Seguridad

Utilización de OpenSSL

Hay mucha discusión en Internet sobre los defectos de HeartBleed. Los proveedores y expertos en seguridad han estado trabajando arduamente para brindar asesoramiento sobre cómo detectar o mitigar la falla. Los consultores han estado asesorando a las empresas sobre cómo abordar el problema; las empresas con sitios web han estado luchando por saber cómo responder; la NSA ha sido acusada de conocer y explotar la vulnerabilidad; la administración Obama dice que la NSA debería revelar tales vulnerabilidades, a menos que afectar la seguridad nacional.

En medio de todo el entusiasmo, en ninguna parte se menciona cuánto trabajo realizan los voluntarios por poco o ningún salario. proyecto abierto SSLque crea código que contiene la vulnerabilidad HeartBleed.

Muchas grandes empresas que utilizan OpenSSL se han apresurado a notificar a sus clientes y al público que están trabajando para resolver el problema. Sin embargo, ninguno de ellos reveló cuánto tiempo o dinero invirtieron para ayudar al proyecto OpenSSL.

La mayoría de las principales empresas comerciales utilizan el cifrado OpenSSL y se ha convertido en el cifrado más utilizado en la Web.

trabajar duro por dinero

Los desarrolladores que trabajan en el proyecto OpenSSL «son en su mayoría voluntarios a tiempo parcial que también tienen trabajos de tiempo completo», dijo Steve Marquess, presidente de la organización. Fundación OpenSSLla empresa se formó para manejar las transacciones comerciales y financieras necesarias para el proyecto, dijo a LinuxInsider.

«OpenSSL está siendo muy utilizado por proveedores comerciales en todo el mundo, lo cual es fantástico», afirmó Marquess, «pero el año pasado recibimos un total de menos de 2.000 dólares en donaciones, lo cual es típico». Esa cantidad «no cubre mucho». «Debida diligencia, hay una completa falta de énfasis en la debida diligencia hasta que se descubre que es deficiente».

Marks dijo que las donaciones se entregarán a finales de año a los miembros del proyecto que «tuvieron los trabajos más ingratos ese año».

Marquis reveló que la fundación obtiene algunos ingresos a través de contratos comerciales, que es la única fuente de ingresos para los miembros del proyecto que no tienen trabajos externos de tiempo completo. También tiene contratos anuales de soporte de software con algunos clientes.

Los miembros del proyecto tienen una gran carga de trabajo porque «el alto nivel de habilidades y experiencia requeridas para contribuir de manera efectiva a OpenSSL es un bien escaso, y aquellos con estas habilidades y experiencia tienden a ser muy desalentados por los empleadores y otras razones. Demanda», señaló Marquess .

avaricia americana

No es que Marquess no haya intentado abordar la escasez de financiación y mano de obra del proyecto OpenSSL. «He tenido conversaciones con varias empresas pero con resultados limitados», dijo, evitando nombrar empresas específicas.

Cimientos sitio web Sólo figuran cuatro patrocinadores: Qualys, Opengear, PSW Group y Acano, aunque señaló que algunos solicitaron el anonimato.


Respuesta OpenSSL a defectos

OpenSSL existe desde 1998. «Cualquier código base, especialmente uno de esta complejidad, requiere un nivel adecuado de escrutinio», Zulfikar Ramzan, CTO spandexdijo a LinuxInsider.

Sin embargo, debido a la falta de financiación adecuada y la escasez de personal en el proyecto OpenSSL, es difícil seguir el código tan de cerca como debería.

«Sería útil disponer de más mano de obra dedicada al tedioso y anónimo trabajo de revisión del código», afirmó Marks. «Una auditoría formal de latas sería excelente, pero requeriría fondos que no tenemos».

Dicho esto, el software comercial está inherentemente lleno de errores, y aquí es donde los dos difieren: la Fundación OpenSSL reaccionó rápidamente a la noticia de la falla y proporcionó una solución, y Robin Seggelmann, el programador alemán que envió el código defectuoso, emitió un disculpa pública.

Los proveedores de software a menudo no reparan los defectos hasta que las revelaciones de los investigadores los instan a hacerlo, y ¿quién puede olvidar la forma en que Steve Jobs les dijo a los clientes que estaban sosteniendo sus iPhones cuando surgieron quejas sobre el iPhone 4? ¿Incorrecto?

«este [HeartBleed] El problema refuerza el hecho de que incluso el software de código abierto que atrae mucha atención es propenso a sufrir vulnerabilidades de seguridad. » seguridad central, dijo a LinuxInsider. «Pero el software comercial no es una excepción, y puede ser más difícil resolver los problemas porque hay que depender del proveedor del software».

Necesitas más ayuda

«HeartBleed no será la última vulnerabilidad descubierta en OpenSSL», advierte Ramzan de Elastica, porque «es una base de código compleja que está en constante evolución, lo que significa que la posibilidad de problemas futuros es casi segura».

La velocidad con la que se descubren las vulnerabilidades existentes y se previenen las nuevas «será proporcional a la calidad de los recursos técnicos dedicados al proyecto», continuó Ramzan.

No se sabe si el nuevo problema será tan grave como HeartBleed, pero «si queremos reducir el riesgo de otro HeartBleed, es importante que más personas contribuyan a OpenSSL y lo revisen», dijo Ramzan.

La idea detrás de publicar código en código abierto es que, en teoría, los problemas de seguridad se pueden identificar más rápido si el código está disponible públicamente y se puede inspeccionar. Sin embargo, esta apertura también hace que el código sea más susceptible a la exposición a malos actores y, «a medida que los buenos se quedan sin recursos, el proyecto puede estar cada vez más en riesgo», dijo Ramzan. «En última instancia, debemos asegurarnos de que la balanza no se incline demasiado en la dirección equivocada».


LEER  Cinco formas en que los minoristas electrónicos pueden combatir el fraude de devolución de cargo

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba