Uno suele pensar en el Ejército de Estados Unidos como una organización llena de oscuros secretos, que intenta ocultar al público buena parte de sus actividades, especialmente las relacionadas con la seguridad nacional. Y uno de los temas que más preocupa a día de hoy son los ataques informáticos. Un atentado convencional puede llevarse muchas vidas por delante, pero uno que dañe sistemas importantes puede provocar pérdidas millonarias, complicar la vida a los ciudadanos y ser el primer paso para otro tipo de acciones.
Sin embargo, el Ejército de Estados Unidos está compartiendo el código que utiliza para detectar ciberataques con cualquiera que le interese, como leemos en Engadget. Sin duda, una estrategia sorprendente, pero que tiene más sentido del que podemos imaginar. Para comprender todas las implicaciones de este movimiento, vamos a conocer un poco mejor qué es el open source y echar un ojo a los distintos planteamientos a la hora de diseñar un sistema de seguridad.
Al final, veremos como lo más lógico, eficiente y seguro es que todo el mundo pueda ver cómo funcionan las aplicaciones. Así que vamos a empezar con algunos conceptos importantes a la hora de crear software.
El open source
El open source y el software libre suelen representar, casi siempre, dos caras de la misma moneda. El primero enfatiza los beneficios de que el código fuente de un programa sea públicamente accesible, mientras que el segundo valora más la libertad detrás de que cualquiera pueda modificar un programa y redistribuirlo sin coste.
En el fondo, casi siempre van de la mano, aunque hay desarrolladores que permiten examinar su código fuente, pero lo protegen contra modificaciones usando el copyright. De todas formas, lo normal es que cualquiera pueda coger esos programas, analizarlos, mejorarlos y ofrecerlos a terceros de manera gratuita, para que otras personas los disfruten o repitan el proceso.
En este caso concreto, el aspecto clave que nos interesa es la posibilidad de revisar y estudiar el código fuente. Con él podemos conocer el funcionamiento profundo de un programa. Sin el código fuente resulta muy difícil descubrir cómo trabaja un software y se vuelve necesario recurrir a la ingeniera inversa para averiguarlo. Un proceso bastante complicado y costoso, que sólo se lleva a caso en casos muy especiales, y que no siempre es exitoso.
Seguridad por diseño o por oscuridad
En el software propietario a veces se recurre a la seguridad por oscuridad, a pesar de que se trata de una práctica muy discutida. Básicamente, la idea es ocultar toda la información posible de una aplicación o sistema operativo. Se espera que, aunque existan fallos de seguridad, estos no puedan ser aprovechados, ya que quedarán ocultos bajo la complejidad del código. Es como esconder la llave de casa en una maceta del descansillo: existe el peligro de que alguien la encuentre, pero quien la coloca allí cree que es muy difícil que eso ocurra.
El argumento detrás de la seguridad del open source se basa en lo que se conoce como la ley de Linus:
Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios.
Es decir, si cualquiera puede revisar el código, se vuelve fácil encontrar los fallos. Cuanto más importante sea un software, más personas deberían trabajar con él y poder encontrar estos problemas. Algunos expertos de seguridad creen que debemos partir de la premisa de que un posible atacante conoce todo nuestro sistema detalladamente, y que las contraseñas son lo único que está fuera de su alcance.
La verdad es que en los proyectos que usan seguridad por diseño también aparecen problemas muy graves, como la vulnerabilidad de Heartbleed que amenazó a todo Internet el año pasado. Pero, en general, el open source es beneficioso tanto para la comunidad como para la seguridad, y parece que el Ejército de los Estados Unidos es consciente de ello.
El caso de Dshell
Dshell se trata de un software usado para detectar y analizar ataques contra el Departamento de Defensa estadounidense. Y el Laboratorio de Investigación del Ejército ha decidido compartir su código fuente con todo el mundo. Es un movimiento sorprendente, dado que los militares suelen preferir mantener su trabajo de inteligencia en secreto siempre que resulte posible.
Pero, en este caso, el objetivo es crear una comunidad de alrededor del programa que ayude a mejorarlo. Por ahora pocos se lo han bajado, pero se espera que en unos meses los usuarios estén aportando características y detectando fallos. Desde luego, Estados Unidos se beneficia de esta decisión, pero no es el único.
Y es que, con el código de Dshell, otros gobiernos o empresas privadas podrán mejorar su seguridad. Viendo el devastador resultado del hackeo a Sony por parte de Corea del Norte, está claro que esta herramienta podría volverse muy útil. Al final, se trata del espíritu del software libre en su esencia más pura: distintas personas colaboran y ofrecen su trabajo para que todos nos beneficiemos. De hecho, el Ejército de Estados Unidos quiere proseguir con la iniciativa, y ofrecer el código de otros programas a la comunidad.
Desde luego, encuentro muy interesante ver cómo las organizaciones más inesperadas se unen al mundo del open source. Al final, está claro que aporta muchas ventajas. Mientras que empresas como Apple y Microsoft son más partidarias de lo propietario, Google tiene un poco más de cariño por el software libre. Parece que en otros sectores también existen distintos pareceres, y que cada vez se apuesta más por la libertad… ¡incluso para poner en manos de ella la seguridad nacional de Estados Unidos!
¿Qué opinas de este tema? ¿Confías en el open source para blindar los sistemas, o crees que la seguridad por oscuridad representa la opción más cauta?
