12 de abril de 2014

La seguridad de internet depende de un proyecto infrafinanciado

Heartbleed, que afecta a dos terceras partes de los sitios, alerta de que internet se basa en un proyecto de código abierto con escasos recursos
Dos terceras partes de los sitios web en el mundo tienen una enorme vulnerabilidad de seguridad que podría ser utilizada para descifrar las conexiones encriptadas y robar contraseñas de usuario o claves de cifrado de una compañía. La noticia hizo que los administradores de sistemas de los 117.000 servidores que se estima se han visto afectados (incluyendo los de grandes empresas como Yahoo) se lanzaran a buscar una solución. También está llevando a algunos a preguntarse por qué el software en el que se encontró el error crítico, utilizado ampliamente, no recibe un mejor soporte.
El fallo, conocido como Heartbleed, es un pequeño defecto en una versión de un paquete de código abierto llamado OpenSSL. Es utilizado por los servidores web para ofrecer conexiones cifradas "TLS", que aparecen ante los usuarios con la imagen de un candado y el prefijo "HTTPS" en la barra de direcciones del navegador, y se utilizan para proteger la banca en línea y otras comunicaciones privadas.
Hay alternativas al OpenSSL, pero es, con diferencia, el software más utilizado para estas tareas. La mayoría de sitios web lo utilizan para proteger sus datos y los de sus usuarios. Sin embargo, el proyecto OpenSSL está dirigido principalmente por voluntarios. Depende de donaciones y a diferencia de algún otro proyecto de código abierto no tiene patrocinadores corporativos.
Es imposible saber si el error Heartbleed hubiera podido evitarse con un mayor número de fondos. Pero algunos expertos en seguridad ven el incidente como un recordatorio de que, lo que esencialmente es una parte crítica de la infraestructura de internet, parece carecer de un soporte adecuado por parte de quienes dependen de ella.

  • El investigador de privacidad en la ACLU (EEUU), Christopher Soghoian, sugiere que podría ser apropiado contar con apoyo gubernamental:The US gov spends billions on cybersecurity. Why isn't any of that spent improving core software libs like OpenSSL, which we all depend on. (El Gobierno de EEUU invierte miles de millones en ciberseguridad. ¿Por qué nada de está inversión se utiliza para mejorar el núcleo del software de bibliotecas como OpenSSL, de las que todos dependemos?)
  • Christopher Soghoian (@csoghoian) April 8, 2014
El profesor de criptografía Matthew Green, de la Universidad Johns Hopkins (EEUU), ha llegado a conclusiones similares en su blog explicando el ataque:

  • "El historial de los desarrolladores de OpenSSL es bastante sorprendente teniendo en cuenta lo mucho que se utiliza esta biblioteca, la antigüedad del código y el número de plataformas (¡más de ochenta!) a las que dan servicio. Tal vez cuando tengan que poner parches en sus servidores, a algunas de las grandes empresas que utilizan OpenSSL se les ocurra financiarla sin compromiso para que siga funcionando".
Otros dentro de la industria de la seguridad sostienen que el diseño de OpenSSL se ha quedado obsoleto y necesita ser reemplazado desde cero. De cualquier manera, el caos (y los peligros) creados por Heartbleed son una buena excusa para que las empresas web o incluso los gobiernos dediquen fondos a mantener los componentes básicos de la seguridad en línea, como en el caso de OpenSSL.
Fuente:  MIT  Technology Review