211service.com
¿Dónde está al acecho el próximo error Heartbleed?
Después de causar un pánico generalizado y cambiar las contraseñas, el error Heartbleed ha desaparecido en gran medida de las noticias. Sin embargo, las implicaciones del descubrimiento aún se están debatiendo en toda la industria informática. La mayor preocupación de los expertos en seguridad es cómo prevenir otras fallas que acechan en los cimientos de Internet.
El error Heartbleed se descubrió a principios de este mes en un software llamado OpenSSL que se utiliza ampliamente para establecer una conexión segura entre los navegadores web y los servidores mediante la gestión de las claves criptográficas implicadas. OpenSSL es un proyecto de código abierto, lo que significa que el código subyacente se publica junto con el software. Además, como muchos otros esfuerzos de código abierto, es mantenido por un pequeño grupo de programadores voluntarios (consulte El proyecto con fondos insuficientes para mantener la Web segura).
El problema está siendo reconocido por las grandes empresas de software que confían en esfuerzos como OpenSSL. La semana pasada, el Fundación Linux , que brinda soporte para el popular sistema operativo Linux, lanzó un esfuerzo llamado Iniciativa de infraestructura central para apoyar pequeños proyectos de código abierto. Empresas como Google, Amazon, Facebook, IBM, Intel, Cisco y Dell han comprometido hasta ahora más de $ 3 millones al esfuerzo. Un comité directivo intentará identificar los proyectos de código abierto que más necesitan apoyo financiero.
El problema con el código abierto es que tienes el problema del 'pasajero gratuito', dice Chris Wysopal, un conocido experto en seguridad informática y director de tecnología y cofundador de Vera código , una empresa de evaluación de seguridad de aplicaciones. Las personas y las empresas que lo utilizan y obtienen un gran valor de él no están dando mucho dinero para mantenerlo en funcionamiento.
Incluso tres semanas después de que se descubrió el error, algunas empresas rezagadas todavía están actualizando los servidores, instalando nuevos certificados criptográficos y pidiendo a los usuarios que restablezcan sus contraseñas. Más preocupante para expertos como Wysopal es que otros componentes fundamentales de Internet son, como OpenSSL, pequeños proyectos de código abierto. Y puede ser difícil saber cuáles pueden carecer de los recursos necesarios para verificar rigurosamente su código en busca de vulnerabilidades de seguridad.
Antes de que se descubriera el error Heartbleed, pocos habían oído hablar de OpenSSL o de los 11 desarrolladores que donan gran parte de su tiempo al proyecto. El Fundación de software OpenSSL , que se encarga de la contratación comercial de la organización, emplea a un solo desarrollador a tiempo completo. Recibió un gran total de $ 2,000 en donaciones el año pasado, y nunca ha recibido más de $ 1 millón en ingresos por sus servicios de consultoría y soporte.
Debería haber al menos media docena de miembros del equipo de OpenSSL a tiempo completo, no solo uno, capaz de concentrarse en el cuidado y la alimentación de OpenSSL sin tener que apresurarse en el trabajo comercial, escribió Steve Marquess, el recaudador de fondos oficial y contacto comercial del software OpenSSL. Fundación, en una publicación de blog poco después de que se revelara Heartbleed. Si usted es una persona que toma decisiones corporativas o gubernamentales y está en condiciones de hacer algo al respecto, piénselo un poco. Por favor.
Marc Maiffret, director de tecnología de Más allá de la confianza , una empresa de software de seguridad, dice que otros proyectos de código abierto enfrentan un problema similar. La gente asume que solo porque algo es de código abierto existe este esfuerzo mágico que continúa para encontrar errores y hacerlo seguro. Pero generalmente comienza con un par de personas, quizás se vuelve popular, y luego termina… con un par de personas.
Wysopal de Veracode dice que el problema clave es que no hay forma de medir la importancia de las diferentes piezas de la infraestructura de Internet: si alguien quisiera realizar un ataque generalizado de muchos sitios, ¿qué componentes se utilizan ampliamente y en la parte frontal de la superficie de ataque?
El desafío de predecir dónde pueden surgir grandes vulnerabilidades se ve agravado por el hecho de que los programadores de Internet construyen cada vez más su código utilizando una variedad de herramientas diferentes. En un informe lanzado el año pasado, una empresa llamada Aspect Security descubrió que el 26 por ciento de las bibliotecas descargadas para su uso en aplicaciones tenían vulnerabilidades conocidas. El problema es que hay tantos componentes de los que depende la pila de software, dice Jeff Williams, cofundador y director de tecnología de Aspect. Internet es un pajar lleno de agujas.