SecurityFocus publica una entrevista con Stefan Esser, fundador del
proyecto Hardened-PHP e impulsor del PHP Security Response Team, que ha
abandonado recientemente. Durante años ha contribuido al desarrollo de
PHP y considera que el núcleo de programadores de este lenguaje no está
concienciado con respecto a la seguridad. Por ello ha decidido crear el
mes de los fallos en PHP.
Stefan Esser es un profundo conocedor del código fuente PHP y un
investigador muy concienciado con la seguridad. Aunque desarrollaba el
núcleo de PHP desde 2001, en 2004 fundó The Hardened-PHP Project, un
proyecto destinado a tratar de forma responsable la gran cantidad de
fallos de seguridad que estaba encontrando en el código PHP. Esser se
quejaba del modelo de desarrollo del proyecto, donde se incluían nuevas
funcionalidades sin tener en cuenta el impacto en la seguridad. Terminó
por dejar de confiar en el producto que él mismo desarrollaba, cuestionó
el trabajo del resto de desarrolladores, fue duramente criticado por la
revelación pública de problemas de seguridad y finalmente, sin apoyo y
ante la pasividad de sus compañeros, abandonó su puesto.
Esser opina que el código de PHP ha crecido demasiado rápido, que
existen problemas de regresiones y que el PHP Security Response Team
mira hacia otro lado. Afirma que este grupo fue capaz de confesar en
público que no conocía problemas de seguridad en PHP cuando él mismo
había reportado más de 20 errores sólo dos semanas antes. Es por este
motivo que no piensa en que la revelación pública de estos fallos pueda
considerarse "no ética".
El mes de los fallos en PHP tiene como objetivo que los usuarios y
especialmente los propios desarrolladores del código PHP tomen
conciencia de que existen muchos fallos en el lenguaje. La fama de PHP
en cuestión de seguridad es nefasta, principalmente por los "despistes"
que comenten los programadores que lo utilizan como herramienta. Esser
se centrará en errores específicos de PHP, no en los problemas
comúnmente asociados con las aplicaciones construidas con este lenguaje
(como pueden ser los fallos de inyección SQL o Cross Site Scripting) que
pueden ser achacados a la gran masa de usuarios de PHP más que al
lenguaje.
Aunque esta fama no es "justa" según Esser, sí que existen problemas
asociados con el propio lenguaje que son completa responsabilidad de sus
creadores. Algunos fallos han estado ahí durante años y si no es de esta
forma, nunca saldrán a la luz ni se preocuparán por solucionarlos. Esser
dice conocer muchos más de 31 errores, por lo que es probable que
publique más de un problema de seguridad al día.
Esta iniciativa se antoja especialmente preocupante. A diferencia de las
anteriores, se centra en un sólo producto, las aplicaciones suelen estar
expuestas por web y en el supuesto de que los fallos descubiertos sean
"sólo" aprovechables en local, esto también podría poner en peligro a
servidores de hosting compartidos que se basan en este lenguaje. PHP es
uno de los lenguajes más populares en servidores web de Internet y el
número de aplicaciones expuestas, tanto en local como públicamente,
programadas con él es literalmente inabarcable. Según la propia
nexen.net, un 34% de páginas web. Un toque de atención
que sin duda causará un gran revuelo y mantendrá ocupados a millones de
administradores durante el mes de marzo.
