Es más probable que las vulnerabilidades de software se discutan en las redes sociales antes de que se revelen en un sitio de informes del gobierno, una práctica que podría representar una amenaza a la seguridad nacional, según los científicos informáticos del Laboratorio Nacional del Noroeste del Pacífico del Departamento de Energía de EE. UU.
Al mismo tiempo, esas vulnerabilidades presentan una oportunidad de ciberseguridad para que los gobiernos monitoreen más de cerca las discusiones en las redes sociales sobre las brechas de software, afirman los investigadores. Sus hallazgos fueron publicados recientemente en la revista PLOS uno .
"Algunas de estas vulnerabilidades de software han sido atacadas y explotadas por adversarios de los Estados Unidos. Queríamos ver cómo evolucionaban las discusiones sobre estas vulnerabilidades", dijo la autora principal, Svitlana Volkova, científica investigadora principal del Grupo de Ciencias de Datos y Análisis de PNNL"La ciberseguridad social es una gran amenaza. Ser realmente capaz de medir cómo se difunden los diferentes tipos de vulnerabilidades entre las plataformas".
Las redes sociales, especialmente GitHub, lideran el camino
Su investigación mostró que una cuarta parte de las discusiones en las redes sociales sobre vulnerabilidades de software desde 2015 hasta 2017 aparecieron en los sitios de redes sociales antes de aterrizar en la Base de Datos Nacional de Vulnerabilidad, el repositorio oficial de EE. UU. Para dicha información. Además, para este segmento de vulnerabilidades, se requirióun promedio de casi 90 días para que la brecha discutida en las redes sociales aparezca en la base de datos nacional.
La investigación se centró en tres plataformas sociales: GitHub, Twitter y Reddit, y evaluó cómo se extendieron las discusiones sobre las vulnerabilidades de software en cada una de ellas. El análisis mostró que GitHub, un sitio popular de redes y desarrollo para programadores, era con diferencia elLo más probable es que los tres sitios sean el punto de partida para la discusión sobre vulnerabilidades de software.
Los investigadores escribieron que tiene sentido que GitHub sea el punto de partida para las discusiones sobre vulnerabilidades de software, porque GitHub es una plataforma orientada al desarrollo de software. Los investigadores descubrieron que en casi el 47 por ciento de las vulnerabilidades, las discusiones comenzaron en GitHub antesmigrando a Twitter y Reddit. Para aproximadamente el 16 por ciento de las vulnerabilidades, estas discusiones comenzaron en GitHub incluso antes de que se publiquen en sitios oficiales.
las vulnerabilidades de la base de código son comunes
La investigación apunta al alcance del problema, señalando que casi todas las bases de código de software comerciales contienen código abierto y que casi el 80 por ciento de las bases de código incluyen al menos una vulnerabilidad. Además, cada base de código de software comercial contiene un promedio de 64 vulnerabilidades.La Base de datos de vulnerabilidad nacional, que cura y libera públicamente vulnerabilidades conocidas como vulnerabilidades y exposiciones comunes "está creciendo drásticamente", dice el estudio, "e incluye más de 100,000 vulnerabilidades conocidas hasta la fecha".
En su artículo, los investigadores discuten qué adversarios de los EE. UU. Podrían tomar nota de tales vulnerabilidades. Mencionan a Rusia, China y otros y señalaron que existen diferencias en el uso de las tres plataformas dentro de esos países al explotar las vulnerabilidades de software.
Según el estudio, los ataques cibernéticos en 2017 más tarde vinculados a Rusia involucraron a más de 200,000 víctimas, afectaron a más de 300,000 computadoras y causaron daños por alrededor de $ 4 mil millones.
"Estos ataques ocurrieron porque había vulnerabilidades conocidas presentes en el software moderno", dice el estudio, "y algunos grupos de amenazas persistentes avanzadas los explotaron efectivamente para ejecutar un ciberataque".
Bots o humanos: ambos representan una amenaza
Los investigadores también distinguieron entre el tráfico de redes sociales generado por humanos y los mensajes automáticos de bots. Un mensaje de redes sociales creado por una persona real y no generado por una máquina probablemente será más efectivo para crear conciencia sobre una vulnerabilidad de software, encontraron los investigadores, enfatizando que era importante diferenciar los dos.
"Clasificamos a los usuarios como bots o humanos probables, mediante el uso de la herramienta Botometer", dice el estudio, "que utiliza una amplia variedad de funciones basadas en usuarios, amigos, redes sociales, temporales y basadas en contenido para realizar bot vs. clasificación humana "
La herramienta es especialmente útil para separar los bots de los debates humanos en Twitter, una plataforma que, según los investigadores, puede ser útil para las cuentas que buscan difundir una agenda. También con respecto a Twitter, los investigadores encontraron un subconjunto de sus usuarios, por ejemplo, FireEye, The Best Linux Blog In The Unixverse, The Hacker News y cuentas individuales pertenecientes a expertos en ciberseguridad, centradas en noticias sobre vulnerabilidades de software.
En última instancia, el conocimiento de la capacidad de las redes sociales para difundir información sobre vulnerabilidades de software proporciona un aviso para las instituciones, según el estudio.
"Las señales de las redes sociales que preceden a las fuentes oficiales podrían permitir a las instituciones anticipar y priorizar qué vulnerabilidades abordar primero", dice. "Además, la cuantificación de la conciencia de las vulnerabilidades y parches que se propagan en entornos sociales en línea puede proporcionar una señal adicional para las institucionespara utilizar en su toma de decisiones de código abierto riesgo-recompensa "
Otros autores de PNNL de la investigación, que fue financiada por el programa SocialSim de la Agencia de Proyectos de Investigación Avanzada de Defensa, incluyeron a Prasha Shrestha, Arun Sathanur, Suraj Maharjan, Emily Saldanha y Dustin Arendt.
Fuente de la historia :
Materiales proporcionado por DOE / Laboratorio Nacional del Noroeste del Pacífico . Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cita esta página :