El responsable de la vulnerabilidad Heartbleed de OpenSSL se disculpa

Escrito por Rubén Velasco
Seguridad
0

Heartbleed es una vulnerabilidad que afecta a todos los clientes y servidores que utilizan OpenSSL de manera que mediante solicitudes maliciosas, un atacante podría llegar a obtener claves privadas de usuarios de manera que podrían conseguir descifrar el tráfico y las conexiones obteniendo la información en ellas. Hasta ahora, el responsable directo de esta vulnerabilidad no se había pronunciado a los usuarios de internet pero, casi una semana más tarde del descubrimiento de esta vulnerabilidad, finalmente ha decidido hablar.

Según las declaraciones de Robin Seggelmann, estudiante de doctorado y desarrollador de la parte del código vulnerable, la vulnerabilidad es culpa de un descuido a la hora de escribir las validaciones necesarias para dicho módulo. Este error tampoco fue revisado durante las versiones de prueba, por lo que finalmente llegó sin quererlo a la versión final y de ahí siguió adelante en nuevas versiones.

Este desarrollador también ha afirmado que dicha parte vulnerable del código fue trabajo de varias semanas y que también parte de la culpa por el despiste se debe a que coincidió con Navidad a la hora de la publicación del código y, por esas fechas, los controles que se suelen aplicar a los diferentes software suelen ser menores generalmente.

openssl_main

Pocas horas tardaron en actualizar el módulo vulnerable de OpenSSL aunque, sin embargo, la peor tarea recae sobre los administradores de sistemas que necesitan actualizar sus sistemas manualmente para protegerlos de dicha vulnerabilidad.

Esta vulnerabilidad ha afectado a más de medio millón de equipos. Aunque ya hay disponible un parche para solucionarla, es posible que aún algunos servidores o clientes sean vulnerables ante Heartbleed porque no hayan sido actualizados correctamente. Aún tendrá que pasar más tiempo hasta que todo se solucione y podamos volver a confiar al 100% de todas las conexiones OpenSSL de la red.

¿Qué opinas de las declaraciones del desarrollador de la vulnerabilidad que ha afectado a tantos equipos a nivel mundial?

Fuente: Welivesecurity


Noticias relacionadas