Sombrero negro: Es probable que estén al acecho más errores a escala de Internet

Durante unos días de abril, el mundo entero pareció tomarse muy en serio la seguridad de Internet. Se encontró un defecto crítico, denominado Heartbleed, en el software utilizado por cientos de miles de sitios web, y el error junto con su logotipo se convirtió en una estrella de los medios.





Pero a finales de junio, poco más de dos meses después, el esfuerzo por parchear los servidores de Internet vulnerables contra Heartbleed parecía haberse estancado, con más de 300.000 todavía en Internet. OpenSSL , el proyecto de código abierto en cuyo software se encontró el error, todavía carece de los recursos que dice que necesita para mantener su código seguro. Es más, una nueva investigación sugiere que las circunstancias que convirtieron a Heartbleed en un problema a gran escala son un lugar común.

Kymberlee Price de la empresa de seguridad Synack y Jake Kouns, director ejecutivo de la organización sin fines de lucro Fundación de seguridad abierta , presentó los resultados de una encuesta sobre el uso y la seguridad de las bibliotecas de código abierto el jueves. Destacaron varias bibliotecas de código abierto que son extremadamente utilizadas pero tienen una seguridad irregular. Una falla en una de estas bibliotecas podría tener un impacto similar al error de captura de titulares de April. Absolutamente podría volver a suceder con cualquier biblioteca de terceros, dijo Price. Revisión de tecnología del MIT en la conferencia de Black Hat la semana pasada.

Lo que es realmente revelador es que ciertos programas o productos en el mercado pueden tener cientos de esas bibliotecas, dijo Kouns. Ahora todo el mundo está expuesto a este riesgo sistémico.



Una de las bibliotecas identificadas por Price y Kouns como un problema potencial es la fuente de Heartbleed, OpenSSL. Se han descubierto varias otras fallas en OpenSSL desde Heartbleed, algunas de las cuales pueden ser más peligrosas que el error Heartbleed, dijo Kouns.

Se puede esperar más. A pesar del impulso publicitario de Heartbleed, OpenSSL todavía no tiene suficiente dinero para hacer frente a estos problemas. Después del incidente, el proyecto llevó a cabo una revisión y calculó que necesitaba seis desarrolladores de tiempo completo para mantener adecuadamente el software. El dinero prometido por IBM, HP, Google y otras compañías tecnológicas importantes a raíz del error ha sido suficiente para pagar solo a dos desarrolladores a tiempo completo. Incluso algo sobre lo que las mamás de la gente les preguntaban en la mesa no está recibiendo el apoyo que necesita, dijo Price.

Otra biblioteca potencialmente problemática es FreeType , que se utiliza para mostrar fuentes y se incluye en más de mil millones de dispositivos fabricados por empresas como Apple, Google y Sony. Kouns y Price contaron más de 50 vulnerabilidades encontradas en FreeType durante los últimos siete años. Uno formó la base de un ataque llamado Jailbreakme que hizo posible apoderarse de iPhones de forma remota (ver ¿Tienes un iPhone? Hay una aplicación para piratear eso).



Otras bibliotecas de código abierto marcadas por la pareja incluyen LibPNG, que se usa en cientos de dispositivos y software comunes como una forma de mostrar imágenes, y FFMpeg, en el que Apple, Google, Microsoft y Sony confían para reproducir videos.

La mayoría de las bibliotecas más utilizadas se actualizan varias veces al año con correcciones de seguridad, dice Price. Pero no es fácil para los ingenieros de software realizar un seguimiento de todas esas actualizaciones o incluso de las versiones de las bibliotecas que utiliza su empresa. Y pocas empresas aplican todas las actualizaciones de cada biblioteca de manera oportuna, dijo Price. Más a menudo, las empresas actualizan las bibliotecas solo cuando lanzan una nueva versión de su propio producto. Si solo está actualizando con cada una de sus versiones, probablemente le falten algunas vulnerabilidades importantes, dijo.

Algunos expertos creen que las empresas de software deberían ser legalmente responsables de los problemas de seguridad de sus productos. Una opción discutida entre los ejecutivos de Black Hat fue si los inversores deberían tener el poder de solicitar auditorías de terceros del código de una empresa, extendiendo un proceso que ya es una parte estándar de la debida diligencia para fusiones y adquisiciones, dijo Price.



Dan Geer, director de seguridad de la información del fondo de inversión de la CIA In-Q-Tel , hizo una sugerencia más radical en su discurso de apertura de Black Hat el miércoles. Pidió una legislación que responsabilice a las empresas de software si los problemas de seguridad en sus productos causan daños.

Los únicos dos productos que no están cubiertos por la responsabilidad del producto son la religión y el software, y el software no debería escapar por mucho más tiempo, dijo Geer. Sugirió que las empresas de software sean responsables de cualquier daño que ocurra debido a fallas en su software, pero que las empresas que pusieron su código fuente completo a disposición para inspección solo tendrían que dar un reembolso si se produce el daño.

Esa propuesta encontraría una fuerte oposición de la industria del software y es poco probable que gane tracción. Price dijo que la solución más práctica, aunque parcial, por ahora es crear conciencia sobre los riesgos que conllevan las bibliotecas de terceros y crear herramientas que faciliten la notificación de las últimas fallas y la actualización de los paquetes. No podemos eliminar este riesgo, así que tenemos que gestionarlo, dijo.



esconder