SEGURIDAD DE CÓDIGO DE FUENTE ABIERTA: QUÉ SIGNIFICA PARA TELTONIKA NETWORKS
#security, #rutos, #rut
Una de las características clave de nuestros productos es su software. En Teltonika Networks, utilizamos nuestro propio software (RutOS) basado en OpenWRT, que a su vez es de código abierto. Si no es ingeniero informático, que un código sea "de código abierto" significa que está disponible públicamente para su inspección y escrutinio, a diferencia del código cerrado que está oculto y, por lo tanto, no está disponible.
El código de software de Teltonika Networks no se consideraría de código abierto, ya que se ha desviado en gran medida de OpenWRT en el que se basa, y no compartimos públicamente nuestro código en su totalidad (compartimos ciertas partes debido a la Licencia Pública General GNU). Sin embargo, estar basado en un proyecto de código abierto plantea la siguiente pregunta: ¿significa esto que nuestro código es menos seguro?
En resumen: no.
MENOS NO ES MÁS
En el mundo de la seguridad, cibernética o de otro tipo, la información suele ser el rey: cuanta menos información tengan los demás, más seguro estará. Aplicando esta lógica al debate entre código abierto y código fuente, la hipótesis básica es que el código cerrado es más seguro porque no es directamente accesible a los ciberatacantes. Sin embargo, esta suposición es incorrecta, principalmente porque los atacantes no necesitan el código fuente para encontrar vulnerabilidades de seguridad. Esto no significa que el código fuente pueda eliminarse de la conversación sobre seguridad, sólo que no es un elemento tan crítico como podría suponerse. Además, un ciberatacante experto puede realizar ingeniería inversa de un código fuente cerrado mediante una serie de herramientas y métodos conocidos si es necesario, lo que significa que el mero hecho de mantener el código oculto no es una garantía de seguridad.
También es importante tener en cuenta que ser abierto significa ser más consciente de sus vulnerabilidades y tomar las medidas necesarias para garantizar su seguridad. Estas vulnerabilidades pueden ser menos obvias para el software de código cerrado, y puede ser fácil para sus ingenieros asumir que ser cerrado es, por sí mismo, una medida de seguridad, y que las medidas de seguridad adicionales son más opcionales que un requisito. En otras palabras, el software de código cerrado puede sentirse demasiado cómodo con su naturaleza cerrada. Precisamente por eso realizamos evaluaciones de seguridad periódicas por parte de terceros, como la que NTT Security Holdings ha realizado recientemente en RutOS.
MÁS ES MÁS
El software de código abierto tiene una importante ventaja para la seguridad que el de código cerrado no tiene: la seguridad pública. En pocas palabras, dado que el código abierto está ampliamente disponible y se utiliza, más personas del sector tienen el incentivo de garantizar continuamente su seguridad. Cuando todo el mundo puede ver el tesoro, más ojos vigilan por si alguien intenta robarlo. Vincent Rijmen, desarrollador del algoritmo de cifrado Advanced Encryption Standard, explica que el código abierto es mejor para detectar y corregir más fácilmente las vulnerabilidades de seguridad: "No sólo porque más gente puede mirarlo, sino, lo que es más importante, porque el modelo obliga a la gente a escribir un código más claro y a adherirse a los estándares. Esto, a su vez, facilita la revisión de la seguridad".
Un buen ejemplo de ello es la Open Source Security Foundation, una organización interprofesional comprometida con el avance de la seguridad de código abierto para todos. Este tipo de iniciativas hacen que no sólo el código fuente esté disponible abiertamente, sino también las herramientas, los servicios, la formación, la infraestructura y los recursos necesarios para su seguridad.
ESFUERZO MÁS ALLÁ DE LOS CÓDIGOS
La seguridad es sólo una de las razones por las que decidimos basar nuestro software en OpenWRT. El responsable de seguridad de Teltonika Networks, Deividas Vyšniauskas, lo explica mejor: "La estabilidad, el rendimiento y la flexibilidad también fueron factores decisivos, así como una reputación positiva entre los ingenieros de redes y de seguridad por igual. Desde ese punto de partida, la desviación era necesaria, ya que queríamos crear un firmware versátil con muchas capacidades que satisficiera todo tipo de necesidades del sector."
En resumen, la seguridad del software de código abierto no depende de si su código es abierto o cerrado. Ningún tipo de código, por sí mismo, es garantía de nada. Más bien, es la circunstancia y la naturaleza abierta del código fuente abierto lo que impulsa el aumento de los esfuerzos colectivos para mantenerlo seguro. Más manos trabajan con él y, por tanto, más manos se preocupan por él.
Esto tiene mucho que ver con nosotros, ya que Teltonika Networks se basa en el principio de la conectividad para el progreso de todos, por parte de todos. Nuestro software se basa en código abierto, y no sólo confiamos en su seguridad; estamos orgullosos de ello.
