¿Es generalmente más fácil o más difícil hackear software de código abierto? ¿Digamos, por ejemplo, un sitio de WordPress?

Depende de con quién hables. Los defensores del código abierto sugieren que es mucho más seguro que el código cerrado, por lo tanto, es más difícil de hackear. Por lo general, este equipo utiliza la Ley de Linus que establece: “Dadas suficientes bolas de ojo, todos los errores son superficiales”.

El otro equipo sugiere que debido a que es de código abierto y porque está disponible para que cualquiera, incluidos los hackers lo inspeccionen, es mucho más fácil encontrar y explotar errores de seguridad.

Por experiencia, audita millones de líneas de código como ingeniero de revisión de códigos de seguridad y piratea cientos de aplicaciones como pentester. Puedo decir cómodamente que es tan fácil o difícil piratear el código abierto como piratear el código fuente cerrado.

Hay varias razones para esto:

1- Realmente depende de quién está detrás del código (desarrolladores, administración, clientes, etc.), qué tan conscientes están con las mejores prácticas de seguridad y su nivel de motivación para corregir errores de seguridad.

2- Estar disponible públicamente sirve tanto a la comunidad de investigación de seguridad (en su mayoría whitehats que generalmente encuentran e informan los errores a la comunidad para que los reparen), como a los blackhats que los usarían para obtener ganancias.

3- Los hacks más grandes de todos los tiempos (por ejemplo, Sony, TJX, Heartland Payments, BlueCross, etc.) no se pueden identificar con persecución de código abierto.

4- Si vas a la base de datos de vulnerabilidad de seguridad CVE. Vulnerabilidades de seguridad, exploits, referencias y más (que es una base de datos oficial de agregación de vulnerabilidades), hay un montón de vulnerabilidades tanto en código abierto como en código cerrado. Por lo tanto, ser de código cerrado no lo hace más o menos seguro que el de código abierto.

En cuanto a abordar los problemas de seguridad más rápido. Nuevamente, la respuesta es que depende; Si el proyecto cuenta con una comunidad fuerte y activa, los errores generalmente se resolverán relativamente rápido. También he visto compañías de software (es decir, de código cerrado) que también corrigen los errores de inmediato.

Related Content

¿Cuál fue la razón detrás de la creación del primer antivirus?

¿La publicidad en Internet seguirá teniendo éxito dentro de unos años a medida que aumenten los usuarios de bloqueadores de anuncios?

¿Cuál es el concepto de cifrado / descifrado de clave privada y clave pública?

¿Hay alguna diferencia entre el firewall de Linux y el firewall de Nginx? ¿Necesito escribir reglas para ambos?

¿Cuál es la mejor manera de encontrar clientes para una agencia de seguridad cibernética en el Golfo Arábigo?

Realmente no hay una plataforma que sea absolutamente 100% segura. Ya sea WordPress, Joomla o Drupal (solo señalando algunos de los famosos aquí), todos y cada uno de ellos tienen sus propios puntos débiles.

Yo personalmente no juzgaría si X es más seguro que Y porque uno es de código abierto y el otro no. Hay un par de factores en términos de seguridad en torno al desarrollo de código abierto frente al desarrollo de código cerrado.

  1. Los proyectos de código abierto tienen su base de código ‘compartida’ con una gran multitud.

    Esto, por supuesto, tiene sus ventajas y desventajas. Dado que la lógica está expuesta al público, las personas pueden profundizar en ella y comprender las Cinco W [1]. Encontrar puntos débiles aquí podría ser más fácil que los proyectos de código cerrado.

    Sin embargo, si el proyecto se actualiza con frecuencia y la comunidad detrás de él está activa, no debería haber nada de qué preocuparse.

  2. Los proyectos de código cerrado no pueden depender tanto de la comunidad para descubrir exploits.

    No me malinterpreten aquí, no quiero decir que los proyectos de código cerrado reciban menos “atención” en lugar de los de código abierto. De hecho, a veces es al revés.

Y ahora, en términos de seguridad de WordPress, siempre y cuando mantenga sus núcleos, temas y complementos actualizados , no debe preocuparse. Los complementos y temas admitidos corrigen las vulnerabilidades encontradas de manera relativamente rápida, por lo que si fuera alguien que comenzaría un negocio con WordPress, buscaría complementos / temas actualizados y admitidos con frecuencia. Quizás estoy afirmando lo obvio aquí, pero eso es algo que realmente vale la pena mencionar.

Además de eso, siempre puede configurar un complemento que reforzará la seguridad. Si esto es algo que llamó su atención, es posible que desee buscar en Wordfence, una poderosa herramienta que lo ayudará a proteger su sitio web.

También puede consultar regularmente en WPScan Vulnerability Database para nuevas vulnerabilidades de WordPress. Es un sitio web muy bueno que le mostrará las últimas exposiciones de seguridad de núcleo, plugins y temas con información útil, incluso si está arreglado en una versión específica.

Si está interesado en las pruebas de penetración [2] sitios web de WordPress, definitivamente busque en WPScan, es una herramienta que puede ayudarlo a identificar vulnerabilidades existentes e informadas en un sistema específico. También hay algunas aplicaciones web en línea alternativas a WPScan si no funciona para usted.

Con todo, ya sea de código abierto o de código cerrado, con una prueba de lápiz adecuada, la cantidad de vulnerabilidades y / o su nivel de gravedad en ese asunto, se puede reducir drásticamente.

Notas al pie

[1] Cinco Ws – Wikipedia

[2] Prueba de penetración – Wikipedia

Simon Greenwood

WordPress es un muy buen ejemplo de esto. Las vulnerabilidades se exponen, pero también se corrigen rápidamente, por lo que si un sitio de WordPress se mantiene actualizado con las versiones de software, es seguro. Sin embargo, los exploits se distribuyen muy rápidamente, por lo que hay un período de tiempo bastante pequeño para actuar. Tampoco es siempre el software principal: la arcología de complementos de WordPress tiene los mismos problemas compuestos por su apertura, pero nuevamente, si se mantiene un complemento, los problemas deben resolverse rápidamente.

Sherif Koussa

More Interesting

¿Estados Unidos alguna vez firmará criptográficamente su moneda?

¿Qué son los cifrados de flujo?

¿Cuáles son los efectos negativos de las políticas estrictas de contraseña?

¿Cómo piratean los hackers el módem de internet?

¿Cuánto duran las investigaciones de delitos cibernéticos?

Hackers: ¿Son buenos grupos como Anonymous para hackear?

¿Es 'vpnsvc' un virus?

¿Qué medidas de seguridad debo tomar después de ser pirateado?

¿Por qué no podemos calcular con fuerza bruta las claves de cifrado con los 22 millones de números primos conocidos?

¿Cómo funciona la seguridad de punto final?

¿Qué tan fácil es pasar por alto la seguridad de Internet de su escuela / trabajo?

¿Cuáles son los mejores proveedores de servicios de seguridad cibernética en Pune?

¿Sigue siendo Blackberrys los teléfonos celulares más seguros del mercado?

Cómo proteger mis dispositivos IoT de hackers

¿Ciberataque a Rusia durante su fiesta nacional? ¿Lo que realmente sucedió?