Cerca nel blog

2014/04/25

Heartbleed, scappati i buoi qualcuno finanzia il recinto

L'onda lunga della massiccia falla di sicurezza denominata Heartbleed prosegue la propria corsa. Oltre all'annuncio di Apple che alcuni suoi dispositivi sono vulnerabili e vanno quindi aggiornati prontamente e che lo stesso vale per alcuni prodotti IBM, Cisco, VMware, Dell, Intel e NetApp, c'è la notizia che ora finalmente le grandi aziende che per anni hanno beneficiato del software libero e gratuito OpenSSL, che è al centro della falla, ne finanzieranno lo sviluppo.

Può sembrare assurdo, ma un componente fondamentale della sicurezza e della privacy della Rete era gestito da una fondazione che aveva un solo dipendente che lavorava a tempo pieno alla manutenzione di OpenSSL. Inoltre la fondazione riceveva mediamente duemila dollari di donazioni l'anno.

Adesso che è scoppiato il pasticcio si corre ai ripari. La Linux Foundation ha annunciato un programma triennale, con finanziamenti per circa tre milioni e mezzo di dollari, per sostenere i progetti di software libero e aperto essenziali, dando priorità speciale per OpenSSL. Si sono impegnati a donare almeno centomila dollari l'anno per tre anni Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace e VMware. Chiunque può donare sin da subito a questo fondo, denominato Core Infrastructure Initiative. Meglio tardi che mai.

5 commenti:

Il Lupo della Luna ha detto...

Esiste ad oggi un "report" sulle conseguenze della falla? Per esempio negli scorsi giorni la Blizzard ha dovuto mettere offline tutti i server di gaming per una "manutenzione straordinaria" che è durata due ore, e da qualche giorno mi sembra che internet sia più "lenta" del solito.. Casualità o correlazione?

lufo88 ha detto...

Heartbleed insegna come le aziende di informatica medio-grosse siano estremamente avare. Potevano donare tranquillamente 100.000 dollari ciascuna, sono briciole per loro, ma tanto per chi gestisce OpenSSL. I risultati di tanta miopia si sono visti.......

B'Rat ha detto...

A questo punto la mia forte curiosità da non addetto ai lavori è... Esistono (e se sì quante) altre colonne portanti della rete che si trovano nella stessa situazione paradossale di openSSL?
Se affermativo, potrebbe anche essere la base per un po' di divulgazione mezzo articolo.

giorgetto ha detto...

Paolo,
guarda che il link alla pagina di IBM, indica nel dettaglio che Cognos Business Intelligence (uno dei mille prodotti della galassia ibm) NON è vulnerabile a Heartbleed
In Generale, i prodotti IBM non sono vulnerabili perchè non usano OpenSSL ma un Global Secure ToolKit (GSKit) proprietario...parecchio più complicato da usare, ma per lo meno, per ora,sicuro...

Guido Pisano ha detto...

purtroppo il software libero viene visto come la vacca da mungere...