El software libre nos permite disfrutar de una serie de ventajas en cuanto a rendimiento, mantenimiento y fiabilidad de cara a que cualquier usuario puede revisar y modificar el código libremente, a diferencia del software privativo que no sabemos qué se esconde tras la ofuscación del código. Sin embargo, en los últimos meses el software libre se está viendo afectado por una serie de vulnerabilidades críticas que pueden comprometer la seguridad de los usuarios y generar desconfianza entre los usuarios.
¿Por qué aparecen estas vulnerabilidades en el software libre? Sencillo, la principal razón es la falta de capital para poder contratar auditorías de seguridad que analicen el programa e informen de todo tipo de fallos y problemas de seguridad que pueda haber en él. La mayor parte de estas auditorías suelen ser voluntarias, tanto por profesionales como por aficionados, todo con el fin de mejorar siempre el software libre y permitir que siga siéndolo sin que ello suponga un sacrificio para la seguridad.
Desde el portal de El Lado del Mal facilitan una herramienta llamada OSB-Rastreator. Esta herramienta ha sido diseñada para analizar el código fuente de las aplicaciones y buscar en ellas posibles vulnerabilidades, especialmente las conocidas (por ejemplo los «buffer overflow» de las funciones strcpy).
OSB-Rastreator está diseñada especialmente para descargar todos los paquetes de los repositorios de Ubuntu (más de 45.000) y analizar su código, generalmente en C, uno a uno en busca de vulnerabilidades. El proceso que sigue OSB-Rastreator es:
- Lee los paquetes de un fichero dado, por ejemplo, openSource.txt
- Descarga los paquetes, uno a uno
- Descomprime el paquete descargado (generalmente en tar.gz)
- Busca el código C en todo el código fuente.
- Busca funciones inseguras dentro del código
- Guarda el informe y elimina el paquete (tar.gz y código descomprimido)
Cuando OSB-Rastreator detecta una posible vulnerabilidad automáticamente se guarda la información de esta junto al archivo del código «vulnerable» para analizarlo posteriormente. Según afirman en el portal anterior el análisis de todos los programas de los repositorios de Ubuntu han tardado un total de 8 días y se han encontrado más de 20.000 posibles vulnerabilidades y más de 15.000 comentarios multi-línea que pueden ser explotados por piratas informáticos. Ahora hay que analizar los resultados uno a uno para saber si se trata de una vulnerabilidad o de lo contrario es código seguro.
Es posible que en futuro veamos compiladores que al mismo tiempo busquen vulnerabilidades en nuestro software y nos permitan solucionarlas, sin embargo, por el momento la única forma de mantener nuestro software seguro es auditando personalmente las aplicaciones y solucionando todo aquello que sea reportado.
¿Qué opinas sobre las vulnerabilidades del software libre? ¿Crees que entre todos y con la ayuda de herramientas como OSB-Rastreator podría auditarse el código y mejorar la seguridad de este software?