🇪🇸 Cardano ha sometido su código fuente a una auditoría independiente

:es: Traducción al español de Cardano has undergone an independent source code audit por Rodrigo [RODRI].

Publicado por Cardanians en su blog de Medium, el 27 de Abril de 2020.


Cardano ha sometido su código fuente a una auditoría independiente, de la mano de la respetada compañía Root9B. El equipo de IOHK quiere garantizar a todos sus usuarios que Cardano es un protocolo seguro. Echemos un vistazo a la auditoría publicada.


Buscando alguna vulnerabilidad de seguridad.

Por qué una auditoría de seguridad independiente es beneficiosa

Como usuario de internet, utilizas una variedad de aplicaciones, y es posible que ni siquiera te des cuenta de que tu seguridad depende totalmente de las características de esas aplicaciones. Bajo el concepto de aplicación, puedes imaginarte un navegador de internet, un cliente de chat, un juego, un cliente de correo electrónico y muchas otras cosas. Estas aplicaciones utilizan diferentes protocolos de red que utilizan la infraestructura TCP/IP. En el caso de las criptomonedas, se utiliza una billetera que se comunica con otros usuarios a través del protocolo de red. Puedes enviar una transacción a través de tu billetera. La transacción se propaga a otros nodos a través del protocolo de red. A continuación, los nodos deben llegar a un consenso mutuo a través del protocolo de red, y acordar si su transacción es válida y puede incluirse en la blockchain.

Todas las aplicaciones de usuario, así como los protocolos de red, deben ser lo suficientemente seguros para protegerle de pérdidas financieras u otros problemas. Las aplicaciones de usuario y los protocolos de red son software. En el caso del software, se puede pensar en un código fuente escrito en un lenguaje de programación. El código fuente está escrito por programadores, y éstos son sólo personas que pueden cometer un error. Escribir un software seguro y que funcione correctamente es una tarea muy compleja.

El desarrollo de software nunca comienza de inmediato escribiendo el código fuente. Al menos no cuando se quiere alta calidad y fiabilidad. La gente necesita ponerse de acuerdo sobre qué problema quiere resolver, y cómo procederá. Primero se crea un diseño general, seguido de diseños más concretos, y especificaciones para componentes y partes individuales. En el caso de una criptomoneda, es necesario pensar en la blockchain, el protocolo de red y el consenso, la billetera de usuario, las herramientas criptográficas, el nodo y muchas otras cosas. Todo debe funcionar correctamente cuando todas las partes se integran.

Hay muchas técnicas bien descritas para garantizar la seguridad y la calidad del código fuente escrito. La clave es tener un buen diseño desde el principio. La calidad del diseño depende directamente de la calidad y la experiencia de la gente del equipo. En el caso de Cardano, el equipo está integrado por científicos y desarrolladores muy experimentados. El equipo eligió una buena metodología de desarrollo para poder crear un código fuente de alta calidad. Por ejemplo, esto se puede confirmar mediante la comprobación por parte de desarrolladores sobre el código fuente escrito por cada uno, y la corrección de cualquier deficiencia encontrada.

Cada funcionalidad puede ser implementada de diferentes maneras, y cada desarrollador es capaz de escribir el código de manera completamente diferente. Escribir el código fuente de un programa es en gran medida una cuestión individual. La revisión del código por parte de pares, entre muchos otros tipos de pruebas, podría utilizarse para verificar que el código fuente es correcto, y hace exactamente lo que se espera sin efectos secundarios no deseados. No es deseable que los errores y problemas aparezcan después de que la red se haya lanzado ya que los usuarios reales se verán afectados.

Las técnicas descritas anteriormente pueden ser realizadas por el propio equipo. Sin embargo, existe el riesgo de que el equipo pase algo por alto, o no lo haya pensado. Por otra parte, es posible que no sean conscientes de ninguna vulnerabilidad oculta. Estos riesgos pueden ser mitigados a través de una auditoría de seguridad realizada por un tercero independiente.

El objetivo de las auditorías de seguridad es descubrir cualquier vulnerabilidad en el código fuente que un atacante pueda explotar en su beneficio. La ventaja de una auditoría externa es que el código fuente es revisado por otro equipo de expertos que está centrado en encontrar errores, porque para eso lo contratan. Desde el punto de vista de los usuarios, también es ventajoso, ya que pueden estar seguros de que la calidad del código fue garantizada no sólo por el equipo interno, sino también por alguien independiente.

Lo que Root9B auditó, y los resultados

Como ya hemos dicho, Cardano se ha sometido a una auditoría independiente de su código fuente, por parte de la respetada compañía Root9B (R9B). R9B ha hecho un análisis estático del código. Significa que revisaron el código fuente sin ejecutarlo. R9B trató de encontrar clases comunes de vulnerabilidades que pudieran comprometer la confidencialidad, integridad o disponibilidad del software de Cardano. R9B auditó la blockchain (ledger), el nodo de Cardano, la red Ouroboros, las herramientas de cifrado, y algunas otras partes. El resultado de R9B es un informe que puedes encontrar en GitHub, aquí.

Puedes leer la auditoría tú mismo. Es el archivo con el nombre IOHK Phase 1 and 2 Report.pdf. Es interesante, pero puede ser probablemente comprendido sólo por especialistas en informática o programadores. Hay algunos hallazgos menores y una descripción de algunas vulnerabilidades teóricas. La gran noticia es que el equipo R9B no ha encontrado ninguna vulnerabilidad crítica de seguridad.

El equipo de IOHK ha respondido a la auditoría para explicar algunos hallazgos con más detalle, o para informar a R9B los pasos que aplicaron para mitigar o resolver el problema. Puedes encontrar la respuesta de IOHK en el archivo con el nombre Response to Root9B Audit Report.pdf. Se trató sólo de una revisión externa del código fuente, así que todos los problemas encontrados podrían haber sido resueltos a tiempo. Esto significa, antes del uso real en la red principal (mainnet) de Cardano. Por ejemplo, el primer problema encontrado se trató de la generación insegura de claves Genesis. IOHK explicó a R9B que no es un problema real, ya que el código afectado se usa sólo dentro de las pruebas, y no está destinado a ser usado en la red principal. El equipo de IOHK abordó, y posiblemente arregló, todos los temas que eran relevantes.

Hubo otro último paso en todo el proceso. R9B recibió la respuesta de IOHK, y confirmó que los problemas fueron tratados adecuadamente. Puedes encontrar la verificación de la mitigación en el archivo con el nombre Mitigation Verification April 2020 v2.pdf. R9B aceptó y confirmó que el equipo de IOHK abordó todos los hallazgos de manera adecuada.

Resumen

El equipo de IOHK pronto lanzará la red principal descentralizada de Cardano. Por lo tanto, es importante asegurar a todos los futuros usuarios que el código fuente es seguro. Hay que decir que un tipo de auditoría similar es muy costoso y el equipo de IOHK no dudó en pagar por la verificación de la calidad de su código fuente. Esto no es común en el mundo cripto. Muchos proyectos no tienen un código fuente robusto. Es muy probable que si se llevara a cabo una auditoría externa, se encontrarían muchas deficiencias de seguridad. Una auditoría de seguridad es también una muy buena ventaja competitiva para la adopción del proyecto por bancos e instituciones.


Considera la posibilidad de delegar tus ADA en Cardanians, ticker CRDNS.

Nuestro equipo está relacionado con el desarrollo de Adapools.org.

Si te gustan nuestros artículos, puedes apoyarnos con una donación:

[ADA] DdzFFzCqrhsp2Qsit7VGq5jpjehGFmVt9rvJzSRnWJ8S5HaMqpXxg7kguevE7jvxhPgmHbrKGtRXGGF7jVHjcnSBfQ5sEGKB7HVvDNyR

[BTC] 3GvKDw7GWfyawMo3QcHkVJCUjGvbyUqboA

Embajadores de Cardano: Jaromir Tesar y Lukas Barta

Vías de contacto

Web: https://cardanians.io
Twitter: @Cardanians_io
Adapool Twitter: @AdapoolsO
Email: hello@cardanians.io
Telegram: Telegram: Contact @cardanians
Facebook: Cardano CZ/SK: Cardano [ADA] CZ/SK | Facebook

1 Like