El error Heartbleed (y definitivamente es un error, no un virus) ha generado un debate sobre la seguridad y confiabilidad del software de código abierto en los últimos meses..

Descubierta por investigadores de Google y Codenomicon, la vulnerabilidad se encontró en la biblioteca de software criptográfico OpenSSL de código abierto que proporciona la Protección de la Capa de sockets seguros (SSL) y Seguridad de la capa de transporte (TSL) para cualquier cosa, desde correos electrónicos y navegación web hasta banca por Internet.

El error de programación que llevó a Heartbleed, que fue introducido accidentalmente por el programador alemán Dr. Robin Seggelmann, un colaborador frecuente del código OpenSSL, permite a los atacantes descargar 64k fragmentos de datos almacenados en la memoria principal supuestamente segura de los servidores.

Fue un error honesto, pero con consecuencias de largo alcance. Según Errata Security, alrededor de 320,000 de los 600,000 servidores vulnerables detectados aún son vulnerables a Heartbleed.

Posteriormente, todas las claves privadas de los servidores que ejecutan OpenSSL ahora son sospechosas y podrían ser utilizadas por los atacantes para hacerse pasar por sitios web seguros siempre que esos servidores permanezcan sin parches.

¿Es hora de cambiar de OpenSSL a una solución comercial (u otra alternativa) cuando se trata de seguridad web? Hablamos con expertos de la industria en Infosec 2014 para obtener más información..

Mantener el código abierto - todavía tiene mucho que ofrecer ...

James Sherlow, gerente de SE WEUR en Palo Alto Networks, piensa que abandonar OpenSSL a raíz de Heartbleed sería algo así como una reacción instintiva:

"OpenSSL sigue siendo muy relevante y tiene escalabilidad. Tiene una comunidad de desarrolladores altamente capacitados, lo cual es extremadamente valioso y todavía válido. Cada software en un determinado momento tendrá algún tipo de vulnerabilidad asociada, pero no es así. significa que lo apagamos; significa que aprendemos de nuestras lecciones ".

... pero Heartbleed fue una llamada de atención

"Creo que la comunidad de código abierto debe comenzar a poner mecanismos en diferentes áreas que puedan realizar una verificación cruzada de otros. Eso es mejor que señalar con el dedo y culpar, lo que no lleva a nadie a ninguna parte. Mitigaría el riesgo, reduciría la posibilidad de ataques y elevar la barra. Para llegar a cero los errores es difícil, pero vamos a tratar de lograrlo. Esa es la barra ".

De todos modos no podrías simplemente desecharlo ...

La pregunta de si deberíamos deshacernos de OpenSSL no es tan en blanco y negro, según JD Sherry, vicepresidente de tecnología y soluciones para Trend Micro. Él cree que en lugar de rechazar los servicios de colaboradores de código abierto dedicados y talentosos, se deben ofrecer recompensas a otros que buscan errores en su trabajo:

"El código abierto siempre va a ser una parte innata de lo que hacemos, principalmente porque hay mucha ingeniería genial involucrada en ello, mucha gente dedica su pasión a estos proyectos y de ellos sale mucho trabajo excelente".

... así que vamos a introducir más Bug Bounties

"Compañías como Google, Microsoft y Facebook se han unido para deshacerse de $ 100,000 cada una para llegar al corazón de Heartbleed, lo que no es suficiente para detener un escenario potencialmente similar. Por otro lado, las recompensas de errores se deben autorregular. El problema del error, y pueden ser extremadamente importantes..

"El costo de la implementación y el pago por ellos puede valer la pena como resultado de una falla importante en su software que se perdió durante el proceso de control de calidad. Ya sea de código abierto o no, serán críticos para asegurarse no tenemos una cantidad tremenda de Heartbleed u otros casos OpenSSL ".

OpenSSL se rompió desde el principio ...

No todo el mundo ha sido tan indulgente cuando se trata de OpenSSL. FreeBSD y el desarrollador de seguridad Poul-Henning Kamp pidieron su cabeza en una publicación de blog titulada El SSL abierto debe morir, ya que nunca mejorará:

"Y eso me lleva de vuelta a OpenSSL, que apesta. El código es un desastre, la documentación es engañosa y los valores predeterminados son engañosos. Además, son 300,000 líneas de código las que sufren casi todas las dolencias de ingeniería de software que puedas imaginar".