Programador informático alemán Robin Seggelman ha sido marginado como el hombre cuyos codificación de error, ahora conocido como Heartbleed, ha dejado a millones de usuarios de Internet y miles de sitios web vulnerables a los hackers.
El descubrimiento, por un ingeniero de Google y la empresa de seguridad finlandesa Codenomicon, ha llevado a los expertos a pedir a la gente a cambiar sus contraseñas a la mayoría, si no todos, los sitios web que se suscriben a los propietarios del sitio después de haber fijado sus vulnerabilidades.
Dr Seggelman, de 31 años, a partir de la pequeña ciudad de Oelde en el noroeste de Alemania, es un contribuyente a la Fuerza de Tarea de Ingeniería de Internet (IETF), un grupo global sin fines de lucro cuya misión es hacer el trabajo de Internet mejor. Él se une a la Universidad de Ciencias Aplicadas de Munster en Alemania, donde, como investigador asociado en el laboratorio de programación de redes en el departamento de ingeniería y ciencias de la computación eléctrica, ha publicado una serie de documentos, incluyendo su tesis sobre estrategias para asegurar las comunicaciones de Internet en 2012. Ha escrito artículos académicos y dando charlas sobre temas de seguridad desde 2009, cuando todavía era un estudiante de doctorado.
Anuncio
Su influencia la investigación académica índice de puntuación de dos, basado en el número de citas científicas de su trabajo, sugiere un pensador influyente en las primeras etapas de su carrera científica.
De acuerdo con su perfil de Xing, el Dr. Seggelman ha trabajado para Deutsche Telekom servicios de TI subsidiarios T-Systems, posiblemente el más grande tal consultora en Alemania, desde 2012, como arquitecto de soluciones.
¿Es este un hombre que deliberadamente dejar un enorme agujero en el Internet, que la Agencia Nacional de Seguridad de EE.UU. podría haber estado explotando para espiar las comunicaciones de las personas?
Dr Seggelman negó esto en una interview con Fairfax Media el jueves. Él dijo: "Es tentador suponer que, después de la divulgación de las actividades de espionaje de la NSA y otras agencias, pero en este caso se trataba de un error de programación simple en una nueva característica, que por desgracia se produjo en un área relevante para la seguridad.
"La intención no era en absoluto, hacer daño a OpenSSL, porque me he fijado previamente, se me escapo y se le escapo a quien debio revisar el codigo, ademas estaba tratando de contribuir al proyecto", dijo.
OpenSSL es un proyecto de software de código abierto. Proyectos de código abierto son, por su naturaleza abierta a los demás para contribuir. Nadie posee el código; nadie es responsable.
Willy Susilo, director del Centro de Computación e Informática de Investigación de Seguridad en la Universidad de Wollongong, dijo se anima a los estudiantes de informática para contribuir al código abierto y se les enseña la ética del movimiento. Se les enseña a tomar su papel con responsabilidad, con la presión para hacerlo bien se avecina mayor, dependiendo del proyecto que están trabajando. Pero también saben que alguien más en la comunidad revisará su trabajo.
En el caso de Heartbleed, el revisor, el Dr. Stephen Henson, un consultor del Reino Unido en OpenSSL, también se perdió el error.
Profesor Susilo dijo que no es inusual. "Fue sólo un error de desarrollo al crear el algoritmo. Es un grave error, pero un error normal."
Él señala a otro error de cifrado codificación descubierto en 2004 en una versión de GNU Privacy Guard , en sí una versión de Pretty Good Privacy, una popular herramienta de encriptación de correo electrónico.
Phong P. Nguyen, autor principal del artículo GNUPG Phong Q. Nguyen señaló que "malo criptografía es mucho más frecuente que la buena criptografía", y el "hecho de que el código fuente se puede leer no implica que se lee en realidad, sobre todo por expertos en criptografía ".
"Un miembro de sólo mirar la forma en [el algoritmo] funciona, no en el código del programa que se presentó. Lo mismo ocurrió con GnuPG, el revisor aceptó el código."
Profesor Dr. Michael Tuexen que supervisó doctorado del Dr. Seggelmann dijo Fairfax Media Heartbleed fue un error, un "pequeño error con un gran impacto. Nada menos, nada más."
"Por favor, tenga en cuenta que en un principio también fija varios errores en el OpenSSL. La mayoría de los parches presentados fueron finalmente aceptados por el proyecto. Así que la adición de la función no era su primer parche. Lamentablemente, este parche contiene el error," dijo el Dr. Tuexen.
Mientras tanto, el Dr. Seggelmann evadió preguntas sobre cómo se siente acerca de ser el autor de un error tan infame y lo que significa para su trabajo actual y futuro. En un indicio de que puede temer las repercusiones, en su lugar solicitó Fairfax Media no utiliza fotos de él, aunque algunos están disponibles públicamente en Internet.
"No ayuda a nadie si este error está asociado a mí personalmente", dijo.
Y sugirió que mientras más contribuyentes al movimiento de código abierto, mayor será la probabilidad de errores que se evitaron.
"Yo preferiría que utilice la oportunidad de dar a conocer que la seguridad es un tema importante, y que incidentes como éste mejor se pueden prevenir con más personas que participan en el desarrollo y revisiones de software de seguridad pertinentes."
Profesor Susilo dijo que el movimiento de código abierto ya había movilizado para solucionar el fallo y que ahora corresponde a los sitios web individuales utilizando el cifrado de OpenSSL para parchear sus sistemas.
"No hay nadie a quien culpar. El código está en constante evolución", dijo.
Recordó a la gente a cambiar las contraseñas de todos los sitios que se suscriben a, ya que era casi imposible para los usuarios individuales que dicen que los sitios utilizan OpenSSL.
Mashable ha compilado una tabla útil para guiar a los usuarios. Cambie las contraseñas ahora para: Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Dropbox, Minecraft y Amazon Web Services.
Fuente: http://www.smh.com.au/it-pro/security-it/who-is-robin-seggelmann-and-did-his-heartbleed-break-the-internet-20140411-zqtjj.html
Angel J. Reynoso
kp01
Tel.: 829-997-4870
kp01aj@gmail.com
kp01
Tel.: 829-997-4870
kp01aj@gmail.com
No hay comentarios:
Publicar un comentario