La capacidad de acceder al código de las aplicaciones de código abierto puede darle a los atacantes una ventaja en el desarrollo de métodos de intrusión en programas, según un documento en el que se analizan dos años de datos relacionados con ataques.

El documento, que será presentado esta semana durante el Taller sobre los aspectos Económicos de la Seguridad Informática, correlaciona 400 millones de alertas procedentes de sistemas de detección de intrusos con los atributos conocidos y las vulnerabilidades del software atacado. Los datos apoyan la afirmación de que los defectos en el software de código abierto tienden a ser atacados más rápidamente y con más frecuencia que las vulnerabilidades del software de código cerrado, afirma Sam Ransbotham, profesor asistente en la Escuela Carroll de Dirección del Boston College, así como autor del documento.

Mediante el uso de modelos de regresión no lineal, entre otros modelos, Ransbotham descubrió que los ataques contra las vulnerabilidades en programas de código abierto se producían tres días antes y con una frecuencia casi un 50 por ciento mayor. Ransbotham asegura que el conocimiento de cómo sacar partido de una vulnerabilidad particular se extiende de forma similar a la difusión de las innovaciones tecnológicas.

"Si pensamos en todo esto como en un juego entre buenos y malos, al reducir el esfuerzo que tienen que realizar los malos, hay muchos incentivos para que ataquen a sus objetivos antes y afecten a más empresas", señala Ransbotham.

El documento probablemente reavivará el debate entre los defensores del código abierto y los modelos de desarrollo de código cerrado, que discuten sobre si el sistema operativo Linux, de código abierto, es más seguro que Windows, o si el navegador de código abierto de Mozilla, Firefox, es más seguro que el Internet Explorer de Microsoft . Los partidarios del código abierto argumentan que la accesibilidad del código permite a los buenos encontrar los fallos antes, mientras que los críticos sostienen que el código está siendo analizado por más atacantes que defensores, por lo que el efecto neto se traduce en un empeoramiento de la seguridad.

La investigación utilizó datos de alerta obtenidos de sistemas de detección de intrusiones, administrados en nombre de 960 empresas por parte del proveedor de servicios de seguridad SecureWorks. Ransbotham hizo una correlación de las alertas con vulnerabilidades específicas en la Base de Datos Nacional de Vulnerabilidades (NVD), una gran colección de información sobre defectos de software gestionada por el Instituto Nacional de Estándares y Tecnología. Aunque la NVD posee un listado de vulnerabilidades en más de 13.000 productos de software para los años 2006 y 2007, los dos años cuyos datos de alerta se utilizaron, sólo la mitad de los productos pudieron ser calificados como de código abierto o cerrado, afirma Ransbotham.

Al vincular estos datos a la capacidad de los sistemas de detección de intrusiones para reconocer un ataque a un sistema vulnerable, Ransbotham compiló una lista de 883 vulnerabilidades en programas confirmados como de código abierto o cerrado, y en los que los ataques pudieron ser reconocidos. También clasificó las vulnerabilidades según otros atributos, como por ejemplo la complejidad a la que se enfrentaría un atacante para sacar partido del defecto en el software, así como la disponibilidad o no de una firma para los sistemas de detección de intrusiones en el momento en que se informó de la vulnerabilidad.

Al final, sólo 97 de las 883 vulnerabilidades fueron atacadas por los intrusos durante el período de dos años. Sin embargo, esto representa 111 millones, o alrededor de una cuarta parte, de las descripciones. Las alertas restantes podrían atribuirse a ataques a software que no pudo ser clasificado como de código abierto o cerrado, a ataques a vulnerabilidades que no poseían un atributo de identificación, o falsos positivos.

En su análisis, Ransbotham descubrió que los ataques contra las vulnerabilidades del software de código abierto se produjeron antes que los ataques al software de código cerrado, tal y como podía medirse a partir del primer informe hecho sobre la vulnerabilidad por cada empresa. Además, y de media, un mayor número de empresas fueron el blanco de los ataques contra cada una de las vulnerabilidades. En ambos casos, no obstante, el número de ataques finalmente se saturó.

"Al tiempo que los defensores lanzan sus parches, los atacantes tienen más incentivos para pasar a aprovecharse de algo diferente", señala Ransbotham.

La capacidad para acceder al código abierto no es la única ventaja puesta en manos de los atacantes. Los análisis de Ransbotham mostraron una correlación entre la existencia de firmas—utilizadas por diversos productos de seguridad para hacer coincidir un patrón conocido con un defecto—y los ataques llevados a cabo con anterioridad, lo que sugiere que las actualizaciones utilizadas por los defensores para mejorar sus defensas en realidad sirven de ayuda a los atacantes.

"Eso me dice que hay algo relacionado con el hecho de poseer la firma que está ayudando a la gente ... les da una pista sobre cómo sacar partido de la vulnerabilidad", afirma Ransbotham.

Otra investigación ha sugerido que las firmas—y otras medidas de defensa—filtran información a los atacantes. En 2007, dos consultores de seguridad describieron el uso de firmas de un popular sistema de detección de intrusiones para crear código de ataque. En 2008, unos investigadores académicos crearon un sistema para generar código de ataque potencial basado en el análisis automático de los parches lanzados por las compañías de software.

Los profesionales de la seguridad, sin embargo, advierten que no hay que hacer demasiado caso al análisis de Ransbotham. Existen muchos factores que pueden sesgar los datos, afirma David Aitel, director de tecnología de la empresa de seguridad Immunity, la cual—entre sus servicios—crea puntos de ataque para poner a prueba las defensas de las redes corporativas. Sólo 30 de las 97 vulnerabilidades atacadas por los intrusos se encontraban en software de código abierto, según el documento de Ransbotham, lo que significa que un número relativamente bajo de vulnerabilidades fueron atacadas con más frecuencia, señala Aitel. Además argumenta que los atacantes podrían inundar indiscriminadamente la red de una compañía con ataques a software de código abierto relativamente poco importantes, mientras se centran en ataques más serios hacia los sistemas más importantes y que ejecutan software de código cerrado.

Puesto que los clientes de Immunity están más preocupados por los sistemas que ejecutan código cerrado, como por ejemplo el Windows de Microsoft, Internet Explorer, Adobe Acrobat, y el programa Java, de Sun, los investigadores de Immunity intentan sacar partido de los defectos encontrados en el software de código cerrado en un plazo de 24 horas desde que dichos defectos son reportados por primera vez. A las vulnerabilidades en el software de código abierto se les da una prioridad mucho más baja.

"Hacer una conclusión general y afirmar que el software de código abierto es más fácil de explotar es, definitivamente, algo que no resulta cierto", afirma. "Se podría sacar la conclusión exactamente contraria a partir del listado de explotaciones disponibles en [centros de investigación, tales como] Packetstorm".

Otros profesionales de la seguridad poseen una visión más amplia, menos relacionada con la cualidad abierta o cerrada del código y más cercana al modo en que una empresa desarrolla su software. Los atacantes pueden, finalmente, obtener la información necesaria para sacar partido a un error, ya sea a través de software de ataque automatizado, por medio la ingeniería inversa de los parches, o accediendo de algún modo al código fuente, por lo que las compañías deberían esperar que esto ocurra, afirma Gary McGraw, director tecnológico de Cigital, una consultoría de software de seguridad.

"Acceder el código fuente para sacar partido de las vulnerabilidades no es más que un mito", señala McGraw. "Ustedes (los desarrolladores de software) tienen que darse cuenta de que su software está ahí fuera, y de que le están dando a los atacantes todo lo necesario para su explotación."