Translate-Traduzca-Traduire-Übersetzen-Перевести-翻译 - 翻译-Traduzir-翻訳 - 翻訳-

Buscar en este blog

domingo, 13 de abril de 2014

El origen de Heartbleed

fuente: http://online.wsj.com/


La falla de cifrado que penetró en el corazón de Internet la semana pasada deja de manifiesto una debilidad en la seguridad en la web: una buena parte es manejada por cuatro programadores europeos y un ex consultor militar en Maryland.

La mayor parte del equipo de 11 miembros está conformado por voluntarios; sólo uno trabajo a tiempo completo. Su presupuesto es de menos de US$1 millón al año. La vulnerabilidad "Heartbleed", revelada el lunes pasado, fue el producto de un error involuntario de un joven investigador alemán.

"Es un poco sorprendente cuán poca gente está involucrada en el núcleo del asunto", dijo Kenneth White, un experto en cifrado de Social & Scientific Systems Inc., en Estados Unidos. "Es uno de los códigos de comunicación más complejo que existen en Internet".

El OpenSSL Project fue fundado en 1998 para crear herramientas de cifrado gratuitas que desde entonces fueron adoptadas por dos tercios de los servidores de Internet. Los sitios web, empresas de equipos de redes y gobiernos usan herramientas de Open SSL para proteger datos personales y otra información sensible en línea.

Así que cuando los investigadores de Google Inc. GOOGL +1.38% y Codenomicon afirmaron el lunes pasado que Heartbleed podía permitir que los piratas informáticos robaran este tipo de datos, Internet entró en pánico.

El frenesí se intensificó el viernes luego de que Bloomberg News informara que la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de EE.UU. sabía de esta brecha de seguridad desde hacía dos años pero lo mantuvo en secreto para reunir inteligencia sobre blancos en otros países. La NSA, la Casa Blanca y la Oficina del Director de Inteligencia Nacional de EE.UU. negaron el informe.

Ese mismo día, un voluntario alemán admitió que había generado el error de forma no intencional en la víspera de Año Nuevo de 2011 mientras trabajaba en la resolución de errores en el código de OpenSSL. Robin Seggelman, un profesional de 31 años que ahora trabaja para T-Systems, una unidad de Deutsche Telecom AG, afirmó en una entrada de blog publicada por la empresa que el error había sido pasado por alto por varios programadores que trabajaban para OpenSSL.

Los errores en un código de tal complejidad son inevitables; Microsoft Corp., MSFT -0.07% Apple Inc., AAPL +0.40% y Google anuncian fallas todos los meses. Pero personas cercanas a OpenSSL, que depende en parte de donaciones, afirman que una falta de financiación y personal exacerbó el problema y permitió que no se notara por dos años. Heartbleed también plantea preguntas sobre si una parte tan grande de Internet debería depender de una sola tecnología para guardar secretos.

"Cuando tienes una monocultura, un error puede hacer que todos estén inseguros", dijo Matthew Green, un experto de cifrado de la Universidad John Hopkins.

El Proyecto OpenSSL tiene un sólo desarrollador de tiempo completo: Stepehen Henson, un criptógrafo británico de 46 años con un doctorado en Matemática. Dos otros residentes del Reino Unido y un desarrollador en Alemania completan el equipo de gerencia del proyecto.
Socios describen a Henson como alguien brillante pero desafiante y sobrecargado de trabajo. En su sitio web, enumera preguntas de cifrado que son "bienvenidas y no bienvenidas" y compara sus responsabilidades con las de Bill Gates cuando gestionaba Microsoft.

Así funciona el Proyecto OpenSSL: el equipo están perfeccionando constantemente un tipo de cifrados llamados "secure sockets layer (SSL)" o "transport layer security (TLS)", que protege contra los piratas informáticos al leer datos que los usuarios envían a los sitios web.

Todos los miembros de Open SSL están fuera de EE.UU., para evitar leyes de exportación de armas que se aplican sobre el cifrado avanzado.

Geoffrey Thorpe, uno de los voluntarios en el equipo de desarrollo de OpenSSL, dice que tiene poco tiempo para dedicarle al proyecto debido que debe atender su trabajo en una empresa de hardware.
"Podría decirse que es como el procesamiento de desechos. Es desordenado, complicado y a menudo no se le presta atención hasta que algo sale mal", dice Thorpe, quien vive en Quebec City.