Los analistas de seguridad de código son ineficaces
Es lo que señalan básicamente después de un estudio en el que los programas 'cazadores' de vulnerabilidades no encontraron ni un 98% de los agujeros de seguridad en el código.
Se trata de una técnica que se está popularizando en algunas empresas: herramientas que faciliten a los desarrolladores la localización de errores. Pero según un estudio de la Universidad de Ingeniería Tandon, de Nueva York, en colaboración con el Laboratorio MIT Lincoln y la Universidad Northeastern, no son especialmente eficaces a la hora de realizar sus tareas.
Los “bug finder” más populares, como los llaman en inglés, solo fueron capaces de encontrar el 2% de las vulnerabilidades del código de un software, a pesar de que las empresas gastan en muchos casos millones de dólares en ello.
Existe una técnica que permite controlar cómo de eficiente es un programa de análisis de vulnerabilidades, el llamado LAVA (las siglas de su nombre en inglés, Large-Scale Automated Vulnerability Addition). Mediante esta técnica se añaden vulnerabilidades a los programas de forma que se puedan controlar al menos cierto número de errores: “la única forma de evaluar estas herramientas es conociendo el número exacto de vulnerabilidades de un programa, como hace LAVA”, comenta Brendan Dolan-Gavitt, profesor asistente de ciencias de la computación e ingeniería de Tandon NYU.
El sistema inserta un número conocido de vulnerabilidades que son prefabricadas pero que cuentan con muchas de las características de las vulnerabilidades reales. Es una herramienta automatizada por lo que evita los costes de tener que insertarlos de forma manual, pero con una edición realista programada de los códigos fuentes de programas reales. Estas vulnerabilidades replican la actividad de un agujero de seguridad, aplicándose de forma integrada en el movimiento de datos, de manera que solo se manifiesta en una fracción de inputs (lo que evita estropear todo el programa).
Después de su elaboración se pone a prueba con los softwares cazadores de vulnerabilidades, en este caso para arrojar el dato ya mencionado: los programas más populares no son eficaces en sus funciones. Este verano el mismo equipo conjunto de universidades está organizando una competición que permitirá a los desarrolladores y otros analistas solicitar una versión de errores LAVA, analizar el software para encontrar los agujeros y recibir una puntuación en base a su éxito.
“Nunca ha habido unas referencias de rendimiento en esta escala, y ahora vamos a tener una”, ha añadido al respecto Dolan-Gavitt. “Los desarrolladores pueden competir por quién es el mayor ostentador de errores encontrados, resultando en la práctica en programas de softwares mucho más fuertes”.
