Per què malgrat Heartbleed, l’open source és aquí per quedar-s’hi

Escrit per Rita —  May 19, 2014

open_source

L’error de seguretat més gran en la història de la Internet ha posat el programari de codi obert de nou a l’ordre del dia.

Durant l’última dècada, el codi open source s’ha guanyat una molt bona reputació per ser segur i confiable. De fet, pot ser més fiable que el codi propietari gràcies a la ‘Llei Linus‘, que fa honor al creador de Linux, Linus Torvalds. Aquesta llei diu que “amb suficients ulls, tots els errors són detectables”. En altres paraules: si hi ha prou col·laboradors examinant el programari, tots els errors i fallades de seguretat es corregiran.

El forat de seguretat conegut com Heartbleed, descobert fa tan sols unes setmanes, ha fet que milions de persones s’adonin del que un programari de codi obert anomenat OpenSSL havia estat fent per ells durant anys.

OpenSSL és una implementació de codi obert dels protocols SSL i TLS de seguretat que assegura des de la majoria de les connexions d’Internet, xarxes socials en línia o la banca, fins a proveïdors de correu electrònic.

Recentment, no obstant això, va sortir a la llum que una pèrdua de dades inesperada d’un servidor havia estat permetent que qualsevol tingués accés a dades sensibles en gairebé qualsevol servei d’Internet.

[…] La petita icona de seguretat (HTTPS) en el qual tots confiàvem per mantenir segures nostres contrasenyes, correus electrònics personals, i targetes de crèdit, estava en realitat fent que tota la informació privada fos accessible a qualsevol persona que sabés explotar-la.

Tumblr, Abril 8 2014

Alguns han especulat que l’edat de l’error (la vulnerabilitat només es troba en alguns llançaments recents) i el fet que solament estigui present en programari que qualsevol pot actualitzar, suggereix que “Podria haver estat inserit i després explotat per les agències d’espionatge del govern, tals com l’Agència de seguretat nacional d’Estats Units, que se sap que tenen programes amb l’objectiu de recopilar dades dels usuaris“, com va assenyalar The Guardian el 9 d’abril.

Mentre que moltes companyies d’Internet es basen en el codi lliure, la seva integritat depèn d’un petit nombre d’investigadors amb finançament insuficient que dediquen la seva energia als projectes.

Per contra, la NSA té més d’1.000 experts dedicats a sostreure tals defectes mitjançant sofisticades tècniques d’anàlisis, moltes d’elles classificades. L’agència va trobar el Heartbleed poc després de la seva presentació, d’acord amb una de les persones familiaritzades amb l’assumpte, i es va convertir en una part bàsica de les eines de l’agència per a la substracció de contrasenyes i altres tasques comunes.

Michael Riley, Bloomberg News, 12 d’Abril de 2014.

La ‘Core Infrastructure Initiative’

Heartbleed no és un fracàs de l’arquitectura del open-source i no hi ha absolutament cap raó per creure que va ocórrer perquè va ser mantinguda per voluntaris. Si el programari d’OpenSSL fos una peça de programari propietari, podríem inculpar a la companyia darrere del programa. Ja al febrer, quan Apple va detectar el seu propi error de seguretat SSL-TLS, la multimilionària companyia va ser durament criticada per programadors i experts en seguretat.

De fet, un estudi recent realitzat per Coverity mostra que el programari de codi obert té una densitat de defectes menor al de codi propietari

“En 2013, vam veure que la qualitat del codi de font oberta supera la de codi propietari en tots els nivells. No vam veure una diferència tan acusada
en termes de qualitat dels projectes amb més d’un milió de línies de codi.”

Informe Coverity Open Source 2013 

Captura de pantalla 2014-05-18 a la(s) 13.37.33

Certament, els desenvolupadors voluntaris que mantenen la biblioteca Open SSL van dir que només han rebut 2.000$ a l’any per mantenir el codi. Inspirades per aquesta crisi, les grans empreses de tecnologia del món han vist una oportunitat per establir un grup que finança programes de codi obert com OpenSSL.

La Iniciativa de la infraestructura principal és un projecte de diversos milions de dòlars per finançar projectes de codi obert que estiguin en la ruta crítica de funcions de computació bàsica.

La Fundació Linux

Els primers partidaris del projecte inclouen a Amazon, Cisco, Dell, Facebook, Fujitsu, Goole, IBM, Intel, Microsoft i NetApp, entre uns altres.

Cadascuna d’aquestes empreses donarà 300.000$ per recolzar el desenvolupament de OpenSSL, tenir als desenvolupadors treballant a temps complet i cobrir altres despeses, com a auditories de seguretat o despeses de viatge.

LibreSSL –una bifurcació de OpenSSL

D’altra banda, no obstant això, un grup de voluntaris que no creuen en arreclar la tecnologia actual del SSL, han anunciat recentment la seva intenció de desenvolupar una nova norma a partir de zero.

Això, que en l’argot es diu un ‘branca’, es coneix com a “fork” al món de la programació – una branca que sorgeix de les discrepàncies dins de la comunitat de desenvolupadors quant a l’adreça que un determinat projecte ha pres.

Igual que la suite de office OpenOffice va resultar en LibreOffice, els promotors d’una nova solució de codi obert per als protocols de seguretat més utilitzats han creat LibreSSL per tractar de vèncer a OpenSSL.

OpenExpo Day 2014

Afortunadament, hi ha un munt de més iniciatives de programari de codi obert i lliure com aquesta succeint a tot el món.

A Madrid, la Conferència OpenExpo Day tindrà lloc el 26 de juny de 2014, amb l’objectiu de difondre l’ús de la tecnologia de codi obert i la promoció de la col·laboració i la la cooperació entre les iniciatives de codi lliure.

Aquesta conferència anual d’un dia reuneix a desenvolupadors i emprenedors, així com empreses com Joomla, Magento o MOOC. El programa inclou tallers, demostracions i oradors internacionals clau com Firefox, Drupal i Symfony.

Les edicions anteriors han concentrat a més de 950 persones en l’esdeveniment, i a més de 1000 seguint-ho per streaming a través del canal de Open Expo Day en Youtube. Aquest tipus d’esdeveniment és de fet el lloc perfecte per debatre la incursió de les empreses al món open-source, així com altres notícies d’actualitat del codi obert. Aconsegueix el teu tiquet aquí.

Fotografia: Muffin

Rita

Rita

Posts

Translator, content writer and geeky linguist in general. I believe information is a powerful tool.