Greg Kroah-Hartman, uno de los pesos pesados en el desarrollo del kernel Linux, ha ofrecido algunas declaraciones en Linux.com sobre cómo lidian y arreglan los problemas de seguridad, y por lo que él mismo ha reconocido, parece que a veces el origen de estos vienen de los lugares más insospechados. Por ejemplo, Kroah-Hartman parcheó hace tiempo un fallo que parecía de mal funcionamiento, pero tres años después Red Hat descubrió que era en realidad una vulnerabilidad. Esto casa con unas declaraciones que hizo Linus Torvalds, en las que afirmó que la mayoría de los fallos de seguridad eran bugs.
La ciberseguridad es un campo que en los últimos tiempos ha ganado mucho protagonismo en los entornos corporativos. Si bien es cierto que este tema siempre ha sido importante para las empresas, las nuevas áreas como el cloud computing, el ransomware y las vulnerabilidades Meltdown y Spectre han disparado la preocupación hasta niveles que no se había visto hasta ahora.
El equipo de desarrollo de Linux se ha mostrado en la mayoría de las ocasiones muy diligente a la hora de resolver errores, haciendo que el flanco más difícil de cubrir sea la supervisión. Para ello, la comunidad cuenta ahora con su propio equipo de seguridad formado por desarrolladores que conocen en profundidad el kernel dedicado a realizar labores de supervisión. Y es que Linux es un proyecto en torno al cual hay cientos de miles de millones de dólares en juego.
Cuando se reportan fallos encontrados en Linux, el equipo de desarrolladores implica a los que los han descubierto para acelerar el proceso de solución, y tras eso, aplican su “conjunto de normas de análisis para que nunca se vuelvan a introducir”. Pero esto no queda aquí, ya que también se aplican mitigaciones y medidas de endurecimiento. Kees Cook y otras personas que se encargan de tomar características de endurecimiento que generalmente se han quedado fuera de las ramas oficiales del kernel, ofreciendo en cada lanzamiento estable un informe de lo introducido en ese aspecto.
Pero Linux no es solo servidores y escritorios (sistemas GNU), ya que también está Android y su fragmentado ecosistema. Aquí resulta preocupante ver que Google es de los pocos fabricantes que introducen las medidas de endurecimiento adicionales en sus dispositivos. “Salí y compré todos los teléfonos de primera línea basados en el kernel 4.4 para ver cuáles fueron actualizados. Solo encontré una compañía que actualizó su kernel”, comentó Greg Kroah-Hartman. El programador hace hincapié en la necesidad de implicar a diversas partes para mejorar la seguridad de los terminales Android, pero mucho nos tememos que es demasiado tarde para poner sobre la mesa una solución real. Afortunadamente, los usuarios de sistemas GNU/Linux bien mantenidos, como los ofrecidos por Canonical, Red Hat y SUSE, no tienen de qué temer si hacen un mantenimiento correcto, además que los PC x86 ofrecen una libertad con la que solo se puede soñar en la mayoría de computadoras de arquitectura ARM.
Sobre Meltdown y Spectre, Intel vuelve a ser el blanco de ciertas críticas, aunque siguiendo la línea que abrió Torvalds, Kroah-Hartman reconoce un cambio de enfoque por parte del gigante del chip: “Ellos han revisado cómo abordan los errores de seguridad y cómo trabajan con la comunidad porque saben que lo hicieron mal. El kernel tiene correcciones para casi todos los grandes problemas de Spectre, pero habrá una larga cola de cosas menores.”
El programador ha resaltado que están “haciendo más pruebas” para garantizar al máximo la seguridad de Linux, y que en la última ronda de parches de seguridad trabajaron durante cuatro meses por su cuenta debido a que fueron embargados. Pero tras un proceso complicado, reconoce que “las cosas ciertamente están mejorando.”
Aquí no solo hay que contar los aspectos técnicos, sino también el hecho de que esta mayor preocupación abre nuevas oportunidades a nivel laboral, ya que los expertos en ciberseguridad van a ser cada vez más demandados.
Post original en: muylinux.com