martes, 29 de mayo de 2018

Oracle quiere acabar con la fuente de la mayoría de problemas de seguridad


Oracle planea una importante novedad para dejar atrás los problemas de seguridad. Al menos quieren acabar con la mayor fuente de vulnerabilidades y fallos que afecta a la seguridad. Se trata de dejar de dar soporte a la serialización de datos del objeto principal en Java. Es así como se conoce al proceso en el que se toma un objeto de datos y se convierte en una secuencia de muchos bytes (formato binario) para que pueda ser enviado a través de la red o guardado en una base de datos, por ejemplo. Posteriormente puede ser utilizado en su forma original para abrirlo, leerlo…

Oracle planea eliminar el soporte a la serialización en Java


Esto es algo muy útil y que ha sido adquirido por muchos lenguajes de programación. Sin embargo en el caso de Java ha resultado más un problema en muchos casos. El motivo son los fallos de seguridad, como hemos mencionado. Es por ello que Oracle quiere acabar con esto y tratar de buscar una alternativa.

El objeto, para que un programa en Java pueda convertirlo en un conjunto de bytes, tiene que ser serializable.

Según explica Mark Reinhold, arquitecto jefe de la plataforma Java en Oracle, su equipo trabaja en la actualidad para eliminar la compatibilidad de serialización del objeto principal. Eso sí, indica que pretenden proporcionar a los desarrolladores un sistema complementario que admita operaciones de serialización a través de un nuevo marco.

Quieren, por un lado, mejorar la seguridad al retirar la serialización de datos del objeto principal en Java, pero a su vez dar una solución a los desarrolladores.

De momento no hay fecha establecida para que se confirme el momento de retirar la serialización, según indican desde la propia compañía. Sin embargo las empresas y clientes que quieran evitar esto, ya pueden hacerlo mediante un filtro de serialización. Esta opción se agregó en Java en 2016.

Importantes plataformas afectadas por este problema


Los ataques a través de operaciones de serialización y deserialización han estado presentes desde hace años. Sin embargo se convirtieron en un problema para todos a principios de 2015 cuando dos investigadores, Chre Frohoff y Gabriel Lawrence, encontraron un defecto de deserialización en la Apache Commons Collection, una aplicación de Java muy popular.

Realizaron una serie de investigaciones y demostraron que un hipotético atacante podría cargar datos maliciosos dentro de aplicaciones en Java populares. Este hecho afectó mucho a Java en 2016, ya que afectó a importantes plataformas como PayPal, Cisco, Red Hat o Adobe. Todos ellos, no obstante, sacaron de inmediato parches de seguridad.

Estos problemas relacionados con la serialización y deserialización han estado muy presentes en Oracle. En enero de este año sacaron una serie de actualizaciones de seguridad. El 28,5% estaban relacionadas con estas vulnerabilidades. Un problema bastante significativo y que empuja a Oracle a buscar soluciones adicionales.

En definitiva, Oracle planea abordar el problema y aumentar así la seguridad. Eso sí, como hemos mencionado todavía queda tiempo hasta que lleven a cabo su intención.