top of page

Seguridad del software de código abierto se encuentra en constante amenaza

CIO

Los softwares de código abierto se pueden encontrar en todos los lugares que tengan computadoras de grandes compañías. Este tipo de tecnología impulsa gran parte de la industria financiera, de las ciencias de la vida; inclusive se encuentra en empresas como Tesla o los entornos secretos de las agencias de inteligencia estadounidenses.

Estos códigos abiertos se utilizan de manera tan universal que es muy difícil encontrar un responsable de la toma de decisiones de TI en una gran organización, en cualquier lugar que no haya desplegado una gran cantidad de él a lo largo de la operación

Mark Curphey, fundador y CEO de la startup de seguridad SourceClear, ama el software de código abierto. Sin embargo, para él el problema con este tipo de códigos reside en la cantidad de librerías y componentes de software de código abierto que son utilizados  reutilizados una y otra vez. Dando como resultado que el código vulnerable termine en todos lados, exponiendo a las aplicaciones y dispositivos a ataques.

El software reutilizable genera vulnerabilidades que se recrean una y otra vez. Un ejemplo reciente de estas vulnerabilidades sucedió con Apache Struts, un marco de código abierto para la creación de aplicaciones web Java utilizado por muchas compañías. Una de ellas fue la firma de informes de crédito Equifax, donde los atacantes explotaron una vulnerabilidad logrando obtener datos de 150 millones de consumidores.

Chris Wysopal, CTO y cofundador de Veracode, un grupo de CA Technologies que opera un servicio basado en la nube que escanea el código del software en busca de vulnerabilidades; afirma que la industria de seguridad apenas se está dando cuenta de la escala de los potenciales problemas generalizados.

“El código abierto es tan popular y penetrante ahora que las vulnerabilidades están surgiendo como una clase diferente de amenaza. Cuando encuentras una vulnerabilidad en los componentes de código abierto, es probable que la encuentres en todas las aplicaciones que usan ese componente”, puntualizó Wysopal.

Estas vulnerabilidades son derivadas de un problema mayor: las personas tienden a creer que si existe un problema en una aplicación de código abierto, alguien eventualmente lo va a arreglar.

“Existe la noción romántica de que, como puedes ver el código fuente, y que si algo no funciona o hay un problema con él, alguien de la comunidad lo arreglará, pero la mayoría de las veces eso no sucede”, agregó Curphey.

Según un estudio de Black Duck Software, de 1.000 aplicaciones, su mayoría (96%) contienen componentes de fuente abierta. Donde poco más de dos tercios de las aplicaciones, un 67%, contenían vulnerabilidades documentadas, algunas conocidas años atrás.

Sin embargo, las mismas personas y empresas podrían encargarse de detectar la vulnerabilidad y parchearla, pero en su mayoría consideran son muy costosos en tiempo y dinero.

Sin una cadena de herramientas central o incluso un conjunto central de políticas de la Fundación Apache, la responsabilidad recae sobre la propia comunidad de desarrolladores y consumidores de software de código abierto, para solucionar estas vulnerabilidades cuando se encuentran. Sin embargo, según los cálculos de SourceClear, quizás el 10 por ciento se haya solucionado.

Dar solución a este tipo de problemas es lo que se propuso SourceClear, su servicio basado en la nube escanea el código del software buscando vulnerabilidades, utilizando el aprendizaje automático y la ciencia de datos para determinar dónde los desarrolladores han estado solucionando los problemas de seguridad en su código sin decirle a nadie. Analizan los registros de cambios y vigilan de cerca a los rastreadores de errores.

Luego se integran los resultados de los escaneos con prácticas de desarrollo ágiles modernas. Los clientes utilizan la información de inteligencia obtenida de los escaneos para establecer políticas: ¿qué bibliotecas están prohibidas y cuáles están aprobadas? ¿Qué hacer cuando se ha utilizado una biblioteca prohibida?

Se han encontrado estancias de malware siendo empujadas directamente al ecosistema de código abierto. También, los atacantes son “errores ortográficos” que crean paquetes con nombres ligeramente diferentes a los populares encontrados en los repositorios npm. Se han detectado casos en los que se atrapan puertas traseras que se insertan en los paquetes.

Curphey calcula que hasta el 90 por ciento de las vulnerabilidades que SourceClear encuentra no figuran en la Base de Datos Nacional de Vulnerabilidades, el repositorio de vulnerabilidades de software operado por el gobierno de EE. UU.

Comments


bottom of page