martes, 25 de diciembre de 2007

Caso Squirrelmail: Un problema del open-source

Soy partidario del open-source, sinceramente, me encanta. Me gustan las soluciones en si mismas, y el software libre y el open-source son un concepto interesante que nos ha facilitado la vida a los usuarios de Internet en muchos aspectos (¿Dónde estaríamos hoy sin Apache?)

Sin embargo, un problema de seguridad en el software Squirrelmail, uno de los webmail más utilizados a nivel mundial, muestra uno de aspectos del open-source que pueden causar vulnerabilidades por el mero hecho de cómo se crea este software en si mismo.

El software open-source es creado, programado y mantenido por decenas, cientos y/o miles de programadores repartidos por todo el mundo. Para poder trabajar en el mismo, quienes están detrás del software, brindan accesos seguros al código fuente del software a fin de poder trabajar en el mismo.

Recientemente el código fuente de Squirrelmail se vio afectado por una serie de vulnerabilidades incluidas expresamente por uno de los programadores encargados de mantener el software. No se sabe si realmente fue esa persona o alguien qué robó sus credenciales de acceso al código fuente pero eso no quita la inseguridad que esto causó.

Dicha persona modificó el código fuente del software a fin de incluir ciertos cambios que abrían agujeros de seguridad que podían causar accesos irrestrictos a partes del sistema que no deberían existir. Esto es un problema de seguridad inherente al modelo del open-source, basado en la confianza de quien tiene credenciales para acceder y modificar el mismo. Normalmente, esto no sucede dado que existen medidas para auditar el código, pero en este caso, el paquete final que fue descargado por muchos usuarios de Squirrelmail, si salió con agujeros de seguridad incluidos.

El open-source está aquí para quedarse y es parte importante de la Internet y la informática de hoy, pero tampoco es la panacea de la seguridad. Como todo lo relacionado al software, tiene vulnerabilidades, y en algunos casos, no están en el programa en si mismo, sino en quienes lo mantienen. A tenerlo en cuenta...



"is"

Publicado por Ignacio en martes, diciembre 25, 2007 http://www.wikio.es
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)