Los protocolos SSL y TLS son una pieza fundamental en las comunicaciones de Internet y por este motivo un grupo de expertos en seguridad han decidido llevar a cabo una auditoría sobre OpenSSL.
Además de los responsables de NCC Group Cryptography Services,
en la auditoría también van a participar los responsables de las
consultoras iSEC Partners, Matasano
Security y Intrepidus Group, todas ellas con un peso muy importante en lo
referido a investigaciones de problemas de seguridad y su detección.
Según las últimas informaciones la realización de esta habría
arrancado y durante los próximos meses realizarán un examen minucioso del
código de los protocolos criptográficos, buscando posibles problemas que se
puedan solucionar antes de que sean explotados y así encontrar una estabilidad
en lo referido a materia de seguridad.
Tras la detección de HeartBleed el mes de abril del pasado año
la seguridad de este software ha estado perturbada por problemas de seguridad,
algunos tan importantes como el detectado en octubre del mismo año y bautizado
como Shellshock. Aunque son errores que afectaron a más aplicaciones e incluso
a módulos fundamentales de algunos sistemas operativos, la realidad es que la
importancia de SSL y TLS en las comunicaciones hacen que cualquier mínimo errro
se vea maximizado.
Reescritura de parte del código de OpenSSL
- Para facilitar la lectura del código parte de este se ha modificado y simplificado, algo que se ha hecho sobre durante las últimas semanas y por petición expresa de los expertos en seguridad de las consultoras. Han detallado que durante la auditoría esperan contemplar una amplia variedad de fallos, creando de esta forma un informe lo más completo posible, cuyos primeros resultados podrán publicarse si todo transcurre según lo previsto durante el mes de julio.
- De entrada, este análisis exhaustivo ha provocado que se realice una limpieza del código fuente de algunos módulos que conforman OpenSSL.