DARPA tambien confirma su preocupacion por la confiabilidad del open source
Hace pocos días publicamos la noticia sobre un informe que se dio a conocer sobre la preocupación de muchas empresas por la confiabilidad del código abierto y ahora DARPA, el brazo de investigación del ejército de EE. UU., ha dado a conocer que «está preocupado por la confiabilidad del código abierto» y dice que quiere comprender el ecosistema tecnológico más importante del planeta, a algunos analistas les parece exagerado decir que el código abierto se ejecuta en todas las computadoras del planeta y mantiene la infraestructura crítica en funcionamiento.
Según un nuevo informe de la firma de seguridad para desarrolladores Snyk y Linux Foundation, el 41 % de las empresas no tiene un alto grado de confianza en la seguridad de su software de código abierto y el uso generalizado presenta riesgos significativos. Gran parte de la civilización moderna actual depende de un cuerpo de código abierto en constante expansión porque ahorra dinero, atrae talento y facilita muchas tareas.
«Un momento, literalmente, todo lo que hacemos funciona con Linux», dice Dave Aitel, investigador de ciberseguridad y excientífico de seguridad informática de la NSA. “La gente se está dando cuenta ahora”, dice. “No es exagerado decir que todo el mundo se basa en el kernel de Linux, aunque la mayoría de la gente nunca haya oído hablar de él. »
“Los desarrolladores de software hoy en día tienen sus propias cadenas de suministro. En lugar de ensamblar piezas de automóviles, ensamblan código al unir componentes de código abierto existentes con su código único. Si bien esto conduce a una mayor productividad e innovación, también ha creado importantes problemas de seguridad”, dijo Matt Jarvis, Director de Relaciones con los Desarrolladores de Snyk.
El kernel de Linux es uno de los primeros programas que se cargan cuando la mayoría de las computadoras están encendidas. Permite que el hardware de la máquina interactúe con el software, gobierna el uso de recursos y constituye la base del sistema operativo. Es el componente básico de casi toda la computación en la nube, casi todas las supercomputadoras, todo el Internet de las cosas, miles de millones de teléfonos inteligentes y más.
Pero el núcleo también es de código abierto, lo que significa que cualquiera puede escribir, leer y usar su código. Y eso preocupa seriamente a algunos expertos en ciberseguridad. Su naturaleza de código abierto significa que el kernel de Linux, junto con una gran cantidad de otro software crítico de código abierto, está expuesto a una manipulación hostil en formas que aún apenas comprendemos.
Si bien es cierto que es una tecnología imprescindible para nuestra sociedad, no lo es menos que, visto lo anterior, no entender la seguridad del kernel hace que no podamos asegurar infraestructuras críticas. Hoy, DARPA quiere comprender la colisión de código y comunidad que hace que estos proyectos de código abierto funcionen, para comprender mejor los riesgos que enfrentan.
El objetivo es poder reconocer efectivamente a los actores maliciosos y evitar que interrumpan o corrompan el código fuente abierto de importancia crítica antes de que sea demasiado tarde. El programa SocialCyberde DARPA es un proyecto multimillonario de 18 meses que combinará la sociología con los avances tecnológicos recientes en inteligencia artificial para mapear, comprender y proteger la gran comunidad de software libre y el código que crean.
Este proyecto es diferente de la mayoría de las investigaciones anteriores porque combina el análisis automatizado de código y las dimensiones sociales del software libre.
DARPA ha contratado varios equipos, incluidos pequeños talleres de investigación de seguridad cibernética con habilidades técnicas profundas. Uno de esos implementadores es Margin Research, con sede en Nueva York, que ha reunido a un equipo de investigadores muy respetados para la tarea. Margin Research se enfoca en el kernel de Linux en parte porque es tan grande y tan crítico que tener éxito aquí a esta escala significa que es posible tener éxito en cualquier otro lugar.
El objetivo es analizar tanto el código como la comunidad para finalmente visualizar y comprender todo el ecosistema. El trabajo de Margin ayuda a determinar quién trabaja en qué partes específicas de los proyectos de software libre. Por ejemplo, Huawei es actualmente el mayor contribuyente al kernel de Linux. Otro colaborador trabaja para Positive Technologies, una empresa rusa de ciberseguridad que, al igual que Huawei, ha sido sancionada por el gobierno de EE. UU., dice Aitel. Margin también mapeó código escrito por empleados de la NSA, muchos de los cuales participan en diferentes proyectos de código abierto.
“Este tema me emociona”, dice Antoine sobre la búsqueda para comprender mejor el movimiento de código abierto, “porque, honestamente, incluso las cosas más simples parecen tan nuevas para tanta gente importante. El gobierno acaba de darse cuenta de que nuestra infraestructura crítica utiliza un código que, literalmente, podría ser escrito por entidades sancionadas. En este momento.»
Para hacer esto, los investigadores utilizarán herramientas como el análisis de sentimientos para analizar las interacciones sociales dentro de las comunidades de código abierto, como la lista de correo del kernel de Linux, que debería ayudar a identificar quién es positivo o constructivo y quién es negativo y destructivo.
Los investigadores quieren saber qué tipos de eventos y comportamientos pueden interrumpir o dañar las comunidades de software libre, qué miembros son dignos de confianza y si hay grupos particulares que justifiquen una mayor vigilancia. Estas respuestas son necesariamente subjetivas. Pero en este momento, hay pocas formas de encontrarlos.
Fuente: https://www.darpa.mil