PUEDE LEER TODAS LAS SEMANAS LOS EXCELENTES TRABAJOS PERIODÍSTICOS DE LOS DANIELES EN INFORME25.COM

martes, 21 de diciembre de 2021

Código del fallo Log4Shell que ha causado una brecha de seguridad en Internet había sido escrito por un voluntario en su tiempo libre

Log4Shell lleva días ocupando titulares en todo el mundo. Es el nombre del fallo de seguridad que ha puesto en jaque a buena parte de internet y, aunque ya han salido un par de parches para tratar de mitigarlo, sus consecuencias aún son desconocidas. Una de las claves del asunto no está tanto en lo que ha ocurrido, sino en su origen: una librería de código abierto (Log4J) desarrollado por un voluntario. Su uso estaba muy extendido porque era útil y sencillo y, como era tan conocido, se daba por hecho que había sido revisado por otros usuarios. La realidad ha demostrado ser todo lo contrario.

Ralph Goers es el nombre de este programador voluntario en GitHub, el repositorio en el que compartió su creación. En su perfil en la plataforma, se presenta como miembro de Apache Software Foundation y arquitecto de 'software' que trabaja a tiempo completo y dedica su tiempo libre a Log4J y otros proyectos de 'software' libre.

"Siempre he soñado con trabajar en el código abierto a tiempo completo y me encantaría que me apoyarais para poder hacerlo'', cuenta en su biografía. La semana pasada, cuando el fallo fue conocido por todos, tenía únicamente tres mecenas en GitHub. Al cierre de este artículo, ya ha superado el centenar de personas que le apoyan económicamente con aportaciones de entre cinco y 50 dólares al mes.

“De repente, parece que el mundo se viene abajo por una piececita de código que ha programado un señor en Estados Unidos. Todo el mundo la usa, pero nadie la había auditado convenientemente”, resume a Teknautas Sergio de los Santos, jefe de Innovación y Laboratorio de Telefónica Tech. Este especialista apunta a lo que él llama ‘el mito de los mil ojos’ en el mundo del 'software' libre. Es decir, que la popularidad no tiene por qué equivaler a las garantías de revisión. "Lo facilita, pero no lo asegura".

Todo esto también tiene un trasfondo. "Medio internet no puede depender del trabajo de un voluntario", enfatiza De los Santos, que se apresura a exculpar a Goers "porque lo hizo lo mejor que pudo". De hecho, apuesta por un mayor reconocimiento del trabajo de los programadores que comparten sus códigos de forma desinteresada. "Si no, se genera un entorno muy precario, donde se invierten muchos millones en una aplicación, pero no se audita una parte pequeña y fundamental", avisa.

La brecha se detectó el pasado 1 de diciembre, pero no se dio a conocer entre el gran público hasta el día 9. Algunas empresas han cifrado en más un millón el número de ataques producidos en este tiempo, pero otras son más cautas y prefieren no aventurarse a dar cifras, ya que depende del método con el que se calcule y, también, de que muchos de esos supuestos ataques en realidad sean pruebas hechas por investigadores o empresas.

El origen del problema está en la librería Log4J, que tiene una función tan básica como realizar los registros automáticos de cualquier web o aplicación programada con lenguaje Java. Por ejemplo, la hora y fecha exactas en las que una IP determinada ha consultado una página. La brecha detectada permite introducir ciertas modificaciones en este código. Una vez aplicadas, permiten hacerse con el control remoto de los servidores que usan esa librería. “A la hora de hacer el 'log', que viene a ser guardar el archivo, Log4j lo interpreta de una manera incorrecta y permite lanzar de repente comandos con servidor remoto”, detalla De los Santos.

Además de ser útil (y gratis), es fácil de implantar, por lo que Log4J es usada por millones de empresas. "Es algo que facilita mucho la vida en programación", comenta el especialista de TelefónicaTech. Eso se volvió en contra cuando se halló el fallo, que se ha hecho omnipresente, aunque los expertos avisan de que es pronto para saber la profundidad de estos errores. Por ahora, tanto Apache como los centros nacionales de ciberseguridad de todo el mundo lo han calificado de máximo riesgo, incluyendo los españoles Incibe y el Centro Criptográfico Nacional (CCN).

Otro punto clave es que este agujero de seguridad puede estar siendo explotado desde hace años. “Si en este tiempo se hubieran hecho ataques de forma masiva, habría sido detectado antes, pero los delincuentes suelen ser muy selectivos para que sea una bala que puedan usar durante mucho tiempo sin que se queme el cartucho”, explica a este diario Josep Albors, jefe de Investigación de ESET en España, que lo define como "una llave maestra para que hagan lo que quieran".

¿Y qué hacen quienes se aprovechan del fallo? Pues un poco de todo. Una de las principales actividades detectadas ha sido el minado de criptomonedas en remoto, pero también la creación de redes de 'bots', algo que puede servir para actividades tan dispares como cebar el tráfico de un sitio web o realizar ataques de denegación.

Otras prácticas detectadas han sido el secuestro de datos —conocido como 'ransomware'— o la instalación de programas maliciosos para dañar determinados sistemas. “Buscan sobre todo beneficio económico”, especifica Albors. Además, aunque Log4Shell afecta de una forma más directa a empresas y organizaciones, también puede acabar salpicando a los usuarios finales, a los que les pueden robar los datos personales que hay alojados en el servidor atacado. ->>Vea más...
 
FUENTE: Con información de Mario Escribano - El Confidencial
 

LO + Leído...