El código de fuente abierta se ejecuta en todas las computadoras del planeta y mantiene en funcionamiento la infraestructura crítica de Estados Unidos. DARPA está preocupada por lo bien que se puede confiar
https://www.technologyreview.com/2022/07/14/1055894/us-military-sofware-linux-kernel-open-source/
No es una gran exageración decir que todo el mundo está construido sobre el kernel de Linux, aunque la mayoría de la gente nunca ha oído hablar de él.
Es uno de los primeros programas que se cargan cuando la mayoría de las computadoras se encienden. Permite que el hardware que ejecuta la máquina interactúe con el software, gobierna el uso de recursos y actúa como la base del sistema operativo.
Es el bloque de construcción central de casi toda la computación en la nube, prácticamente todas las supercomputadoras, todo el Internet de las cosas, miles de millones de teléfonos inteligentes y más.
Pero el kernel también es de código abierto, lo que significa que cualquiera puede escribir, leer y usar su código. Y eso tiene a los expertos en seguridad cibernética dentro del ejército de EE. UU. seriamente preocupados. Su naturaleza de código abierto significa que el kernel de Linux, junto con una gran cantidad de otras piezas de software crítico de código abierto, está expuesto a una manipulación hostil en formas que aún apenas entendemos.
“La gente se está dando cuenta ahora: espera un minuto, literalmente todo lo que hacemos está respaldado por Linux”, dice Dave Aitel, investigador de seguridad cibernética y ex científico de seguridad informática de la NSA. “Esta es una tecnología fundamental para nuestra sociedad. No comprender la seguridad del kernel significa que no podemos asegurar la infraestructura crítica”.
Ahora DARPA, el brazo de investigación del ejército de EE. UU., quiere comprender la colisión de código y comunidad que hace que estos proyectos de código abierto funcionen, para comprender mejor los riesgos que enfrentan. El objetivo es poder reconocer de manera efectiva a los actores maliciosos y evitar que interrumpan o corrompan el código de código abierto de importancia crucial antes de que sea demasiado tarde.
El programa "SocialCyber" de DARPA es un proyecto multimillonario de 18 meses de duración que combinará la sociología con los avances tecnológicos recientes en inteligencia artificial para mapear, comprender y proteger estas comunidades masivas de código abierto y el código que crean. Es diferente de la mayoría de las investigaciones anteriores porque combina el análisis automatizado tanto del código como de las dimensiones sociales del software de código abierto.
“El ecosistema de código abierto es una de las empresas más grandiosas en la historia de la humanidad”, dice Sergey Bratus, el gerente del programa DARPA detrás del proyecto.
“Ahora ha pasado de ser un entusiasta a un esfuerzo global que forma la base de la infraestructura global, de la propia Internet, de las industrias críticas y los sistemas de misión crítica prácticamente en todas partes”, dice. “Los sistemas que hacen funcionar nuestra industria, las redes eléctricas, el envío, el transporte”.
Amenazas al código abierto
Gran parte de la civilización moderna ahora depende de un corpus en constante expansión de código fuente abierto porque ahorra dinero, atrae talento y facilita mucho el trabajo.
Pero si bien el movimiento de código abierto ha generado un ecosistema colosal del que todos dependemos, no lo entendemos completamente, argumentan expertos como Aitel. Hay innumerables proyectos de software, millones de líneas de código, numerosas listas de correo y foros, y un océano de colaboradores cuyas identidades y motivaciones a menudo son oscuras, lo que dificulta responsabilizarlos.
Eso puede ser peligroso. Por ejemplo, los piratas informáticos han insertado silenciosamente códigos maliciosos en proyectos de código abierto en numerosas ocasiones en los últimos años. Las puertas traseras pueden escapar durante mucho tiempo a la detección y, en el peor de los casos, se han entregado proyectos completos a malos actores que se aprovechan de la confianza que las personas depositan en las comunidades y el código de código abierto. A veces hay interrupciones o incluso tomas de control de las mismas redes sociales de las que dependen estos proyectos. El seguimiento de todo ha sido principalmente, aunque no del todo, un esfuerzo manual, lo que significa que no coincide con el tamaño astronómico del problema.
Bratus argumenta que necesitamos el aprendizaje automático para digerir y comprender el universo en expansión del código, lo que significa trucos útiles como el descubrimiento automatizado de vulnerabilidades, así como herramientas para comprender la comunidad de personas que escriben, corrigen, implementan e influyen en ese código.
El objetivo final es detectar y contrarrestar cualquier campaña maliciosa para enviar código defectuoso, lanzar operaciones de influencia, sabotear el desarrollo o incluso tomar el control de proyectos de código abierto.
Para hacer esto, los investigadores utilizarán herramientas como el análisis de sentimientos para analizar las interacciones sociales dentro de las comunidades de código abierto, como la lista de correo del kernel de Linux, que debería ayudar a identificar quién es positivo o constructivo y quién es negativo y destructivo.
Los investigadores quieren conocer qué tipos de eventos y comportamientos pueden perturbar o dañar las comunidades de código abierto, qué miembros son confiables y si hay grupos particulares que justifiquen una vigilancia adicional. Estas respuestas son necesariamente subjetivas. Pero en este momento hay pocas formas de encontrarlos.
A los expertos les preocupa que los puntos ciegos de las personas que ejecutan software de código abierto hagan que todo el edificio esté listo para posibles manipulaciones y ataques. Para Bratus, la principal amenaza es la perspectiva de un "código no confiable" que ejecute la infraestructura crítica de Estados Unidos, una situación que podría generar sorpresas desagradables.
Preguntas sin respuesta
Así es como funciona el programa SocialCyber. DARPA ha contratado a varios equipos de lo que llama "intérpretes", incluidos pequeños talleres de investigación de ciberseguridad boutique con habilidades técnicas profundas.
Uno de estos actores es Margin Research, con sede en Nueva York, que ha reunido a un equipo de investigadores muy respetados para la tarea.
“Existe una necesidad desesperada de tratar a las comunidades y proyectos de código abierto con un mayor nivel de cuidado y respeto”, dijo Sophia d’Antoine, fundadora de la empresa. “Mucha de la infraestructura existente es muy frágil porque depende del código abierto, que asumimos que siempre estará ahí porque siempre ha estado ahí. Esto es alejarse de la confianza implícita que tenemos en las bases de código y el software de fuente abierta”.
Margin Research se enfoca en el kernel de Linux en parte porque es tan grande y crítico que tener éxito aquí, a esta escala, significa que puede hacerlo en cualquier otro lugar. El plan es analizar tanto el código como la comunidad para visualizar y finalmente comprender todo el ecosistema.
El trabajo de Margin mapea quién está trabajando en qué partes específicas de los proyectos de código abierto. Por ejemplo, Huawei es actualmente el mayor contribuyente al kernel de Linux. Otro colaborador trabaja para Positive Technologies, una empresa rusa de ciberseguridad que, al igual que Huawei, ha sido sancionada por el gobierno de EE. UU., dice Aitel. Margin también ha mapeado código escrito por empleados de la NSA, muchos de los cuales participan en diferentes proyectos de código abierto.
“Este tema me mata”, dice d’Antoine sobre la búsqueda para comprender mejor el movimiento de código abierto, “porque, honestamente, incluso las cosas más simples parecen novedosas para tanta gente importante. El gobierno apenas se está dando cuenta de que nuestra infraestructura crítica está ejecutando un código que, literalmente, podría estar siendo escrito por entidades sancionadas. Ahora mismo."
Este tipo de investigación también tiene como objetivo encontrar la inversión insuficiente, es decir, software crítico ejecutado en su totalidad por uno o dos voluntarios. Es más común de lo que podría pensar, tan común que una forma común en que los proyectos de software actualmente miden el riesgo es el "factor del autobús": ¿Todo este proyecto se desmorona si solo una persona es atropellada por un autobús?
Si bien la importancia del kernel de Linux para los sistemas informáticos del mundo puede ser el problema más apremiante para SocialCyber, también abordará otros proyectos de código abierto. Ciertos artistas se centrarán en proyectos como Python, un lenguaje de programación de código abierto utilizado en una gran cantidad de proyectos de inteligencia artificial y aprendizaje automático.
La esperanza es que una mayor comprensión facilitará la prevención de un futuro desastre, ya sea causado por una actividad maliciosa o no.
"Prácticamente dondequiera que mires, encuentras software de código abierto", dice Bratus. "Incluso cuando miras el software propietario, un estudio reciente mostró que en realidad es 70% o más de código abierto".
“Este es un problema de infraestructura crítico”, dice Aitel. “No tenemos control sobre eso. Tenemos que controlarlo. El impacto potencial es que los hackers malintencionados siempre tendrán acceso a las máquinas Linux. Eso incluye tu teléfono. Es así de simple."
No hay comentarios:
Publicar un comentario