El 7 de abril de 2014, el mundo se enteró del que posiblemente sea el error de seguridad más grave en la historia de Internet. Se llama Heartbleed.
Descubierto simultáneamente por Neel Mehta, investigador de seguridad de Google, y una empresa de seguridad finlandesa. Codenomicon, el error compromete un protocolo de seguridad comúnmente utilizado por dispositivos y sitios web mundial. Heartbleed hace posible que un hacker extraiga datos de la memoria, incluidas contraseñas, números de cuentas bancarias y cualquier otra cosa que quede en su interior.
Vídeos recomendados
La gravedad del error dejó a muchos preguntándose cómo pudo suceder. OpenSSL, el protocolo de seguridad en el que se encontró el error, se utiliza en todo el mundo. Se utiliza no sólo en servidores, sino también en enrutadores e incluso en algunos teléfonos inteligentes Android. Se podría pensar que alguna parte responsable tiene un equipo de investigadores de seguridad revisando y volviendo a verificar el código pero, en realidad, OpenSSL es administrado por un pequeño grupo compuesto principalmente por voluntarios.
Relacionado
- Un nuevo error de WordPress puede haber dejado vulnerables a 2 millones de sitios
- La autenticación de dos factores por SMS de Twitter está teniendo problemas. Aquí se explica cómo cambiar de método
- HiveNightmare es un nuevo y desagradable error de Windows. He aquí cómo protegerse
Apertura a OpenSSL
OpenSSL hace alarde de su origen de código abierto en su nombre. Fundado en 1998, el proyecto fue creado para proporcionar un conjunto de herramientas de cifrado gratuitas para servidores de Internet. Éste era un objetivo importante; el cifrado es fundamental y común. Se necesitaba un estándar libre para garantizar que se adoptaría lo más rápido posible. El proyecto tuvo un gran éxito y rápidamente se convirtió en una de las herramientas de seguridad más importantes de Internet.
Sin embargo, el éxito no se tradujo en expansión ni en ganancias. OpenSSL genera ingresos únicamente a través de contratos de soporte, lo que brinda acceso a resolución de problemas y consultoría por parte de la propia organización.
En total, sólo 11 personas, la mayoría de ellas voluntarias, son responsables de un estándar de cifrado crítico.
Esto da como resultado un personal predeciblemente pequeño. El "equipo central" está formado por sólo cuatro personas y el equipo de desarrollo añade siete nombres más a la lista. En total son sólo 11 personas, la mayoría de ellas voluntarias, responsables de un estándar de cifrado crítico. Sólo uno de ellos, el Dr. Stephen Hanson, se centra exclusivamente en OpenSSL. Todos los demás tienen otro trabajo de tiempo completo.
Steve Marquess, quien administra el dinero de la organización, lo dijo mejor. “El misterio no es que algunos voluntarios con exceso de trabajo no detectaran el error; el misterio es por qué no ha sucedido más a menudo”.
Se cometieron errores
A eso se reduce toda la crisis: a un error. El error fue introducido por Robin Seggelmann, un voluntario alemán que trabaja en una extensión OpenSSL llamada Heartbeat. Envió el código en la víspera de Año Nuevo de 2011 y posteriormente pasó por alto el proceso de revisión. Heartbleed existe, sin que el público lo sepa, desde hace más de dos años.
Otros miembros del proyecto vuelven a verificar el código enviado durante la revisión, pero ocurren errores, por lo que no sorprende que finalmente se haya filtrado un error. Incluso empresas multimillonarias como Microsoft y Cisco se ven afectadas por una buena cantidad de exploits vergonzosos.
El problema surge de la asignación de memoria según un valor que puede definirse mediante una solicitud. Si el usuario proporciona una entrada válida, la función funciona según lo previsto. Sin embargo, si se realiza una solicitud no válida, el código descarga parte de lo que hay en la memoria, incluida la información que se supone que está segura y cifrada. Este cómic web También explica Heartbleed, en caso de que considere útil una visualización.
Algunos ingenieros de software creen que la existencia del error plantea dudas sobre la seguridad de C, el código en el que se escribió la extensión Heartbeat. Aunque popular, C es un lenguaje complejo que ofrece muchas posibilidades de errores en la gestión de la memoria y el manejo de valores. Un error en otra implementación SSL de código abierto, GnuTLS, surgió un mes antes de Heartbleed y también fue escrito en C. Ese error era aún más antiguo; el código responsable de ello se añadió en 2005.
¿Cuál es el siguiente paso?
En última instancia, el error humano es el culpable de Heartbleed, pero la culpa no recae únicamente sobre los hombros de un solo codificador. OpenSSL es un software gratuito utilizado por empresas Fortune 500, gobiernos e incluso organizaciones militares, pero estos equipos casi nunca aportan financiación o mano de obra al proyecto.
Las empresas y los gobiernos parecen muy preocupados, pero las promesas de apoyo real están ominosamente ausentes.
El mundo también debe aprender de este error. Utilizar un proyecto de código abierto sin contribuir a él es, a largo plazo, una receta para el desastre, especialmente cuando el proyecto es una parte crítica de la infraestructura de red. La seguridad de Internet no debería depender de un puñado de voluntarios que encuentran sus nombres en las noticias sólo cuando algo sale mal.
Recomendaciones de los editores
- Los ataques de ransomware se han disparado enormemente. He aquí cómo mantenerse a salvo
- Reddit fue pirateado: aquí se explica cómo configurar 2FA para proteger su cuenta
- SpaceX llega a 100.000 clientes de Starlink. Aquí se explica cómo registrarse
- Es posible que su computadora portátil Dell tenga una vulnerabilidad de seguridad. Aquí se explica cómo solucionarlo.
- ¿Qué es un servidor DNS? Así es como Internet ofrece tus favoritos
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
