Heartbleed quedó expuesto. Sus consecuencias fueron terribles para la seguridad en la Web, y esto automáticamente colocó entre ceja y ceja a OpenSSL. La conclusión de Theo de Raadt, fundador de OpenBSD, es lapidaria: OpenSSL es un desastre, y necesita una drástica reconstrucción. En consecuencia, él y su equipo iniciaron un fork llamado LibreSSL, con el que se buscará corregir la situación.
Boom. Heartbleed apareció en la Web causando un revuelo. Desde los servidores de Yahoo! regalando contraseñas hasta la carrera por actualizar certificados y cambiar contraseñas, el particular mundo de la seguridad informática quedó muy molesto. Dos años sin que nadie lo haya visto. Elementos con diferentes agendas sirviéndose del bug como si estuvieran en un buffet libre. Preguntas y más preguntas. Cómo no vieron esto antes. Quién tiene la culpa. El parche llegó por ascensor, pero su implementación se encuentra en el cuarto subsuelo, subiendo por la escalera. Las grandes compañías respondieron de inmediato, aunque uno no puede evitar pensar en todos esos sistemas, redes, routers y (inserte plataforma aquí) que todavía están usando una versión vulnerable de OpenSSL. La historia nos lleva a Theo de Raadt. NetBSD, OpenBSD y OpenSSH, además de unas cuantas escaramuzas fronterizas con desarrolladores Linux, Richard Stallman, y Linus Torvalds. Ejemplos del clásico “Ford vs. Chevy” trasladado a OpenBSD y Linux. El punto es que de Raadt y algunos miembros del equipo OpenBSD comenzaron una especie de limpieza sobre el código de OpenSSL, y el estado general es tan malo, que lo más lógico (al menos para ellos) fue realizar un fork. Así es como llegamos a LibreSSL.
De acuerdo a de Raadt, su equipo debió eliminar la mitad del código presente (incluyendo 90 mil líneas de C) que fueron clasificadas como “restos descartados”. Entre esos restos, encontraron miles de líneas dedicadas a soporte VMS (asumo que habla de OpenVMS), y otras tantas de soporte antiguo WIN32 que las nuevas versiones de Windows no utilizan. LibreSSL dará sus primeros pasos con OpenBSD 5.6, y llegará a otras plataformas una vez que el código y las finanzas estén en el nivel correcto. A pesar de este recorte que ha tenido la delicadeza de una motoguadaña, el árbol entero de ports sigue compilando y funcionando sin inconvenientes. LibreSSL tiene una página web… o debería decir “más o menos”. Sus responsables la crearon específicamente para irritar “a los hipsters de la Web”, usando Comic Sans y texto que parpadea. Si crees que eso es demasiado sarcasmo en una sola página, entonces no dejes de visitar “OpenSSL Rampage”, una especie de crónica sobre las cosas que los programadores van encontrando en OpenSSL. Algunos comentarios son picantes, para ser delicado.
Tanto fuego sobre OpenSSL inevitablemente llamó la atención de Steve Marquess, fundador de la “OpenSSL Software Foundation”, encargada de obtener fondos para asistir al desarrollo de OpenSSL. El artículo que publicó en su blog remarca las dificultades que el proyecto ha sufrido en materia de dinero y colaboraciones sobre el código. Allí realiza un especial ataque contra las compañías “Fortune 1000” que han usado a OpenSSL durante años, vendiendo productos en el mercado con esta tecnología en su interior, y sin contribuir con una sola línea de código o billetes. Al mismo tiempo, hizo una férrea defensa de quienes trabajan en OpenSSL, a los que destaca por su orgullo y responsabilidad sobre el trabajo. Seguridad, tiempo, dedicación y dinero. “Free” como en “libre” y no “gratis”. Conceptos que se mantienen en una órbita apenas estable, y cuando chocan, la filosofía open source inicia una guerra temporal consigo misma. Esperemos que salga algo bueno de todo esto.