25 may. 2008

Vulnerabilidad en OpenSSL revela debilidades en el proceso de desarrollo OpenSource

Según un reporte de la consultora Gartner el 06 de mayo el SANS Institute estableció una "alerta amarilla" respecto de una vulnerabilidad en el protocolo SSL de algunas distribuciones Debian. El reporte mencionado se puede encontrar aquí.


En la sección de análisis de este documento se relata que la vulnerabilidad fue aparentemente introducida por desarrolladores de Debian y no por los desarrolladores de OpenSSL, en un intento de corregir un problema con la gestión de memoria resultando en una debilidad del generador de número aleatorios provocando que sea muy sencillo para un atacante descubrir las claves de encriptación.

Se indica también que los desarrolladores de Debian intentaron comunicarse con la comunidad de desarrolladores de OpenSSL, pero "los procesos de comunicación informales fueron evidentemente inadecuados en este caso". Menciona también que este hecho confirma el punto de vista de Garner sobre que "los procesos de comunicación en el desarrollo open source necesitan mejoras significativas".

Al parecer el caso es aún más grave puesto que, según menciona el informe, el código no solamente fue parcheado por los desarrolladores de Debian sino por otros fabricantes de software sin siquiera intentar comunicarse con los desarrolladores de los paquetes de base.

El documento finaliza con varias recomendaciones, todas ellas muy atendibles, sin embargo lo que llama la atención es la percepción sobre el proceso de desarrollo OpenSource y los problemas que acarrea la falta de un proceso de comunicaciones mejor establecido que evite que sucedan estos casos que ponen en riesgo a una notable cantidad de aplicaciones y usuarios.

Si bien es cierto el modelo de desarrollo OpenSource ha demostrado ser superior en muchos aspectos, no lo es menos que también tiene sus debilidades y justamente la comunicación entre los equipos de desarrollo y al interior de ellos mismos supone siempre un gran reto y un factor que incluso puede determinar el éxito o el fracaso del proyecto.

Algunos enlaces útiles: El reporte de Gartner, la descripción de la vulnerabilidad, otro artículo sobre el mismo tema, OpenSSL en Wikipedia, la página oficial de OpenSSL, un artículo sobre el proceso de desarrollo OpenSource.

No hay comentarios: