L’altre dia vaig rebre un avís d’Una-al-dia, butlletí al qual hi estic subscrit. Aquest es titulava Ejecución remota de código en impresoras multifunción Xerox, i ens explica una vulnerabilitat a aquest dispositiu degut a una vulnerabilitat a Samba, la implementació Open Source del protocol de compartició de fitxers i impressores de Windows.
El cas és que, pensant-ho, el fet de que els dispositius embedded facin servir Linux, o altres paquets Open Source, te una part bona i una dolenta. La part bona és el fet que fa servir codi lliure, tenint un producte de qualitat a un preu més ajustat, i a més per els que ens ve de gust normalment ens permet hackejar el dispositiu. La part dolenta és que quan es detecta un problema amb aquest software Open Source, aquest també afecta (normalment) a la plataforma embedded, i pot permetre desenvolupar exploits contra aquesta, obligant als usuaris i administradors a tenir en compte un dispositiu més a l’hora de pensar amb els pedaços (patch) de seguretat. Si, és clar, amb els firmwares de codi tancat també passa, però amb l’avantatge que cal un atac específic contra aquest firmware, no val traslladar un atac d’una plataforma més utilitzada al dispositiu sense més. És com la biodiversitat, quan més gran més resistent és un ecosistema a les plagues i enfermetats.