El responsable de la vulnerabilidad Heartbleed de OpenSSL se disculpa

Iniciado por wolfbcn, 14 Abril 2014, 14:25 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Heartbleed es una vulnerabilidad que afecta a todos los clientes y servidores que utilizan OpenSSL de manera que mediante solicitudes maliciosas, un atacante podría llegar a obtener claves privadas de usuarios de manera que podrían conseguir descifrar el tráfico y las conexiones obteniendo la información en ellas. Hasta ahora, el responsable directo de esta vulnerabilidad no se había pronunciado a los usuarios de internet pero, casi una semana más tarde del descubrimiento de esta vulnerabilidad, finalmente ha decidido hablar.

Según las declaraciones de Robin Seggelmann, estudiante de doctorado y desarrollador de la parte del código vulnerable, la vulnerabilidad es culpa de un descuido a la hora de escribir las validaciones necesarias para dicho módulo. Este error tampoco fue revisado durante las versiones de prueba, por lo que finalmente llegó sin quererlo a la versión final y de ahí siguió adelante en nuevas versiones.

Este desarrollador también ha afirmado que dicha parte vulnerable del código fue trabajo de varias semanas y que también parte de la culpa por el despiste se debe a que coincidió con Navidad a la hora de la publicación del código y, por esas fechas, los controles que se suelen aplicar a los diferentes software suelen ser menores generalmente.

Pocas horas tardaron en actualizar el módulo vulnerable de OpenSSL aunque, sin embargo, la peor tarea recae sobre los administradores de sistemas que necesitan actualizar sus sistemas manualmente para protegerlos de dicha vulnerabilidad.

Esta vulnerabilidad ha afectado a más de medio millón de equipos. Aunque ya hay disponible un parche para solucionarla, es posible que aún algunos servidores o clientes sean vulnerables ante Heartbleed porque no hayan sido actualizados correctamente. Aún tendrá que pasar más tiempo hasta que todo se solucione y podamos volver a confiar al 100% de todas las conexiones OpenSSL de la red.

¿Qué opinas de las declaraciones del desarrollador de la vulnerabilidad que ha afectado a tantos equipos a nivel mundial?

Fuente: Welivesecurity

http://www.redeszone.net/2014/04/14/el-responsable-de-la-vulnerabilidad-heartbleed-de-openssl-se-disculpa/
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

simorg

CitarQué opinas de las declaraciones del desarrollador de la vulnerabilidad que ha afectado a tantos equipos a nivel mundial?


Un poco INUTIL ese programador, en un trabajo que puede afectar a tantos usuarios no se puede permitir descuidos ni despistes, y comprobar bién la aplicación antes de darla por buena.

Lo minimo es que lo despidan, coja una caña y se vaya a pescar al rio.


Saludos.

Carloswaldo

Citar* THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY
* EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
* PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE OpenSSL PROJECT OR
* ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
* SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
* NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
* LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)

Así es la licencia, casi que puedo decir que la culpa es de los usuarios.

simorg

Lo más facil siempre es echarle la culpa a los usuarios....

Este hombre reconoce que:

CitarSegún las declaraciones de Robin Seggelmann, estudiante de doctorado y desarrollador de la parte del código vulnerable, la vulnerabilidad es culpa de un descuido a la hora de escribir las validaciones necesarias para dicho módulo. Este error tampoco fue revisado durante las versiones de prueba, por lo que finalmente llegó sin quererlo a la versión final y de ahí siguió adelante en nuevas versiones.


A pescar al rio....y si hay pirañas mejor.... ;D


Saludos.

ccrunch

Casi todas las licencias de software libre dice claramente que viene sin ninguna garantía. Así que desde el punto de vista jurídico, la culpa no es del programador, y desde el punto de vista ético, de nadie, puesto que es lo que tiene el software libre, lo usas sin ninguna garantía de que funcione como deba.

Aunque ese software fuera cubierto por una compensación económica, esas cosas pasan.

La duda es, verisign y toda la pesca que dicen que tienes una garantía de 200.000$ si te revientan el sitio o la clave de cifrado, qué van a hacer? De quién es la culpa? Mi verdadera pregunta es esa, y es la que todos deberían hacerse.

simorg

CitarCasi todas las licencias de software libre dice claramente que viene sin ninguna garantía.

Si, si, todo lo que querais, pero eso no quita que un profesional tiene que hacer bién su trabajo, y ese programador no ha lo ha hecho.

A los leones......

Saludos.

engel lex

en este caso me parece que no es culpa única de el, también están el resto de los programadores que deben revisar el código y corregir los errores dejados (limpieza, corrección y optimización del código), cualquier puede dejar un error incluso uno tan pequeño (que aunque en alcance es grande, normalmente no se piensa en ello al momento, y es posiblemente una linea de código entre cientos diarias)

por otro lado "Lo más fácil siempre es echarle la culpa a los usuarios...." cuando adquieres un software te atienes a sus licencias, no es culpa expresa de los usuarios, pero deben saber que si no quieren tomar riesgos reales consecuencia de esto, deben pagar licencias que les aseguren que en estos casos les pagarán indemnización (porque es mentira que nunca se van a equivocar)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

simorg

Citarcoincidió con Navidad a la hora de la publicación del código y, por esas fechas, los controles que se suelen aplicar a los diferentes software suelen ser menores generalmente.

Los que tenian que revisar el codigo se columpiaron, pero el que empezó el desaguisado fue el programador despistado.

A los cocodrilos.... ;D


Saludos.

ccrunch

Cualquier persona puede cometer errores, algunos más que otros. Yo me pongo en el lugar de ese programador (y mira que odio programar) y pienso en cada detalle que tiene que pensar para que no pasen estas cosas. En fin, la licencia los salva. Él no tiene la culpa ni como persona ni como profesional.

Creo yo.

Salu2

F3niX14

Cualquier programador por más experto que sea tiende a equivocarse. Sobretodo en proyectos tan complejos, le dan demasiado auge a algo que ya fue solucionado.
"La mayoría ya estarán familiarizados con las virtudes del programador. Son tres,por supuesto: pereza, impaciencia, y orgullo desmedido." – Larry Wall (Programming Perl)
[img=FluxBB bbcode test]http://img183.imageshack.us/img183/8154/20729to7.png[/img]