La falla de seguridad Heartbleed devela las contradicciones de Internet

SAN FRANCISCO – La falla (o "bug", en la jerga) bautizada como Heartbleed (Corazón Sangrante) que llegó a los titulares y llamó la atención sobre uno de los elementos menos comprendidos de Internet: gran parte de la columna vertebral invisible de los sitios de la red -que van desde el de Google, pasando por el de Amazon, hasta el del FBI-, fue construida por programadores voluntarios en lo que se conoce como la comunidad de código abierto.

Heartbleed se originó en esta comunidad, en la que estos voluntarios, conectado por la Red, trabajan juntos para crear software libre, para mantenerlo y mejorarlo y para buscar fallas. Idealmente, cada uno controla el trabajo de los demás, en un sistema de revisión por los pares similar al que se ve en las ciencias, o al menos en Wikipedia –sin fines de lucro- en la que voluntarios motivados regularmente agregan nueva información y corrigen los errores de los demás.

Según sus defensores, este proceso asegura la creación de código informático confiable.

Pero desde que la falla conocida como Heartbleed logró filtrarse, generando temores –que aún no se demuestran justificados- de problemas generalizados, los habitantes de ese mundo se preguntan si el sistema funciona como debiera.

"Esta falla se introdujo hace dos años y sin embargo nadie se tomó el tiempo para advertirla" dijo Steven M. Bellovin, un profesor de ciencia informática de la universidad de Columbia. "La tarea de todos es tarea de nadie".

Una vez que se reveló la presencia de Heartbleed, hace casi dos semanas, las compañías corrieron a crear parches para solucionarla. Pero investigadores de seguridad dicen que más de un millón de servidores de la red podrían aún resultar vulnerables a ataques.

Mandiant, una firma dedicada a responder a cíber ataques, dijo el viernes que había encontrado evidencias que atacantes usaron Heartbleed para violar el sistema informático de una corporación grande, aunque aún seguía evaluando si hubo daños.

Esta falla se introdujo hace dos años y sin embargo nadie se tomó el tiempo para advertirla. La tarea de todos es tarea de nadie, dijo Steven Bellovin de la Universidad de Columbia

Lo que hace tan peligrosa a Heartbleed, según expertos, es el llamado código OpenSSL que quedó comprometido. Ese código es sólo uno de los muchos mantenidos por la comunidad de código abierto. Pero tiene un rol crítico en cuanto a hacer que sea seguro utilizar nuestras computadoras y dispositivos móviles.

El código OpenSSL fue desarrollado por el OpenSSL Project, que tiene sus raíces en los esfuerzos realizados en la década de 1990 para hacer que internet estuviera a resguardo del espionaje. La sigla "SSL" hace referencia a "secure sockets layer" (nivel de socket seguro), una forma de encriptado. Los que usan este código no tienen que pagar por el mismo mientras reconozcan la autoría del OpenSSL Project.

El código OpenSSL ha sido utilizado en distintos momentos por compañías como Amazon, Facebook, Netflix y Yahoo y para garantizar la seguridad de sitios de entes oficiales como el del FBI y la oficina de impuestos de Canadá. Está incorporado a sistemas de armas del pentágono, dispositivos como los teléfonos inteligentes que usan Android, teléfonos de línea fija de Cisco y routers hogareños Wi-Fi.

Las compañías y entes oficiales podrían haber usado esquemas propios registrados para garantizar la seguridad de sus sistemas, pero el OpenSSL les daba una opción gratuita y, al menos en teoría, más segura.

A diferencia del software privado, que es creado y mantenido por unos pocos empleados, el código abierto como OpenSSL puede ser controlado por programadores de todo el mundo, dicen sus defensores.

"Si hay suficientes miradas, todas las fallas se encuentran" es lo que dijo Eric S. Raymond, uno de los fundadores del movimiento de código abierto en su libro de 1997 "The Cathedral & the Bazaar" (La Catedral y el Bazar), una especie de manifiesto de la filosofía de código abierto.

Pero en el caso de Heartbleed "no hubo miradas" dijo Raymond en una entrevista esta semana.

Si bien cualquier programador puede trabajar en el código OpenSSL, sólo unos pocos lo hacen regularmente, dijo Ben Laurie, un ingeniero de Google que vive en Gran Bretaña y que dona tiempo a OpenSSL por las noches y los fines de semana. Esto es un problema, dijo, agregando que las compañías y los entes gubernamentales que usan el código OpenSSL se han beneficiado del mismo, pero es poco lo que dan a cambio. "OpenSSL no tiene fondos" dijo Laurie. "es usado por compañías que ganan mucho dinero, pero casi ninguna de las compañías que lo usan aportan algo".

Según el sitio del proyecto, OpenSSL tiene un diseñador full-time –el doctor Stephen N. Henson, un programador británico- y tres programadores voluntarios centrales, incluyendo a Laurie en Europa.

Registros en el sitio de OpenSSL muestran que Henson controló el código que contiene la falla Heartbleed, luego de que esta fuera incluido por error en una actualización de código en la víspera del año nuevo de 2011 y la falla fue incluida inadvertidamente en una presentación de software de OpenSSL tres meses más tarde.

Ni Henson ni los otros dos voluntarios respondieron a pedidos de entrevista.

OpenSSL no tiene fondos. Es usado por compañías que ganan mucho dinero, pero casi ninguna de las compañías que lo usan aportan algo, dijo Ben Laurie, un ingeniero británico de Google que dona tiempo a OpenSSL por las noches y los fines de semana

Pero los programadores de código abierto no le achacan la culpa a Henson, considerando que el proyecto OpenSSL ha operado con un presupuesto anual mínimo de US$ 2000 proveniente de donaciones –en su gran mayoría de individuos- lo que apenas alcanza para que los voluntarios cubran sus cuentas de electricidad.

Hace cinco años, a Steve Marquess, consultor de tecnología para el departamento de Defensa en aquel entonces, le llamó la atención que OpenSSL fuera "ubicuo", y sin embargo nadie de los que trabajaban en el código ganaba plata por ello. Cuando conoció a Henson, dijo Marquess, Henson trabajaba en el código OpenSSL full-time y "se moría de hambre".

Por lo que Marquess creó la Fundación de Software OpenSSL para ayudar a programadores como Henson a ganar dinero actuando como consultores para entes gubernamentales y compañías que usaran el código. También recibe algunas donaciones mínimas, dijo.

En los últimos cinco años la fundación nunca recibió más de US$ 1 millón en ingresos por contratos comerciales al año. Esto no es mucho para pagar el trabajo de los programadores, dijo Marquess.

La mayoría de los usuarios corporativos de OpenSSL no contribuyen fondos al grupo, dijo Marquess. Google y Cisco dicen que contribuyen alentando a sus propios ingenieros a buscar fallas en el código en horario de trabajo. El sitio de OpenSSL muestra que un ingeniero de Cisco y varios ingenieros de Google han descubierto fallas y creado soluciones a lo largo de los años.

Un ingeniero de Google, Neel Mehta, encontró la falla Heartbleed este mes y otros dos ingenieros de Google propusieron la solución.

Del mismo modo, Microsoft y Facebook crearon la iniciativa Internet Bug Bounty, que paga a ingenieros que informan de modo responsable de fallas en sistemas ampliamente usados como el OpenSSL. El grupo le pagó a Mehta US$ 15.000 por su descubrimiento –suma que donó a la Fundación por la Libertad de Prensa.

Pero los defensores del código abierto dicen que las organizaciones que utilizan el código debieran ayudar más. "El código abierto no es polvo mágico de hadas" que se produce automáticamente, dijo Tim O’Reilly, partidario desde sus inicios del código abierto y fundador de O’Reilly Media. "Se da porque hay gente que trabaja en eso".

Como mínimo, dicen expertos en seguridad, las compañías y los gobiernos debieran pagar por auditorías regulares del código, en particular cuando la seguridad de sus propios productos depende de la confiabilidad del código.

"Debieran asumir más responsabilidad por todo lo que incluyen en sus productos" dijo Edward W. Felten, profesor de ciencias de la computación de la Universidad de Princeton.

Hace diez años Laurie, por entonces programador free-lance, hizo una auditoría del OpenSSL para la Defense Advanced Research Projects Agency (Ente de Proyectos Avanzados de Investigación para la Defensa, conocido por la sigla Darpa). Le llevó un año entero. Hoy dijo Laurie, los voluntarios no tienen tiempo para hacer auditorías de ese tipo.

El problema, dicen Raymond y otros partidarios del código abierto, se reduce a que los incentivos no se corresponden con las necesidades. Raymond dijo que las firmas no hacen el mantenimiento del código OpenSSL porque no obtienen ganancias directamente del mismo, aunque está integrado a sus productos, y porque los gobiernos no se ven afectados políticamente cuando el código tiene problemas.

"No hay apoyo financiero, no hay sueldos, no hay seguro de salud para los que trabajan en esto" dijo Raymond. "Tienen que vivir como monjes o trabajar en el OpenSSL de noche y los fines de semana. Lo que es garantía de que habrá problemas serios".

Él y otros de los "ancianos" del movimiento de código abierto dicen que quieren crear un grupo sin fines de lucro para solicitar donaciones de gobiernos y compañías y en Kickstarter (sistema de donaciones online para nuevos emprendimientos, n. del t.) que se usarán para auditorías de OpenSSL y otros proyectos cruciales de código abierto.

Esta semana hubo alguna buena nueva. Marquess dice que luego de Heartbleed sacara a luz la falta de recursos del proyecto OpenSSL, el grupo recibió donaciones por US$ 17.000, casi todo de individuos fuera de Estados Unidos. La mayor donación individual fue de US$ 300; la menor fue de 2 centavos.

Pero hubo un problema, dijo: "Desgraciadamente los 2 centavos fueron donados a través de PayPal y PayPal se quedó con los dos centavos".

Traducción de Gabriel Zadunaisky

Conforme a los criterios de

Conocé más

Con un código QR. Nueva estafa en WhatsApp: acceden a tu cuenta y no te la roban, sino que la usan en simultáneo

Criptomonedas. La herramienta que recomiendan los expertos para evitar ser víctima de hackeos

Máxima seguridad. Así funciona la nueva herramienta "anti-robo" de Android: bloqueos y más medidas preventivas