El software libre nos permite disfrutar de una serie de ventajas en cuanto a rendimiento, mantenimiento y fiabilidad de cara a que cualquier usuario puede revisar y modificar el código libremente, a diferencia del software privativo que no sabemos qué se esconde tras la ofuscación del código. Sin embargo, en los últimos meses el software libre se está viendo afectado por una serie de vulnerabilidades críticas que pueden comprometer la seguridad de los usuarios y generar desconfianza entre los usuarios.
¿Por qué aparecen estas vulnerabilidades en el software libre? Sencillo, la principal razón es la falta de capital para poder contratar auditorías de seguridad que analicen el programa e informen de todo tipo de fallos y problemas de seguridad que pueda haber en él. La mayor parte de estas auditorías suelen ser voluntarias, tanto por profesionales como por aficionados, todo con el fin de mejorar siempre el software libre y permitir que siga siéndolo sin que ello suponga un sacrificio para la seguridad.
Desde el portal de ELado del Mall facilitan una herramienta llamada OSB-Rastreator. Esta herramienta ha sido diseñada para analizar el código fuente de las aplicaciones y buscar en ellas posibles vulnerabilidades, especialmente las conocidas (por ejemplo los “buffer overflow” de las funciones strcpy).
OSB-Rastreator está diseñada especialmente para descargar todos los paquetes de los repositorios de Ubuntu (más de 45.000) y analizar su código, generalmente en C, uno a uno en busca de vulnerabilidades. El proceso que sigue OSB-Rastreator es:
- Lee los paquetes de un fichero dado, por ejemplo, openSource.txt
- Descarga los paquetes, uno a uno
- Descomprime el paquete descargado (generalmente en tar.gz)
- Busca el código C en todo el código fuente.
- Busca funciones inseguras dentro del código
- Guarda el informe y elimina el paquete (tar.gz y código descomprimido)
When OSB-Rastreator automatically detects a potential vulnerability information is next to the file “vulnerable” for later analysis code is saved. They claim in the previous website analyzing all programs Ubuntu repositories have taken a total of 8 days and found over 20,000 potential vulnerabilities and more than 15,000 multi-line comments can be exploited by hackers. Now we have to analyze the results one by one to see if it is a vulnerability or is otherwise secure code.
It is possible that in future we will see compilers while seeking vulnerabilities in our software and allow us to solve, however, for the moment the only way to keep our secure auditing software applications and solving personally all that is reported.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
