A día de hoy hay millones de routers en oficinas y hogares que son vulnerables debido a los fallos de seguridad en su software. La Comisión Federal de Comunicaciones de los Estados Unidos (FCC) ha realizado una propuesta para solucionar el problema sugiriendo que los fabricantes bloqueen el acceso a sus routers, impidiendo que se pueda alterar su firmware. Pero hay muchos expertos que no están nada de acuerdo con este plan.
Vint Cerf, co-inventor de Internet, y el resto de los 260 expertos en ciberseguridad que componen el Bufferbloat Project le han escrito una carta abierta a la FCC rebatiendo su idea. Según Cerf, la FCC tiene razón diciendo que hay que actualizar la normativa respecto a los routers, pero no penalizando los cambios en el software sino haciendo justo lo contrario: fomentando el Open Source.
Los expertos del Bufferbloat Project consideran que la mayoría de los routers WiFi de hoy en día utilizan un firmware con código anticuado, lo que los expone a bugs y fallos de seguridad de los que se pueden aprovechar los ciberdelincuentes. Por eso le han enviado a la FCC una carta abierta con una serie de recomendaciones para solucionarlo.
La clave es apostar por el Open Source
La primera recomendación va directa al grano, y sugiere que los fabricantes de routers y otros dispositivos SDR deberían hacer público el código fuente de sus drivers y su firmware. Este código debería ser alojado en repositorios desde los que pudiera ser modificado por la comunidad, pero sin perder el control sobre los cambios.
También sugieren que los fabricantes deberían lanzar sus dispositivos con el firmware actualizado, pero que los compradores deberían tener el control sobre las actualizaciones. Aun así, los proveedores deberían seguir actualizando sus binarios con las soluciones a los fallos reportados por la CVE en un plazo de 45 días durante toda la vida útil del dispositivo, o por lo menos hasta cinco años después de que haya dejado de fabricarse.
Los expertos del Bufferbloat Project también proponen que ante el incumplimiento de estas normas la FCC debería retirarle su certificación a cualquier producto. Y si el incumplimiento es severo o repetido por parte de algún fabricante en concreto, deberían dejar de certificarse sus productos.
El Open Source es la clave, y por eso en el último punto de la carta se sugiere que la FCC revise y elimine cualquier normativa que entre en conflicto con las prácticas del Open Source, produzcan que se deje de mantener el hardware, o le haga creer a los fabricantes que es suficiente con un mantenimiento básico de su firmware o que pueden bloquear los parches de los usuarios.
Este grupo de expertos argumenta que exigiendo que se haga público el código y se mantenga regularmente se impedirá que los fabricantes intenten hacer trampas, algo que debería tomarse en serio después de escándalos como el del código no inspeccionado utilizado por Volkswagen para hacer trampas en sus test de emisiones. Por eso insisten en que la FCC debería retractarse de sus propuestas y apostar por otras que aboguen por la visibilidad del código para crear un Internet más rápido, libre y seguro.
Vía | Business Wire
Imágenes | Robert y Sean MacEntee
En Xataka | Si eres amante del Open Source, AMD tiene muy buenas noticias para ti
Ver 34 comentarios