Tabla de Contenidos
La seguridad del sistema operativo es el límite superior de la seguridad de su aplicación
Conoce a Parr. Pal es un desarrollador senior que trabaja en PalBank. Durante los próximos 6 meses, Pal será responsable de liderar el desarrollo del cliente de la aplicación web del banco, que utilizan millones de clientes todos los días.
Pal se esfuerza mucho en diseñar e implementar la aplicación más segura que se pueda lograr de forma razonable: canalizaciones de desarrollo, creación e implementación estrictamente controladas y seguras, análisis de código estático, pruebas de penetración de terceros, autenticación multifactor para acceder a la aplicación y Encrypt datos en reposo ¡Y la lista continúa!
Pal es el mejor, ¿no? Desafortunadamente, si bien estos esfuerzos son necesarios, ¡no son suficientes! Incluso si asumimos por el bien del argumento y el humor que la aplicación web del lado del cliente de PalBank está completamente libre de todas las vulnerabilidades de software conocidas y desconocidas, sus garantías de seguridad se verán comprometidas una vez que los consumidores ejecuten la aplicación en sus dispositivos finales.
Si el software del sistema privilegiado de la plataforma se vuelve malicioso o se ve comprometido, se exponen a millones de líneas de código. En este contexto, el software del sistema incluye el sistema operativo, el hipervisor y todo el firmware de la plataforma integrado en él.
En otras palabras, cuando el sistema operativo del usuario está infectado con un keylogger y lo filtra a un tercero malicioso, no importa si el usuario elige una contraseña única y muy segura. Del mismo modo, si su código no tiene desbordamientos de búfer, no importa si su sistema operativo tiene una puerta trasera y simplemente decide filtrar todos los datos de sus clientes a un tercero malicioso.
Entonces, ¿por qué la seguridad de una aplicación a nivel de usuario depende de la seguridad de su software de sistema subyacente?
La razón es la jerarquía de los dispositivos básicos: el software del sistema privilegiado tiene acceso sin restricciones a todos los recursos de una aplicación de nivel de usuario sin privilegios, ya que controla su ejecución, memoria y acceso al hardware subyacente. De hecho, esta es una característica, no un error.
Por lo tanto, es extremadamente importante considerar la postura de seguridad del sistema operativo del dispositivo de punto final y utilizar el sistema operativo más seguro posible.
entrar en linux
Linux se refiere a un conjunto de sistemas operativos creados a partir de software de código abierto y el kernel de Linux agrupados en una distribución de Linux. En 2004, Mark Shuttleworth fundó Canonical para producir distribuciones de Ubuntu y, desde entonces, Canonical ha lanzado una nueva versión de Ubuntu cada 6 meses.
Código abierto significa que el software se publica con una licencia que permite a cualquier persona ver el código fuente, modificarlo y distribuirlo como desee. Suele ser desarrollado en colaboración por codificadores de todo el mundo. Hay muchas variaciones de licencias de código abierto, pero todas generalmente permiten este modelo abierto de colaboración y distribución.
Linux alimenta una computadora portátil en casa de la misma manera que ejecuta aplicaciones de misión crítica en la nube o en un servidor. El kernel de Linux es el corazón del sistema operativo, pero se ejecuta detrás de escena: todas las aplicaciones que usamos todos los días, como navegadores web, programas de correo electrónico, juegos de cartas, herramientas de desarrollo y más, se ejecutan sobre el kernel.
Son desarrollados por diferentes equipos, y luego un distribuidor como Canonical agrupa todo el software que uno podría necesitar en una distribución segura de Linux; Ubuntu ofrece miles de las aplicaciones más populares en la última versión y paquetes de software de Jammy Jellyfish.
Se lanza una nueva versión de Ubuntu cada 6 meses, en abril y octubre, con un nombre descriptivo (como Bionic Beaver) y un número de versión que refleja el año y el mes de su fabricación. Cada dos años, la versión de abril se designa como una versión de soporte a largo plazo, lo que significa que Canonical proporcionará actualizaciones y correcciones de seguridad para el paquete durante 5 años. Canonical ha soportado Ubuntu de esta manera desde 2004.
Ubuntu se lanza en 3 ediciones: escritorio, servidor y núcleo (para dispositivos IoT y robots). Más de 3 millones de personas ejecutan Ubuntu Desktop y cada día se lanzan más de 100 000 nuevas instancias de Ubuntu en la nube pública.
¿Qué tan seguro es?
Un agujero de seguridad es un defecto o error de software que un atacante puede explotar para permitir que un adversario acceda accidentalmente a un sistema o perjudique su funcionamiento de alguna manera. Las brechas de seguridad son un hecho inevitable de la vida, pero lo que importa es cómo las tratamos. Ningún sistema de software es inmune a las infracciones de seguridad, y cada sistema de software que usamos hoy en día necesita mantenerse al día con las últimas correcciones.
En un mundo de código abierto, tenemos total transparencia sobre qué problemas se solucionaron y cuándo, porque el código fuente está abierto para que todos lo inspeccionen. La gran mayoría de los agujeros de seguridad son descubiertos por investigadores que estudian el software e informan los problemas para solucionarlos y mejorar el software para todos.
Operan utilizando un modelo de divulgación responsable, en el que los investigadores informan sobre las vulnerabilidades a los editores de software, quienes luego tienen tiempo suficiente para implementar soluciones a los problemas y publicar versiones actualizadas del software antes de que los investigadores anuncien las vulnerabilidades al mundo.
No todo el mundo hace esto, y hay algunos actores maliciosos que encuentran vulnerabilidades para usarlas para sus propios fines nefastos, o las venden a otros para explotar vulnerabilidades de «día cero» (llamadas así porque los desarrolladores de software ya tienen vulnerabilidades de día cero). resolver el problema y publicar un parche).
parchear vulnerabilidades conocidas
¿Cómo pueden dañarlo las vulnerabilidades conocidas? Después de todo, si supiéramos que hay un agujero de seguridad y que hay disponible un parche que garantiza solucionarlo, seguramente todos parchearían inmediatamente sus sistemas afectados. ¿correcto? Desafortunadamente, ¡esto está lejos de la realidad!existir informe publicado En Verizon 2022, se descubrió que solo el 25 % de las organizaciones escaneadas habían reparado vulnerabilidades conocidas dentro de los dos meses posteriores a la divulgación pública.
Pero, ¿por qué alguien dejaría voluntariamente a su organización vulnerable a los ciberataques? Una vez más, la respuesta está en la eterna tensión entre seguridad y usabilidad. Pregúntele a cualquier administrador de sistemas y le dirá que el trabajo no planificado requerido para parchear las vulnerabilidades requiere mucho tiempo, es costoso y, a veces, es imposible porque necesitan mantener sus servidores en funcionamiento.
Livepatch: parchea el kernel mientras se está ejecutando
Vuelva a preguntar a esos mismos administradores y le dirán que les encantaría una solución que les permita parchear las vulnerabilidades mientras el sistema se está ejecutando sin necesidad de reiniciar. ¡El problema esta resuelto! Para el kernel de Ubuntu, esto es exactamente lo que proporciona Livepatch.
Livepatch le permite parchear el kernel para vulnerabilidades críticas y de alta gravedad en tiempo de ejecución. Dado que estas últimas representan el 40 % de todas las vulnerabilidades críticas y de alta gravedad, Livepatch brindará beneficios cuantificables a su organización y un retorno de la inversión sin precedentes para la implementación de Linux segura definitiva.
«Livepatch se ajustaba perfectamente a nuestras necesidades. No había otra solución como esta y era muy rentable. La migración manual de máquinas virtuales, la aplicación de actualizaciones del kernel y el reinicio de cada servidor tomó un promedio de 32 horas. Multiplicado por 80 servidores , el trabajo de más de 2.500 horas.»
Shinya Tsunematsu, supervisor sénior de ingeniería, división de tecnología de GMO Pepabo
Lea el caso de estudio de GMO Pepabo ›
Ventaja de seguridad adicional
Pero, ¿qué pasa con otras vulnerabilidades generales no relacionadas con el núcleo que no cubre Livepatch? ¡Aquí es donde brilla el ecosistema canónico! Con cada lanzamiento de soporte a largo plazo (LTS) de Ubuntu, siempre se beneficia de 5 años de mantenimiento de seguridad estándar en el sistema operativo base, los paquetes de software clave y los componentes de infraestructura.
Si por alguna razón no puede actualizar a la próxima versión de LTS después de 5 años, puede usar el Mantenimiento de seguridad extendido de Canonical para mantenerse seguro por un total de 10 años. Está disponible a través de una suscripción a Ubuntu Pro con una licencia gratuita para uso personal.
Este enfoque innovador no solo ofrece una propuesta de valor de seguridad convincente, sino también una propuesta de valor comercial igualmente convincente.
Pal puede decirle de inmediato cómo esto le ha permitido habilitar un ecosistema Linux seguro para Palbank y eliminar la carga de mantenimiento habitual.Dado que ya no tiene que preocuparse por escanear, aplicar y probar las últimas actualizaciones de seguridad, puede dedicar todo el tiempo que necesite a proporcionar la mejor aplicación bancaria para sus clientes, e incluso aprovechar una o dos vacaciones en el medio.
¿Qué pasa con las amenazas desconocidas?
Si conocemos un agujero de seguridad, podemos parchearlo, pero ¿qué sucede cuando un atacante usa una vulnerabilidad que no ha sido parcheada? Aquí es donde ayuda el ecosistema de Ubuntu.
La naturaleza del software de código abierto significa que es más difícil para los delincuentes insertar puertas traseras en el software. El código fuente es gratuito para que todos lo lean, y Canonical revisa y supervisa el código de cada paquete incluido en Ubuntu, lo que significa que puede instalar todo el software que necesita desde una fuente confiable, respaldada por el historial de Canonical de décadas de aplicación de parches y soporte para copia de seguridad sin tener que descargar fragmentos de código aleatorios de Internet.
Otro beneficio de usar paquetes de Ubuntu es que todo el código que Canonical compila en el paquete está configurado para usar las últimas contramedidas de seguridad del compilador. Estas opciones del compilador se centran en las comprobaciones de protección de la memoria, lo que ayuda a garantizar que el software esté protegido contra ataques en la memoria, como desbordamientos de búfer y daños en el montón, que han plagado el código nativo durante años.
Ubuntu está configurado para ser seguro por defecto. Un escritorio Ubuntu recién instalado no abre ningún puerto de red que un atacante pueda abusar y tiene un firewall habilitado. Para limitar el daño potencial de ataques desconocidos, Ubuntu usa AppArmor, un mecanismo de espacio aislado integrado en el kernel de Linux que establece límites predefinidos sobre lo que las aplicaciones pueden hacer en el sistema.
Entonces, por ejemplo, si un sitio web malicioso intenta explotar una vulnerabilidad en el navegador Firefox, AppArmor evita que el código de explotación comprometa todo el sistema.
Entonces, ¿es Linux seguro?
El kernel de Linux y todo su ecosistema de distribuciones de sistemas operativos se basan en los valores de apertura, transparencia, agilidad y confiabilidad. ¡Estos valores forman la base de la seguridad de software moderna en la que se basa Canonical!
Debido a que Ubuntu se apoya en los hombros de gigantes, tiene la capacidad de mirar a su alrededor y escuchar las necesidades de la empresa moderna: mantenimiento y soporte de seguridad de nivel empresarial, brindado de manera confiable día tras día por una entidad comercial fuerte, su socio digital. puedes confiar, hoy y mañana.
¡Millones de clientes y Pals han descubierto que las versiones de Ubuntu LTS con una suscripción de Ubuntu Advantage y LivePatch habilitado son el sistema operativo Linux más razonablemente seguro en el que puede apostar! Es por eso que continúan eligiendo Canonical Ubuntu todos los días para alimentar sus escritorios, dispositivos IoT, centros de datos y cargas de trabajo en la nube pública.
