Le vere cause del bug Heartbleed: poche risorse al modello di sviluppo open

Sicurezza

di Stefano Zanero, Politecnico di Milano

Forse possiamo iniziare a trovare una lezione nel bug Heartbleed in OpenSSL, la pericolosa falla di cui si sta molto parlando e che mette tuttora a rischio (secondo stime) almeno 50.000 del milione di siti più importanti del web.

Se pensiamo all'enorme utilizzo di OpenSSL, e' incredibile che pochissime risorse siano a disposizione: 15 volontari, che nell'ultima settimana hanno raccolto "ben" 800 dollari di finanziamenti volontari.

Il risultato è stato disastroso ed e' sotto gli occhi di tutti. La creazione ("commit") del codice che ha causato il bug è avvenuta infatti intorno alla mezzanotte di un 31 dicembre: codice scritto di fretta, probabilmente, e senza la dovuta concentrazione. Può capitare, ma il fatto che per due anni il codice, per quanto "controllabile" in teoria da chiunque, non sia stato controllato da nessuno, non depone a favore della robustezza del modello di sviluppo che il progetto sta usando.

Anche perché non è certo la prima volta che gravi vulnerabilità affliggono OpenSSL: adesso il caso è scoppiato perché siamo in un clima post-Snowden, dove c'è grande attenzione per la sicurezza internet.

Questo codice è usato quasi ovunque, quindi ci si aspetterebbe che le aziende utilizzatrici donassero risorse per migliorarne lo sviluppo...e questo, a quanto pare, non succede. Un ultimo aspetto curioso: parecchi governi (ad esempio, pubblicamente, quello tedesco), hanno finanziato auditing sul codice di OpenSSL, riconoscendone la criticita'. Ma i risultati di queste analisi non risulta siano stati condivisi per il beneficio della comunità.

 

(testo raccolto da Alessandro Longo)

 

10 Aprile 2014

TAG: sicurezza, zanero