Vulnerabilidad del ERP Open Source ¿Código abierto o puerta abierta?
De acuerdo al informe Predicciones de Seguridad 2015 realizado por una consultora del mercado, la vulnerabilidad del Open Source es una de las 8 amenazas más importantes en materia de seguridad.
Para predecir con precisión las amenazas con las que los profesionales de seguridad cibernética se enfrentarán a lo largo del año, la consultora realiza estudios de amenazas que cubren varios vectores de ataques a la web, datos, correo electrónico y dispositivos finales En 2014, siete de los ocho pronósticos fueron acertados y proporcionaron una valiosa perspectiva respecto a la preparación para respaldar la estrategia de seguridad de forma proactiva.
La vulnerabilidad del Open Source
De acuerdo al reporte “Predicciones de Seguridad 2015” realizado por el Websense Security Labs, surgirán nuevas vulnerabilidades del código fuente que tiene varias décadas de antigüedad.
Enormes vulnerabilidades como OpenSSL, Heartlbeed y Shellshock han existido dentro del código de fuente abierta durante muchos años, y solo se han revelado cuando han sido examinadas por un par de ojos despiertos en busca de debilidades. Aunque estas vulnerabilidades fueron reveladas recientemente, no debemos asumir que no se han utilizado como vectores de explotación durante años antes de hacerse públicas.
“El viejo código fuente open source es el nuevo caballo de Troya que espera ser explotado, y el código de fuente abierta es solo el comienzo. Con tanto código escrito y en uso, es imposible atrapar todos los puntos de exposición inactivos hasta que se hayan ejecutado. Debido a esto, cada vez que un código fuente open source se altera o se integra como parte de una actualización de un servicio y una aplicación, estas vulnerabilidades sistémicas desconocidas tienen el potencial de exponer las redes a un ataque”. manifestó Carl Leonard, Analista Principal en Seguridad, Websense Security Labs.
Es muy probable que cada una de estas vulnerabilidades haya formado parte de la artillería de los atacantes cibernéticos sofisticados durante largo tiempo. Combinen esto con los contratiempos en la gestión de certificados, protocolos HTTPS y SSL de determinados servicios en la nube, así podemos enfrentarnos con un verdadero desafío este año.
Los atacantes usarán las vulnerabilidades en códigos viejos open source para dirigir sus ataques a nuevas aplicaciones. La velocidad de desarrollo utilizando herramientas de terceros es sorprendente. Nadie comienza a hacer algo desde cero. La tasa de adopción de programación de fuente abierta (open source) como componente básico de nuevo software y servicios, supera ampliamente el escrutinio del código de estas aplicaciones. Lamentablemente, aún no se ha incorporado la seguridad en la mayoría de estos ciclos de desarrollo.
A medida que se utilice el código fuente open source y se altere en una nueva aplicación o servicio, cada integración será otra oportunidad de riesgo. Las fallas seguridad en el código viejo, que incluyen código de propiedad exclusiva, no solo de fuente abierta, provocarán filtraciones importantes de datos en aplicaciones divergentes debido a que el código nunca fue analizado correctamente por terceros, antes o después de la integración. Si se analizan modelos de amenazas en Internet, los resultados muestran que los protocolos subyacentes utilizados están dañados o lo estarán. En 2015, al menos una filtración importante de datos, un auténtico tesoro, tendrá sus orígenes en datos confidenciales de empresas transmitidos de manera inapropiada o asegurados en sitios de almacenamiento en la nube, disponibles públicamente y basados en este código viejo.
Fuente: Websense Security Labs- Predicciones de seguridad 2015