La seguretat de codi obert crida la crítica
La setmana passada, la seguretat polonesa iSec Security Research va anunciar tres noves vulnerabilitats en l'últim nucli de Linux que podria permetre a un atacant elevar els seus privilegis a la màquina i executar programes com a administrador de l'arrel.
Aquests són només els darrers en una sèrie de vulnerabilitats de seguretat greus o crítiques que s'han descobert a Linux durant els últims mesos. La sala de juntes de Microsoft probablement està rebent una mica de diversió o, almenys, un cert alleugeriment, a partir de la ironia que se suposa que el codi obert és més segur i, tanmateix, es mantenen aquests errors crítics.
Falta la marca, tot i que al meu entendre, afirma que el programari de codi obert és més segur per defecte. Per començar, crec que el programari només és tan segur com l'usuari o l'administrador que el configura i el manté. Tot i que alguns poden argumentar que Linux és més segur fora de la caixa, un usuari de Linux incòmode és tan insegur com un usuari de Microsoft Windows sense criteri.
L'altre aspecte d'això és que els desenvolupadors encara són humans. Dels milers i milions de línies de codi que formen un sistema operatiu, sembla just dir que es pot perdre alguna cosa i, finalment, es descobrirà una vulnerabilitat.
Allí es troba la diferència entre codi obert i propietari. Microsoft va rebre la notificació d'EEye Digital Security sobre les falles amb la seva implementació d'ASN.1 vuit mesos abans que finalment anunciessin la vulnerabilitat públicament i hagin publicat un pegat. Aquests van ser vuit mesos durant els quals els dolents podrien haver descobert i explotat la falla.
El codi obert, d'altra banda, tendeix a patxar i actualitzar molt més ràpidament. Hi ha tants desenvolupadors amb accés al codi font que una vegada que es descobreix un defecte o vulnerabilitat i s'anuncia que es publica un pegat o actualització al més aviat possible. Linux és falible, però la comunitat de codi obert sembla reaccionar molt més ràpidament a les qüestions que sorgeixen i respondre amb les actualitzacions adequades molt més ràpidament que no pas a enterrar l'existència de la vulnerabilitat fins que es pugui solucionar.
Dit això, els usuaris de Linux haurien de ser conscients d'aquestes noves vulnerabilitats i assegurar-se que es mantinguin informats dels últims parches i actualitzacions dels seus respectius venedors de Linux. Una advertència amb aquests defectes és que no són explotades de forma remota. Això vol dir que per atacar el sistema amb aquestes vulnerabilitats, l'atacant té accés físic a la màquina.
Molts experts de seguretat coincideixen a dir que una vegada que un atacant té accés físic a una computadora, els guants estan apagats i gairebé qualsevol seguretat pot evitar-se. Es tracta de vulnerabilitats remotament explotades: defectes que poden ser atacats des dels sistemes allunyats o fora de la xarxa local, que presenten més perill.
Per obtenir més informació, consulteu les descripcions detallades de la vulnerabilitat de la Investigació de seguretat d'iSec a la dreta d'aquest article.