Las secuelas de Heartbleed

Heartbleed es —en términos sencillos— el cagazo más grande que se ha descubierto en materia de seguridad informática en muchos años, y que en el contexto de las revelaciones que hemos conocido gracias a la denuncia de Edward Snowden no sólo ayuda a explicar algunas cosas sino también a ponernos a todos un poco más paranoicos.

Por ello es que los coletazos de su descubrimiento están lejos de terminar, y esto no se refiere únicamente a la multitud de sitios que aún estarán exponiendo a sus usuarios a esta vulnerabilidad, sino también a las deficiencias en procesos críticos que han quedado al descubierto por esta crisis mientras la polvareda aún no termina de asentarse.

En particular, existen dos iniciativas en las que vale la pena reparar porque representan dos caras muy distintas del mundo del software libre y el código abierto.

La primera es LibreSSL, que representa el espíritu revolucionario y técnicamente purista. Básicamente, se trata de un grupo de chascones (o pelados, da lo mismo) que a propósito del descubrimiento del bug dijeron ¡basta! (o enough!, o quizás algo en ruso, da lo mismo) y se han propuesto tomar el código con problemas para repararlo desde sus raíces. Este proyecto, que está bajo el alero de OpenBSD, ya está totalmente sumergido en el código de OpenSSL al punto que han podado alrededor de la mitad de su código pero manteniendo completa compatibilidad.

Su comprensión y enfoque del problema es puramente tecnócrata: se ocupa de la situación actual en lo que entienden como su causa inmediata, y se han lanzado de cabeza a solucionarlo; a codear primero y asegurar financimiento después. La pregunta a la que están respondiendo es ¿cómo pudo pasar esto? y su respuesta refleja su background técnico:

The Open Source model depends [on] people being able to read the code. It depends on clarity. That is not a clear code base, because their community does not appear to care about clarity […]

Por otra parte tenemos a Core Infrastructure Initiative, amparada por Linux Foundation y que cuenta con el respaldo de las corporaciones más grandes que trabajan continuamente en el desarrollo de Linux, tales como Cisco, Dell, Facebook, Google, IBM, Intel… incluso Microsoft.

Aquí el enfoque es radicalmente distinto: más que arremangarse las camisas y lanzarse a mejorar el código del software con problemas, la intención es formalizar una estructura organizacional que asegure recursos económicos y humanos para el desarrollo y la mantención de componentes críticos. La preocupación va más del lado de ¿cómo evitamos que algo así vuelva a suceder? por lo que el análisis parte y termina en puntos distintos.

En este sentido, el punto de inicio está ligado al análisis de la realidad organizacional y “administrativa” del trabajo en los distintos componentes que forman parte de una distribución de Linux. De este modo, se hace evidente que existen proyectos que están encargados de funcionalidades críticas que forman parte del núcleo de un sistema, y es necesario asegurar una orgánica que permita dotar a estos proyectos de capital humano y económico acorde al rol que cumplen sus productos.

El caso de OpenSSL (el proyecto donde se detectó la vulnerabilidad causante de Heartbleed) es clarísimo: hasta antes de que se hiciera pública la vulnerabilidad, recibían alrededor de USD $2000 anuales en donaciones. Ahora el foco está puesto no solamente en aunar esfuerzos corporativos, sino también con la comunidad de desarrolladores que participan en proyectos de código abierto y expertos para poner los acentos donde corresponda.

Afortunadamente existe voluntad de avanzar en ambos frentes y también de manera coordinada, para evitar que una crisis tan significativa sea completamente desperdiciada.