalidades”, ni nada. No inventes polémica donde no la hay.

    Más aún, Nessus -debido a que carece por sí sólo de la capacidad para escanear puertos- hace uso de… adiviná, Nmap, sí! para escanear puertos primero y vulnerabilidades después con su propio motor, sobre esos puertos que Nmap reportó.

    No seas pancho, hacete cargo y hacé un “mea culpa” cuando te confundís en vez de justificarte con sandeces del tipo “no… lo que pasa es que… las ‘features’… y entonces….”.

    ———–

    Ni que hablar de que “Openwengo es otro ejemplo de cómo se hacen bien las cosas.” -hablando sobre modelos de negocios, claro-; y menos mal que leí este artículo, de otra forma no me hubiera dado cuenta del pésimo modelo de negocios que usó Skype, que hace nada fue comprado por -ejem- 2 MIL 6 CIENTOS MILLONES de dólares por eBay (http://www.skype.com/company/news/2005/skype_ebay.html)… pero bueno, eso ameritaría otra discusión.

    Tripa!!!

  2. 10 octubre 2005

    La “polémica” comentada surgió a raíz de que precisamente me advirtieron los compañeros de que había un error manifiesto. Más que una discusión, era eso, “una polémica” (el entrecomillado lo dice todo, menos para tí)

    Respecto a lo que dices, pues bueno, como tú prefieras. Date una vuelta por los plugins de Nessus y verás que Nmap es uno de ellos. Si ya lo has verificado, pues mucho mejor. Trabajo que hemos adelantado.

    Es decir, que para el escaneo de puertos, es factible usar Nessus. El que Nessus sea un escáner de vulnerabilidades no implica que yo, si me sale del alma, pueda usarlo como escáner de puertos: me instalo el plugin y en vez de llamar a nmap por la consola, lo lanzo desde Nessus. Igual que si me da por coger a Nessus y usarlo para detectar vulnerabilidades Web a través de los plugins, en vez de emplear por ejemplo, Nikto o cualquier otro escáner parecido.

    Si te molestas en leer el documento con detenimiento , en vez de despotricar airadamente, comprobarás que me estaba refiriendo continuamente a los análisis perimetrales, basados en los escaneos de puertos, quise comentar que bueno, que antes que coger Nessus y meterle el plugin de Nmap, pues casi que prefiero el nmap a pelo. Por funcionalidad compartida me refiero a que, por ejemplo, si quiero el fingerprint OS de una máquina, bien uso nmap, o si estoy aburrido y con ganas de un poco de GTK, me cojo Nessus y lanzo el Nmap desde la interfaz.

    En fin, las cosas de querer decir una cosa y acabar diciendo otra. No te preocupes, si te quedas más tranquilo, venga, me he equivocado y ya está. No quisiera que te calentaras más con éste asunto hombre, que te veo algo tenso ;)

    Gracias por tu comentario y un saludo :)

    PD: Te vendrían bien unas lecciones de castellano escrito, lo digo porque me cuesta un poco de trabajo entender tus comentarios y no es que tenga tiempo sobrado para éstos menesteres. Eh, ojito, nada que ver con posibles rencores hacia tu maravillosa tierra Argentina, que te veo venir :)

  3. 10 octubre 2005
    chuwa permalink

    Hey, Sergio, haciendo un rapaso veo que mi mensaje fue, digamos… con una agresividad algo innecesaria, y tu respuesta ha sido sin embargo bienintencionada. Así que nada, tripa, un saludo!!! :)

  4. 11 octubre 2005

    Un saludo para ti tb hombre :D

    Si ésto es o bueno que tiene mi blog, que aquí al final nos acabamos entendiendo todos ;)

    Saludos cordiales

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS