Compartir en:

Dos de cada tres aplicaciones que utilizan código abierto son vulnerables

El código abierto es alabado por muchos: uso libre, sin necesidad de pagar licencias, desarrollo en común… Con él se han creado muchos programas e incluso sistemas operativos. Y ahora, con la revolución de los ‘smartphones’, también existen aplicaciones con muchos componentes internos de código abierto. Sin embargo, estas ‘apps’ tienen un problema: están a merced de distintas vulnerabilidades, que podrían permitir a un equipo malintencionado poner en peligro tus datos, hacerse pasar por otro usuario con el fin de ejecutar comandos o, incluso, tomar el control del dispositivo afectado para que pueda ser utilizado para ataques de denegación de servicio en otros equipos.

De acuerdo a un informe del Black Duck’s Center for Open Source Research and Innovation (COSRI), dos de cada tres ‘apps’ con componentes de código abierto tienen esos fallos de seguridad. Para llegar a esa conclusión, el COSRI examinó más de 1000 aplicaciones comerciales de 2016. De ellas, el 96 % tenían algún tipo de componente ‘open source’. Tras ello, el centro las clasificó en varias ramas.

Así, concluyó que las relacionadas con servicios financieros y ‘fintech’, compañías de ‘e-commerce’ y venta al por menor tienen el mayor número de vulnerabilidades por aplicación. En concreto, había casos de ‘apps’ de finanzas con hasta 52 fallos de seguridad; de ellas, el 60 % tenían deficiencias consideradas de alto riesgo. El porcentaje era aún mayor en los sectores de ‘e-commerce’ y venta al por menor, pues el 83 % de todas ellas contenían algún fallo de alto riesgo.

Entre los componentes de código más presentes que podían sufrir una vulnerabilidad se encontraba el Apache Tomcat y el OpenSSL. El primero es una implementación del lenguaje Java, mientras que el segundo es un paquete que ofrece funciones criptográficas. Además, se encontraron también fallos en lenguajes de programación como PHP o el entorno de trabajo Ruby on Rails, del lenguaje de programación Ruby.

Por si esto fuera poco, el 85 % de las aplicaciones analizadas contienen componentes con licencias de uso libre desconocidas, es decir, no se conocía sus términos de uso, modificación… Así, de ellas el 53 % tenía una licencia desconocida, es decir, no se sabía si había permiso de los creadores para usar, modificar o compartir esa ‘app’.

De media, las aplicaciones auditadas tenían 147 componentes de código abierto. Con ello, el COSRI certificó que el ‘open source’ es una parte esencial del desarrollo de ‘apps’. Por ejemplo, jQuery, un componente libre para mejorar el uso de JavaScript en la web, estaba presente en el 58 % de las ‘apps’ usadas para el informe. A la vez, concluyó que las organizaciones no son muy eficaces con estas amenazas a la seguridad y que algunas de las presentes se conocían, de media, desde hace cuatro años.

Es lo que sucede, por ejemplo, con Heartbleed, uno de los agujeros de seguridad más conocidos y dolorosos de los últimos años (presente en la biblioteca de código abierto OpenSSL) que permitía a un atacante leer la memoria de un servidor o un cliente, pudiendo por ejemplo, conseguir las claves privadas SSL de ese servidor. El columnista de Forbes, Joseph Steinberg, describió al bug como potencialmente «la peor vulnerabilidad encontrada (al menos en términos de su impacto potencial) desde que Internet comenzó a tener tráfico comercial». Pues bien, este agujero todavía estaba presente en el 1,5 % del código analizado más de dos años después de su descubrimiento.

Además, existían violaciones de licencia de GPU, la licencia más usada en el ‘software’ libre. En concreto, el 75 % de las aplicaciones decían contener componentes con este tipo de licencia. Sin embargo, se demostró que el 45 % de esos componentes no estaban conformes con las obligaciones de la GPU, como la posibilidad de modificar la ‘app’, realizar una copia o distribuir las versiones derivadas.

Cómo hacer frente a ello

Chris Fearon, directivo del COSRI, alertó sobre estas conclusiones: “Todos estamos usando mucho código abierto, pero como la auditoría muestra muy pocos están haciendo un trabajo adecuado detectando, remediando y monitorizando las vulnerabilidades del código abierto en sus aplicaciones”. Para Fearon, el informe demuestra que las empresas desarrolladoras todavía tienen mucho que hacer con la seguridad del ‘open source’.

Lou Shipley, CEO de Black Duck, señala que el uso de código abierto es común en todo el planeta debido a sus bajos costes y a su capacidad para acelerar la innovación. Sin embargo, existen “preocupantes niveles de inefectividad” a la hora de evitar riesgos que merecen ser tenidos en cuenta. Muchas de las empresas tienen sus propios programas internos y herramientas de seguridad. Son útiles para identificar errores de programación, pero no para identificar vulnerabilidades que podrían introducir código maligno en ellas.

Así, ¿qué se puede hacer? La institución da sus propios consejos. El principal, que compañías y desarrolladores escudriñen el código de ‘apps’ y sus componentes, ya que las debilidades consideradas de alto riesgo se identificaron en los componentes ‘open source’ más usados. Para ello, tener un inventario del ‘software’ de código abierto que usan para sus aplicaciones es esencial. También es necesario que conocer los fallos que poco a poco se han ido revelando. Existen fuentes públicas y oficiales que guardan estas informaciones, como la National Vulnerability Database del Gobierno de Estados Unidos.

Con 3623 nuevas vulnerabilidades de componentes ‘open source’ descubiertas solo en 2016 (unas diez por día y un 10 % más que en 2015), urge que los desarrolladores trabajen en ello, sobre todo porque el COSRI también dice que muchas compañías no están preparadas para los posibles ataques. Mientras tanto, y para permanecer protegido ante estos agujeros de seguridad, nada como soluciones en red como Vodafone Secure Net, que no consume batería y te protege a ti y a los tuyos de cualquier tipo de ciberataque (virus, robos de identidad, etc.) siempre que estés conectado a la red Vodafone. Además, si instalas el app gratuito, en caso de pérdida o robo, podrás encontrar fácilmente tu ‘smartphone’ usando el GPS, mostrando su localización en un mapa y además podrás activar un tono de alarma para que te ayude a encontrarlo.

—–

Con información de Black Duck Software, Infosecurity y Wikipedia. Imágenes de Johan Larsson, snoopsmaus y Jordanhill School D&T Dept.