¿Por qué no se arregló el corazón antes? [cerrado]

No puedes corregir el error hasta que lo encuentres.

Como la pregunta "¿Quién encontró el insecto de Heartbleed?" en heartbleed.com:

Este error fue descubierto de forma independiente por un equipo de ingenieros de seguridad (Riku, Antti y Matti) en Codenomicon y Neel Mehta de Google Security, quienes lo informaron primero al equipo de OpenSSL. El equipo de Codenomicon encontró un error en el corazón mientras mejoraba la función SafeGuard en las herramientas de prueba de seguridad Defensics de Codenomicon y reportó este error al NCSC-FI para la coordinación de la vulnerabilidad y el informe al equipo de OpenSSL.

Así que se descubrió recientemente, aunque el error existe desde hace muchos años.

Cuando miras el código fuente, puede ser muy difícil detectar todos los errores.

La fuente es una descripción de lo que hace el programa, pero no cómo. Si un desarrollador comete un error, puede que no sea obvio que lo haya hecho, o incluso que sea un error, si no afecta la funcionalidad aparente del programa

Para asegurarse de que no haya vulnerabilidades, el código debe revisarse para detectar errores. Esto requiere que las personas que entienden lo que se supone que haga el programa (en este caso, la implementación de un latido cardíaco TLS) lean el código fuente y realicen pruebas en el programa, lo que requiere tiempo y dinero. El equipo de OpenSSL no tiene la capacidad de buscar todos los errores potenciales, especialmente porque está hecho de voluntarios. Es por esta razón que el error pasó desapercibido. Fue solo después de que un investigador de seguridad en Google revisó OpenSSL cuando se descubrió y corrigió la vulnerabilidad.

Necesitas la habilidad de encontrar errores para poder solucionarlos.

Una vez que se libera un parche, siempre hay una ventana entre cuando se suelta el parche y cuando lo aplican los usuarios. Los atacantes tienen la capacidad de atacar a los usuarios en esa ventana ya que todavía son vulnerables. Esto es lo mismo con todo el software.

Existen explotaciones y escapatorias en todo, desde dispositivos médicos hasta teléfonos, y es solo una vez que estos dispositivos entran en producción y llegan a los extremos en que se descubren estos agujeros.

Si desea ir por la ruta matemática, es una curva exponencial en la que toma un requisito simple para un producto y lo agrega. A medida que agrega más complejidad, introduce más posibilidades de agujeros de seguridad y vulnerabilidades. La forma más fácil de pensar en todo esto no son las vulnerabilidades, los errores y otras operaciones, sino simplemente las operaciones no deseadas.

Las pruebas para cada posible interacción y circunstancia son casi imposibles, por lo que una empresa u organización (o incluso un individuo) realizará una cantidad aceptable de pruebas, pero es posible que nunca encuentre todos los errores. Esto es cierto para más que solo software, por supuesto. Recuerda el fabricante son un gran ejemplo.

tl;dr

Las explotaciones existen en todas partes y no hay ninguna teoría de la conspiración o mala intención de por qué no se han corregido. A veces lleva más tiempo encontrar estos problemas, ya que solo ocurren en circunstancias específicas que generalmente no se pueden planificar de antemano. Nuestra única esperanza es que la persona o el grupo que lo encuentre lo informe a las personas adecuadas.