El documento habla sobre la vulnerabilidad del código fuente abierto y cómo representa una de las principales amenazas a la seguridad en 2015. Explica que vulnerabilidades como Heartbleed y Shellshock existieron durante años en el código abierto antes de ser descubiertas. A medida que más software y servicios adoptan código abierto sin revisarlo adecuadamente, existe el potencial de que vulnerabilidades antiguas sean explotadas.
1. Vulnerabilidad del ERP Open Source
¿Código abierto o puerta abierta?
De acuerdo al informe Predicciones de Seguridad 2015 realizado por una
consultora del mercado, la vulnerabilidad del Open Source es una de las
8 amenazas más importantes en materia de seguridad.
Para predecir con precisión las amenazas con las que los profesionales
de seguridad cibernética se enfrentarán a lo largo del año, la consultora
realiza estudios de amenazas que cubren varios vectores de ataques a la
web, datos, correo electrónico y dispositivos finales En 2014, siete de los
ocho pronósticos fueron acertados y proporcionaron una valiosa
perspectiva respecto a la preparación para respaldar la estrategia de
seguridad de forma proactiva.
La vulnerabilidad del Open
Source
De acuerdo al reporte “Predicciones de Seguridad 2015” realizado por el
Websense Security Labs, surgirán nuevas vulnerabilidades del código
fuente que tiene varias décadas de antigüedad.
Enormes vulnerabilidades como OpenSSL, Heartlbeed y Shellshock han
existido dentro del código de fuente abierta durante muchos años, y solo
se han revelado cuando han sido examinadas por un par de ojos
despiertos en busca de debilidades. Aunque estas vulnerabilidades
fueron reveladas recientemente, no debemos asumir que no se han
utilizado como vectores de explotación durante años antes de hacerse
públicas.
2. “El viejo código fuente open source es el nuevo caballo de Troya que
espera ser explotado, y el código de fuente abierta es solo el comienzo.
Con tanto código escrito y en uso, es imposible atrapar todos los puntos
de exposición inactivos hasta que se hayan ejecutado. Debido a esto,
cada vez que un código fuente open source se altera o se integra como
parte de una actualización de un servicio y una aplicación, estas
vulnerabilidades sistémicas desconocidas tienen el potencial de exponer
las redes a un ataque”. manifestó Carl Leonard, Analista Principal
en Seguridad, Websense Security Labs.
Es muy probable que cada una de estas vulnerabilidades haya formado
parte de la artillería de los atacantes cibernéticos sofisticados durante
largo tiempo. Combinen esto con los contratiempos en la gestión de
certificados, protocolos HTTPS y SSL de determinados servicios en la
nube, así podemos enfrentarnos con un verdadero desafío este año.
Los atacantes usarán las vulnerabilidades en códigos viejos open
source para dirigir sus ataques a nuevas aplicaciones. La velocidad de
desarrollo utilizando herramientas de terceros es sorprendente. Nadie
comienza a hacer algo desde cero. La tasa de adopción de programación
de fuente abierta (open source) como componente básico de nuevo
software y servicios, supera ampliamente el escrutinio del código de
estas aplicaciones. Lamentablemente, aún no se ha incorporado
la seguridad en la mayoría de estos ciclos de desarrollo.
A medida que se utilice el código fuente open source y se altere en una
nueva aplicación o servicio, cada integración será otra oportunidad de
riesgo. Las fallas seguridad en el código viejo, que incluyen código de
propiedad exclusiva, no solo de fuente abierta, provocarán filtraciones
3. importantes de datos en aplicaciones divergentes debido a que el código
nunca fue analizado correctamente por terceros, antes o después de la
integración. Si se analizan modelos de amenazas en Internet, los
resultados muestran que los protocolos subyacentes utilizados están
dañados o lo estarán. En 2015, al menos una filtración importante de
datos, un auténtico tesoro, tendrá sus orígenes en datos confidenciales
de empresas transmitidos de manera inapropiada o asegurados en sitios
de almacenamiento en la nube, disponibles públicamente y basados en
este código viejo.
Fuente: Websense Security Labs- Predicciones de seguridad
2015