Las auditorías de seguridad de aplicaciones o sistemas operativos ayudan a mejorar la seguridad y encontrar posibles problemas para solucionarlos. Los protocolos SSL y TLS son una pieza fundamental en las comunicaciones de Internet y por este motivo un grupo de expertos en seguridad han decidido llevar a cabo una auditoría que tiene como principal protagonista OpenSSL.
Además de los responsables de NCC Group Cryptography Services, en la auditoría también van a participar los responsables de las consultoras iSEC Partners, Matasano Security y Intrepidus Group, todas ellas con un peso muy importante en lo referido a investigaciones de problemas de seguridad y su detección.
Según las últimas informaciones la realización de esta habría arrancado y durante los próximos meses realizarán un examen minucioso del código de los protocolos criptográficos, buscando posibles problemas que se puedan solucionar antes de que sean explotados y así encontrar una estabilidad en lo referido a materia de seguridad.
Tras la detección de HeartBleed el mes de abril del pasado año la seguridad de este software ha estado perturbada por problemas de seguridad, algunos tan importantes como el detectado en octubre del mismo año y bautizado como Shellshock. Aunque son errores que afectaron a más aplicaciones e incluso a módulos fundamentales de algunos sistemas operativos, la realidad es que la importancia de SSL y TLS en las comunicaciones hacen que cualquier mínimo errro se vea maximizado.
Reescritura de parte del código de OpenSSL
Para facilitar la lectura del código parte de este se ha modificado y simplificado, algo que se ha hecho sobre durante las últimas semanas y por petición expresa de los expertos en seguridad de las consultoras. Han detallado que durante la auditoría esperan contemplar una amplia variedad de fallos, creando de esta forma un informe lo más completo posible, cuyos primeros resultados podrán publicarse si todo transcurre según lo previsto durante el mes de julio.
De entrada, este análisis exhaustivo ha provocado que se realice una limpieza del código fuente de algunos módulos que conforman OpenSSL.
Fuente | Softpedia