50 Ingenieros de Google se han ofrecido voluntariamente para parchear miles de proyectos Java Open Source
Hace un año, varios ingenieros de Google se reunieron y sentaron las bases de la Operación Rosehub, un proyecto en el que los empleados de Google utilizan parte de su tiempo de trabajo oficial para parchear miles de proyectos de código abierto contra una vulnerabilidad grave y generalizada de Java.
Conocido internamente en Google como la vulnerabilidad Mad Gadget, el problema se descubrió en el inicio de 2015, pero llegó a la atención de todos en noviembre de 2015, después los investigadores de seguridad de Dedalera Seguridad mostraron la forma en que podría ser utilizado para robar datos de WebLogic, WebSphere, JBoss, Jenkins y aplicaciones Java OpenNMS.
Según los investigadores, la vulnerabilidad estaba presente en siete clases "Gadget" dentro de la biblioteca Apache Commons Collections, las versiones 3.0, 3.1, 3.2, 3.2.1 y 4.0.
Estas siete clases vulnerables manejan deserializations Java objeto, una operación de base, junto con la serialización, que se utiliza para convertir datos de un formato a otro y transportarlo a través de una red.
La biblioteca, muy popular entre los desarrolladores de Java, se ha incrustado en muchos proyectos cerrados y abiertos. Una búsqueda rápida en GitHub muestra la popularidad de esta biblioteca entre los desarrolladores de Java. Un estudio llevado a cabo por SourceClear en diciembre el año 2015 se encontró versiones vulnerables de la biblioteca en más de 70 proyectos.
Tras el blog de Dedalera, que también incluía código de prueba de concepto, el mundo Java se dio cuenta, con Apache, Oracle, Cisco, Red Hat, Jenkins, VMware, IBM, Intel, Adobe, HP y SolarWinds, todas las alertas de seguridad que emiten y remendar sus productos.
"A diferencia de las grandes empresas, proyectos de código abierto no tienen gente en el personal para leer los avisos de seguridad durante todo el día y en lugar de depender de los voluntarios para mantenerlos informados," segun Justine Tunney, ingeniero de software de Google para TensorFlow.
"No fue hasta cinco meses después de que un empleado de Google se dio cuenta de varias bibliotecas de código abierto prominentes aún no habían escuchado las malas noticias", agregó. "Esos proyectos seguían dependiendo de las versiones vulnerables de [Apache] Colecciones".
Inicialmente, el primer empleado de Google comenzó a parchear los proyectos de código abierto vulnerables por su cuenta. Esto ocurrió en marzo de 2016. No pasó el ingeniero mucho tiempo para descubrir cómo es popular y generalizado era el problema.
Fue entonces cuando el empleado empezó a buscar ayuda en los compañeros de trabajo. A medida que más y más empleados se unieron, se creó una lista de correo dedicada a coordinar sus acciones.
El grupo llegó a cerca de 50 empleados, e incluso sus jefes se unierón. Lo hicieron en horas de trabajo, ya que Google permite a los empleados pasan 20% de su día (s) de trabajo para otros proyectos.
Más de 2.600 proyectos parcheado: "Nos pareció que la gravedad de la vulnerabilidad y su presencia en miles de proyectos de código abierto fueron circunstancias atenuantes", dijo Tunney. "Nos dimos cuenta de que las mejores prácticas de la industria habían fracasado.
"La acción era necesaria para mantener a la comunidad de código abierto y seguro. Así que en lugar de simplemente publicar un aviso de seguridad preguntando a todos para hacer frente a la vulnerabilidad, formamos un grupo de trabajo para actualizar su código para ellos. Esa iniciativa fue llamada Operación Rosehub."
Les tomó meses para reparar más de 2.600 proyectos de código abierto que descubrieron en GitHub solo, incluso si algunos parches eran meros cambios de una sola línea.
A pesar de esto, el equipo Rosehub teme que no han erradicado Mad Gadget de todos los lugares todavía.
"En el futuro, creemos que lo mejor que puede hacer es crear conciencia", dice Tunney. "Queremos llamar la atención sobre el hecho de que ahora existen las herramientas para la fijación de software a gran escala, y que funciona mejor cuando el software que está abierto."
Al poner de manifiesto el trabajo del equipo Rosehub hizo durante el año pasado, Tunney quiere que las compañías y desarrolladores que trabajan con software de código cerrado, en el que Google no pudo llegar, parchear el fallo Mad Gadget por su propia cuenta.
