Gigantes de la industria tecnológica formaron el 'Core Infrastructure Initiative' (Iniciativa de Infraestructura Clave) que permitirá a las compañías de tecnología unirse y colaborar para identificar y financiar proyectos de código abierto más seguros y con menos 'bugs'. 'Heartbleed', los dejó temerosos.
Por más catastrófico que pueda parecer un 'corazón sangrante', la falla o bug en el sotftware del método de encriptación de código libre OpenSSL ha remecido al mundo de la seguridad informática, desde compañías privadas, agencias de gobierno, y pasando por Google y Facebook. El error, llamado crípticamente Heartbleed, puede captar cualquier información relevante y desencriptarla.
Tal como señala la página que explica el bug Heartbleed.com, el problema radica en que la vulneración pemritía al hacker acceso a unidades de información privada y protegida alojadas en servidores OpenSSL. La amenaza de OpenSSL es que es utilizado por los servidores que alojan las páginas web. Se han comprometidos desde 2012 dos tercios de las páginas web activas.
Para que se forme una idea de la magnitud del 'sangrado', la encriptación OpenSSL ha sido usada en más de una oportunidad por Facebook, Yahoo, Amazon o Netflix o agencias como el FBI, infraestructura de networking de Cisco y hasta routers casero de Wi-Fi.
Lo terrible del bug Heartbleed es que estaría afectando nada menos que al 56% de las web mundiales y toda la data almacenada como nombres de usuarios, cuentas bancarias, contraseñas, e-mails y todo lo que entra a un servidor.
Lo curioso es que OpenSSL es administrado por desarrolladores importantes, empleados de compañías globales de tecnología de alto nivel. El problema fue que en 2012 se insertó sin dolo un fragmento de código erróneo. Este fragmente de código tenía relación con una función llamada “heartbeat”, de allí su nombre. La falla permitía realizar llamadas al servidor y recibir una porción de información que se suponía que estaba asegurada.
La respuesta de la industria: La Iniciativa de Infraestructura Clave
The Linux Foundation formó reciéntemente un proyecto para financiar y apoyar elementos críticos de la infraestructura de información global, denominado Core Infrastructure Initiative (Iniciativa de Infraestructura Clave), que permitirá a las compañías de tecnología unirse y colaborar para identificar y financiar proyectos de código abierto que necesiten asistencia, permitiendo al mismo tiempo a los desarrolladores continuar su trabajo bajo las normas de la comunidad, que han hecho al código abierto tan exitoso. Los miembros fundadores de esta iniciativa incluyen a Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, RackSpace, VMware y The Linux Foundation.
(Crédito: Beraldo Leal, vía Flickr)
Obviamente OpenSSL es el primer proyecto bajo consideración para recibir fondos de parte de la iniciativa que podría recibir dinero para desarrolladores clave, así como otros recursos para ayudar al proyecto a mejorar su seguridad, permitir revisiones externas y mejorar la respuesta a solicitudes de actualizaciones.
“La seguridad es una preocupación de toda la industria, que requiere la colaboración de la industria. La Core Infrastructure Initiative se alinea con nuestra participación en código abierto y el avance del desarrollo seguro a través de todas las plataformas, positivos y servicios”, dice Steve Lipner, director asociado de seguridad en software de Microsoft.
Motivado por la crisis de Heartbleed OpenSSL, los fondos de la iniciativa serán administrados por The Linux Foundation y un grupo asesor compuesto de partidarios del proyecto, así como por desarrolladores clave de código abierto y otros interesados en la industria. El apoyo por parte de la iniciativa incluirá fondos para becas para que desarrolladores trabajen a tiempo completo en auditorías de seguridad, infraestructura de computación y pruebas, viajes, coordinación de reuniones en persona y otras actividades. “Mantener la viabilidad de los proyectos comunitarios que producen software crítico para la seguridad y protección del comercio en internet es para el beneficio de todos”, destaca el profesor Eben Moglen, de Columbia Law School, director fundador del Software Freedom Law Center.
Históricamente, el código abierto ha producido programas de alta calidad y extremadamente seguros. Por ejemplo, el más reciente estudio de Coverity Open Scan acerca de la calidad del software ha mostrado que la calidad del código de código abierto sobrepasa la calidad del código exclusivo. Pero, a medida que la complejidad del software ha aumentado, con la interoperabilidad entre sistemas altamente complejos como la norma actual, las necesidades para el apoyo de los desarrolladores también han crecido.
“La Core Infrastructure Initiative es crítica. El nuevo modelo de computación involucra un conjunto de opciones para clientes -bien sea en las instalaciones, fuera de las instalaciones o híbrido- y debemos garantizar la seguridad y la protección a través de todos estos entornos”, comentó Ray O’Farrell, vicepresidente principal de Cloud Infrastructure R&D de VMware. “Agradecemos la oportunidad de apoyar y contribuir al éxito del código abierto y estamos ansiosos de participar en la Core Infrastructure Initiative”.
Más allá de esta actitud reactiva de los gigantes de la tecnología, queda en el ambiente la sensación de que ya nada o casi nada puede ser 100% privado, encriptado y seguro. Heartbleed nos viene a recordar que la web es un terreno pedregoso, lleno de sombras y fosas hostiles, donde en cualquier momento te pueden dar una estocada fatal y hacerte sangrar en lo más preciado que tiene: tu privacidad.
Crédito imagen principal: http://lifehacker.com