На 7 април 2014 г. светът научи за това, което е може би най-сериозният бъг в сигурността в историята на интернет. Нарича се Heartbleed.
Открито едновременно от Neel Mehta, изследовател по сигурността в Google, и финландска фирма за сигурност Codenomicon, грешката компрометира протокол за сигурност, често използван от устройства и уебсайтове в световен мащаб. Heartbleed дава възможност на хакер да изтрие данни от паметта – включително пароли, номера на банкови сметки и всичко останало, останало вътре.
Препоръчани видеоклипове
Сериозността на грешката накара мнозина да се чудят как може да се случи. OpenSSL, протоколът за сигурност, в който беше открита грешка, се използва по целия свят. Използва се не само в сървъри, но и в рутери и дори в някои смартфони с Android. Може да си помислите, че някоя отговорна страна има екип от изследователи по сигурността, които проверяват и проверяват кода, но всъщност OpenSSL се управлява от малка група, състояща се предимно от доброволци.
Свързани
- Нов бъг в WordPress може да е оставил 2 милиона сайта уязвими
- Двуфакторното удостоверяване на SMS на Twitter има проблеми. Ето как да превключите методите
- HiveNightmare е неприятна нова грешка в Windows. Ето как да се предпазите
Отваряне към OpenSSL
OpenSSL може да се похвали с произхода си с отворен код в името си. Основан през 1998 г., проектът е създаден, за да предостави набор от безплатни инструменти за криптиране за интернет сървъри. Това беше важна цел; криптирането е критично и често срещано. Беше необходим безплатен стандарт, за да се гарантира, че той ще бъде приет възможно най-бързо. Проектът беше изключително успешен и бързо се превърна в един от най-важните инструменти за сигурност в Интернет.
И все пак успехът не доведе до разширяване или печалби. OpenSSL генерира приходи само чрез договори за поддръжка, което осигурява достъп до отстраняване на проблеми и консултации от самата организация.
Общо само 11 души, повечето от които доброволци, отговарят за критичен стандарт за криптиране.
Това води до предвидимо малък персонал. „Основният екип“ се състои само от четирима души, а екипът за разработка добавя още седем имена към списъка. Това са общо само 11 души, повечето от които доброволци, отговорни за критичен стандарт за криптиране. Само един от тях, д-р Стивън Хансън, се фокусира изцяло върху OpenSSL. Всички останали имат друга работа на пълен работен ден.
Стив Маркес, който управлява парите на организацията, го каза най-добре. „Мистерията не е, че няколко преуморени доброволци са пропуснали грешката; мистерията е защо не се е случвало по-често.“
Бяха направени грешки
Ето до какво се свежда цялата криза – грешка. Грешката беше въведена от Робин Сегелман, немски доброволец, работещ върху OpenSSL разширение, наречено Heartbeat. Той изпрати кода в навечерието на Нова година, 2011 г., и впоследствие той премина през процеса на преглед. Heartbleed съществува, непознат за обществеността, повече от две години.
Други членове на проекта проверяват повторно изпратения код по време на прегледа, но се случват грешки, така че едва ли е изненада, че в крайна сметка се промъкна грешка. Дори многомилиардни компании като Microsoft и Cisco са засегнати от справедливия си дял от неудобни подвизи.
Проблемът произтича от разпределянето на памет според стойност, която може да бъде дефинирана от заявка. Ако потребителят предостави валиден вход, функцията работи по предназначение. Въпреки това, ако се направи невалидна заявка, кодът изхвърля част от това, което е в паметта, включително информация, която трябва да е защитена и криптирана. Този уеб комикс също обяснява Heartbleed, ако смятате, че визуализацията е полезна.
Някои софтуерни инженери вярват в това съществуването на грешката повдига въпроси относно сигурността на C, кодът, в който е написано разширението Heartbeat. Макар и популярен, C е сложен език, който предлага много възможности за грешки в управлението на паметта и обработката на стойности. Грешка в друга реализация на SSL с отворен код, GnuTLS, появил се месец преди Heartbleed и също е написан на C. Този бъг беше още по-стар; отговорният за това код е добавен през 2005 г.
Каква е следващата стъпка?
В крайна сметка човешката грешка е виновна за Heartbleed, но грешката не пада само върху плещите на един кодер. OpenSSL е безплатен софтуер, използван от компании от Fortune 500, правителства и дори военни организации, но тези екипи почти никога не допринасят с финансиране или работна сила за проекта.
Компаниите и правителствата изглеждат много загрижени, но обещанията за реална подкрепа застрашително липсват.
Светът също трябва да се поучи от тази грешка. Използването на проект с отворен код, без да се допринася за него, в дългосрочен план е рецепта за катастрофа – особено когато проектът е критична част от мрежовата инфраструктура. Сигурността на интернет не трябва да се поддържа от шепа доброволци, които намират имената си в новините само когато нещо се обърка.
Препоръки на редакторите
- Атаките на рансъмуер се увеличиха значително. Ето как да сте в безопасност
- Reddit беше хакнат — ето как да настроите 2FA, за да защитите акаунта си
- SpaceX достига 100K клиенти на Starlink. Ето как да се регистрирате
- Вашият лаптоп Dell може да има уязвимост в сигурността. Ето как да го поправите.
- Какво е DNS сървър? Ето как интернет предлага вашите любими
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.