A seguridade de código aberto crida críticas
A semana pasada, a empresa de seguridade polaco iSec Security Research anunciou tres novas vulnerabilidades no último kernel de Linux que podería permitir que un atacante elevase os seus privilexios na máquina e executase programas como administrador de root.
Estas son só as últimas novidades nunha serie de vulnerabilidades de seguridade graves ou críticas descubertas en Linux nos últimos meses. A sala de xuntas de Microsoft probabelmente está a recibir diversión ou, polo menos, sentiu un alivio, da ironía que se supón que a fonte aberta é máis segura e que aínda se atopan estes fallos críticos.
Falta a marca aínda que ao meu xuízo afirman que o software de código aberto é máis seguro por defecto. Para empezar, creo que o software só é tan seguro como o usuario ou o administrador que o configura e mantén. Aínda que algúns poidan argumentar que Linux está máis seguro fóra da caixa, un usuario de Linux descoñecido é tan inseguro como un usuario despistado de Microsoft Windows.
O outro aspecto é que os desenvolvedores aínda son humanos. Dos miles e millóns de liña de código que compoñen un sistema operativo parece xusto dicir que algo se pode perder e, eventualmente, unha vulnerabilidade será descuberta.
Alí reside a diferenza entre fontes abertas e privadas. Microsoft foi notificada por EEye Digital Security sobre os fallos coa súa implementación de ASN.1 oito meses antes de que finalmente anunciase a vulnerabilidade públicamente e liberase un parche. Eses eran oito meses durante os cales os malos podían descubrir e explotar a falla.
O código aberto, por outra banda, tende a parchear e actualizar moito máis rápido. Hai tantos desenvolvedores que teñen acceso ao código fonte que unha vez que se descobre un fallo ou vulnerabilidade e anuncia que un parche ou actualización é lanzado o máis rápido posible. Linux é falible, pero a comunidade de código aberto parece reaccionar moito máis rápido aos problemas que xorden e responden coas actualizacións axeitadas moito máis rápido en lugar de intentar enterrar a existencia da vulnerabilidade ata que se poidan solucionar.
Dito isto, os usuarios de Linux deben ser conscientes destas novas vulnerabilidades e asegurarse de que estean informados dos últimos parches e actualizacións dos seus respectivos provedores de Linux. Unha advertencia con estes fallos é que non son explotados remotamente. Isto significa que atacar o sistema usando estas vulnerabilidades require que o atacante teña acceso físico á máquina.
Moitos expertos de seguridade coinciden en que unha vez que un atacante ten acceso físico a unha computadora, as luvas están desactivadas e case calquera seguridade pode ser ignorada. Son as vulnerabilidades remotamente explotadas: defectos que poden ser atacados desde sistemas afastados ou fóra da rede local que presentan maior perigo.
Para obter máis información, consulte as descricións detalladas de vulnerabilidade de iSec Security Research á dereita deste artigo.