211service.com
El código abierto podría significar una puerta abierta para los piratas informáticos
La capacidad de acceder al código de las aplicaciones de código abierto puede dar a los atacantes una ventaja en el desarrollo de exploits para el software, según un documento que analiza datos de ataques de dos años.
El documento, que se presentará esta semana en el Taller sobre la economía de la seguridad de la información, correlacionó 400 millones de alertas de sistemas de detección de intrusos con atributos conocidos del software y las vulnerabilidades objetivo. Los datos respaldan la afirmación de que las fallas en el software de código abierto tienden a ser atacadas más rápidamente y con más frecuencia que las vulnerabilidades en el software de código cerrado, dice Sam Ransbotham, profesor asistente de la Escuela de Administración Carroll de Boston College y autor del artículo.
Utilizando la regresión no lineal y otros modelos, Ransbotham descubrió que los ataques a las vulnerabilidades en el software de código abierto ocurrieron tres días antes y con casi un 50 por ciento más de frecuencia. Ransbotham sostiene que el conocimiento de cómo explotar una vulnerabilidad particular se extiende de manera similar a la difusión de la innovación tecnológica.
Si piensas en todo esto como un juego entre los buenos y los malos, al reducir el esfuerzo de los malos, hay un incentivo mucho mayor para que exploten los objetivos antes y golpeen a más empresas, dice Ransbotham.
Es probable que el documento reavive un debate entre los defensores de los modelos de desarrollo de código abierto y de código cerrado, quienes discuten si el sistema operativo de código abierto Linux es más seguro que Windows o si el navegador Firefox de código abierto de Mozilla es más seguro que Internet Explorer de Microsoft. . Los partidarios del código abierto argumentan que la accesibilidad del código permite a los buenos encontrar errores más rápido, mientras que los críticos argumentan que más atacantes que defensores están hurgando en el código, por lo que el efecto neto es una peor seguridad.
La investigación utilizó datos de alerta extraídos de sistemas de detección de intrusos administrados en nombre de 960 empresas por el proveedor de servicios de seguridad SecureWorks. Ransbotham correlacionó las alertas con vulnerabilidades específicas en la Base de datos nacional de vulnerabilidades (NVD), una gran colección de información sobre fallas de software administrada por el Instituto Nacional de Estándares y Tecnología. Si bien el NVD enumera vulnerabilidades en más de 13.000 productos de software para 2006 y 2007, los dos años a partir de los cuales se utilizaron los datos de alerta, solo la mitad de los productos podrían clasificarse como de código abierto o cerrado, dice Ransbotham.
Al vincular esos datos a la capacidad de los sistemas de detección de intrusos para reconocer un ataque en un sistema vulnerable, Ransbotham compiló una lista de 883 vulnerabilidades en software confirmado de código abierto o cerrado en el que se podrían reconocer los ataques. También clasificó las vulnerabilidades por otros atributos, como qué tan complejo sería para los atacantes explotar la falla y si había una firma disponible para los sistemas de detección de intrusos en el momento en que se informó la vulnerabilidad.
Al final, solo 97 de las 883 vulnerabilidades fueron atacadas por atacantes durante el período de dos años. Sin embargo, esto representa 111 millones, o aproximadamente una cuarta parte, de las alertas. Las alertas restantes podrían atribuirse a ataques a software que no se pueden clasificar como de código abierto o cerrado, ataques a vulnerabilidades que no tienen un atributo de identificación o falsos positivos.
En su análisis, Ransbotham descubrió que los ataques a las vulnerabilidades en el software de código abierto ocurrieron antes que los ataques al software de código cerrado, según se midió a partir del primer informe de la vulnerabilidad de cada empresa. Además, un mayor número de empresas fueron finalmente blanco de ataques a cada vulnerabilidad, en promedio. En ambos casos, sin embargo, el número de ataques finalmente se saturó.
A medida que los defensores obtienen sus parches, los atacantes tienen más incentivos para pasar a un exploit diferente, dice Ransbotham.
La capacidad de acceder al código de fuente abierta no es la única ventaja que se les da a los atacantes. El análisis de Ransbotham mostró una correlación entre la existencia de firmas, utilizadas por varios productos de seguridad para hacer coincidir un patrón conocido con una falla, y ataques anteriores, lo que sugiere que las actualizaciones utilizadas por los defensores para mejorar su defensa realmente ayudan a los atacantes.
Eso me dice que hay algo en tener esa firma que está ayudando a las personas ... dándoles una pista sobre cómo explotar la vulnerabilidad, dice Ransbotham.
Otra investigación ha sugerido que las firmas, y otras medidas defensivas, filtran información a los atacantes. En 2007, dos consultores de seguridad describieron el uso de firmas de un popular sistema de detección de intrusos para crear un código de ataque. En 2008, los investigadores académicos crearon un sistema para generar código de explotación potencial basado en el análisis automático de los parches lanzados por las empresas de software.
Sin embargo, los profesionales de la seguridad advierten que no deben leer demasiado en el análisis de Ransbotham. Muchos factores podrían sesgar los datos, dice David Aitel, director de tecnología de la firma de seguridad Immunity, que, entre sus servicios, crea exploits para probar las defensas de las redes corporativas. Según el artículo de Ransbotham, solo 30 de las 97 vulnerabilidades apuntadas por los atacantes estaban en software de código abierto, lo que significa que relativamente pocas vulnerabilidades fueron atacadas con mucha más frecuencia, dice Aitel. Argumenta que los atacantes pueden inundar indiscriminadamente la red de una empresa con ataques a software de código abierto relativamente poco importante, mientras se concentran los ataques más serios en sistemas más importantes que ejecutan software de código cerrado.
Debido a que los clientes de Immunity están más preocupados por los sistemas que ejecutan software de código cerrado como Microsoft Windows, Internet Explorer, Adobe Acrobat y Sun's Java, los investigadores de Immunity intentan explotar las fallas en el software de código cerrado dentro de las 24 horas posteriores a la primera notificación. Las vulnerabilidades del software de código abierto reciben una prioridad mucho menor.
Sacar una conclusión amplia de que el software de código abierto es más fácil de explotar definitivamente no es cierto, dice. Podría sacar la conclusión exactamente opuesta del conjunto de exploits que están disponibles en [sitios de investigación, como] Packetstorm.
Otros profesionales de la seguridad tienen una visión más amplia, que se trata menos de código abierto o cerrado y más de cómo una empresa desarrolla su software. Los atacantes eventualmente pueden obtener la información que necesitan para explotar un error, ya sea a través de un software de ataque automatizado, mediante parches de ingeniería inversa o obteniendo de alguna manera acceso al código fuente, por lo que las empresas deben esperar eso, dice Gary McGraw, director de tecnología de Cigital, una consultoría de seguridad de software.
Es un mito que hay que tener un código fuente para explotar las vulnerabilidades, dice McGraw. Ustedes (los desarrolladores de software) deben darse cuenta de que su software está disponible y que le está dando a su atacante todo lo que necesita para explotarlo.