Seguridad y software libre

Linux pertenece a la clase de software que podemos denominar software libre. Esto tiene un significado determinante en cuanto a su desarrollo:

• Ha de ser distribuido con el código fuente lo cual supone que los fuentes estarán al alcance siempre de quien quiera ojearlos.

• Puede ser modificado libremente, siendo distribuido despues bajo su misma licencia ( generalmente GPL ), de modo que cualquiera puede tomar el código de los programas y modificarlos a placer para que cumplan unas funciones específicas, o para solventar fallos.

Estos dos hechos son esenciales a la hora de plantearnos la seguridad en un producto de software libre. Las consideraciones son muy dependientes del estilo de seguridad que nos interese implantar en nuestros sistemas, sin embargo hay unos puntos clave que debemos tener en cuenta:

• Se tiene acceso al código fuente: El acceso al código fuente en el software libre ( y por tanto también en Linux ) es total, de modo que cualquiera puede intentar buscar vulnerabilidades mediante una auditoría de código, sin embargo del mismo modo que cualquiera puede buscar fallos para usarlos de manera aviesa, cualquiera puede realizar auditorías de código para mejorar la seguridad de un producto de software libre que este usando ( un ejemplo es el proyecto de auditoría en Linux, LASP, del que hablaremos más adelante ).

  Del mismo modo, tampoco existe la posibilidad de que alguien pueda meter un "troyano" o una "puerta trasera" en el código, ya que con una inspección del mismo, podríamos darnos cuenta de esta vulnerabilidad.

  Por otra parte, los "crackers" que puedan realizar una auditoría de código sirviendose de la propiedad comentada anteriormente, también son especialistas en pruebas del tipo "caja negra", es decir, tratando el sistema como una caja negra, observar las salidas en función de las entradas, de modo que esta propiedad presenta más ventajas que inconvenientes.

  Que el código fuente sea accesible, propicia que la seguridad no sea llevada a cabo mediante una política de security through obscurity ( "seguridad a traves de la oscuridad" ), y la mejora de esta depende de que todo el mundo tenga los fallos a la vista y que la seguridad no pase por "esconder" los fallos a la vista de ojos malintencionados.

• Se puede modificar libremente: El hecho de que el código libre pueda ser modificado libremente facilita de una manera muy notable el hecho de que si aparece cualquier fallo, el parche para dicho fallo aparecerá en un periodo muy corto de tiempo. Esto es debido a que mucha gente esta usando ese producto y es posible que muchos de ellos sean capaces de solucionar ese fallo y posteriormente poner un parche público. En algunos casos de productos comerciales los parches o las soluciones para vulnerabilidades de seguridad tardan mucho tiempo, o aparecen juntas en paquetes de actualizaciones mucho despues de que hayan aparecido los fallos.

  Que el software libre actue de esta manera ante los fallos de seguridad, es posible debido conjuntamente a las propiedades de difusión del código y libre modificación del mismo.

Con estos apartados vemos que la seguridad en productos de software libre ( por tanto también en Linux ), tiene unas características muy marcadas por las propiedades del software.