O projecto para o desenvolvimento das tecnologias de rede já tem uma equipa de resposta à detecção de vulnerabilidades. Mas surpreende que só agora a tenha constituído.
David Jorm, engenheiro da IIX
Uma vulnerabilidade detectada em Agosto de 2014, a Netdump, levou a OpenDaylight à acção e agora o projecto tem uma equipa de segurança, revelou David Jorm, engenheiro de segurança de produto na IIX, fabricante membro da iniciativa. O grupo é constituído por profissionais de vários fornecedores, envolvidos em sub-projectos dentro da iniciativa centrada nas tecnologias de Sofwtare Defined Networks (SDN).
O comité de direcção técnica da OpenDaylight também aprovou recentemente um processo de resposta de segurança detalhado inspirado naquele usado pela OpenStack, avançou Jorm.
Se uma vulnerabilidade é detectada de uma forma mais particular, sem divulgação pública, os membros do projecto ‒ mesmo aqueles que não têm um representante na equipa de segurança ‒ receberão uma pré-notificação, para poderem desenvolver uma correcção, disse Jorm.
Esse tipo de ocorrência tem sido rara, embora seja cada vez mais comum com projectos de código aberto. Mas embora estes sejam muitas vezes bem intencionados, o tema da segurança também pode ser colocado em plano secundário.
A OpenDaylight aprendeu de forma dura a não fazê-lo. Demorou até Dezembro para corrigir a referida falha e o atraso foi agravado pelo facto de o projecto ainda não ter uma equipa dedicada à segurança.
Depois de tentar, e não conseguir, entrar em contacto com o OpenDaylight, quem descobriu a vulnerabilidade, Gregory Pickett, publicou informação sobre a mesma no Bugtraq, um espaço online popular de discussão sobre falhas de segurança.
Ao comprometer um controlador SDN ‒ elemento crítico pois diz como os switches devem encaminhar os pacotes de dados ‒, um intruso passa a ter controlo sobre toda a rede.
Embora o OpenDaylight ainda esteja nos estágios iniciais de evolução e a sua tecnologia não seja geralmente usada em ambientes de produção, a situação evidencia a necessidade de estabelecer um processo de resposta a situações de insegurança. Surpreende, apesar de tudo, que isso não tenha sido feito desde o início, sobretudo quando a iniciativa envolve fabricantes com preocupações de segurança.
“É realmente um problema surpreendentemente comum nos projectos de open source”, considera Jorm. “Se não houver pessoas com ascendentes fortes relacionados com segurança, é muito comum que o grupo não pense na necessidade de estabelecer um mecanismo de reporte de vulnerabilidades”.
O projecto OpenDaylight foi lançado em Abril de 2013 e suportado por empresas como a Cisco Systems, IBM, Microsoft, Ericsson e VMware.
A segurança tem de ser uma componente fundamental da SDN, porque uma falha pode ter consequências devastadoras. Ao comprometer-se um controlador SDN ‒ elemento crítico pois diz como os switches devem encaminhar os pacotes de dados ‒, um intruso passa a ter controlo sobre toda a rede, aponta Jorm.