skip to main | skip to sidebar
5 commenti

Heartbleed, scappati i buoi qualcuno finanzia il recinto

L'onda lunga della massiccia falla di sicurezza denominata Heartbleed prosegue la propria corsa. Oltre all'annuncio di Apple che alcuni suoi dispositivi sono vulnerabili e vanno quindi aggiornati prontamente e che lo stesso vale per alcuni prodotti IBM, Cisco, VMware, Dell, Intel e NetApp, c'è la notizia che ora finalmente le grandi aziende che per anni hanno beneficiato del software libero e gratuito OpenSSL, che è al centro della falla, ne finanzieranno lo sviluppo.

Può sembrare assurdo, ma un componente fondamentale della sicurezza e della privacy della Rete era gestito da una fondazione che aveva un solo dipendente che lavorava a tempo pieno alla manutenzione di OpenSSL. Inoltre la fondazione riceveva mediamente duemila dollari di donazioni l'anno.

Adesso che è scoppiato il pasticcio si corre ai ripari. La Linux Foundation ha annunciato un programma triennale, con finanziamenti per circa tre milioni e mezzo di dollari, per sostenere i progetti di software libero e aperto essenziali, dando priorità speciale per OpenSSL. Si sono impegnati a donare almeno centomila dollari l'anno per tre anni Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace e VMware. Chiunque può donare sin da subito a questo fondo, denominato Core Infrastructure Initiative. Meglio tardi che mai.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (5)
Esiste ad oggi un "report" sulle conseguenze della falla? Per esempio negli scorsi giorni la Blizzard ha dovuto mettere offline tutti i server di gaming per una "manutenzione straordinaria" che è durata due ore, e da qualche giorno mi sembra che internet sia più "lenta" del solito.. Casualità o correlazione?
Heartbleed insegna come le aziende di informatica medio-grosse siano estremamente avare. Potevano donare tranquillamente 100.000 dollari ciascuna, sono briciole per loro, ma tanto per chi gestisce OpenSSL. I risultati di tanta miopia si sono visti.......
A questo punto la mia forte curiosità da non addetto ai lavori è... Esistono (e se sì quante) altre colonne portanti della rete che si trovano nella stessa situazione paradossale di openSSL?
Se affermativo, potrebbe anche essere la base per un po' di divulgazione mezzo articolo.
Paolo,
guarda che il link alla pagina di IBM, indica nel dettaglio che Cognos Business Intelligence (uno dei mille prodotti della galassia ibm) NON è vulnerabile a Heartbleed
In Generale, i prodotti IBM non sono vulnerabili perchè non usano OpenSSL ma un Global Secure ToolKit (GSKit) proprietario...parecchio più complicato da usare, ma per lo meno, per ora,sicuro...
purtroppo il software libero viene visto come la vacca da mungere...