Den 7. april 2014 lærte verden, hvad der muligvis er den mest alvorlige sikkerhedsfejl i internettets historie. Det hedder Heartbleed.
Opdaget samtidigt af Neel Mehta, en sikkerhedsforsker hos Google, og det finske sikkerhedsfirma Codenomicon, fejlen kompromitterer en sikkerhedsprotokol, der almindeligvis bruges af enheder og websteder i hele verden. Heartbleed gør det muligt for en hacker at skrabe data fra hukommelsen - inklusive adgangskoder, bankkontonumre og alt andet, der dvæler indeni.
Anbefalede videoer
Sværhedsgraden af fejlen fik mange til at spekulere på, hvordan det kunne ske. OpenSSL, sikkerhedsprotokollen, hvori fejlen blev fundet, bruges over hele verden. Det bruges ikke kun på servere, men også i routere og endda nogle Android-smartphones. Du tror måske, at en ansvarlig part har et team af sikkerhedsforskere, der tjekker og dobbelttjekker koden, men i virkeligheden administreres OpenSSL af en lille gruppe, der for det meste består af frivillige.
Relaterede
- En ny WordPress-fejl kan have gjort 2 millioner websteder sårbare
- Twitters SMS-to-faktor-godkendelse har problemer. Sådan skifter du metoder
- HiveNightmare er en grim ny Windows-fejl. Sådan beskytter du dig selv
Åbning til OpenSSL
OpenSSL kan prale af sin open source-oprindelse i sit navn. Grundlagt i 1998, blev projektet oprettet for at levere et sæt gratis krypteringsværktøjer til internetservere. Dette var et vigtigt mål; kryptering er kritisk og almindelig. En gratis standard var nødvendig for at sikre, at den ville blive vedtaget så hurtigt som muligt. Projektet var vildt vellykket, og blev hurtigt et af internettets vigtigste sikkerhedsværktøjer.
Alligevel resulterede succes ikke i ekspansion eller overskud. OpenSSL genererer kun indtægter gennem supportkontrakter, som giver adgang til fejlfinding og rådgivning fra organisationen selv.
I alt kun 11 personer, de fleste af dem frivillige, er ansvarlige for en kritisk krypteringsstandard.
Dette resulterer i et forudsigeligt lille personale. "Kerneteamet" består kun af fire personer, og udviklingsteamet tilføjer yderligere syv navne til listen. Det er i alt kun 11 personer, de fleste af dem frivillige, ansvarlige for en kritisk krypteringsstandard. Kun én af dem, Dr. Stephen Hanson, fokuserer helt på OpenSSL. Alle andre har et andet fuldtidsjob.
Steve Marquess, der administrerer organisationens penge, sagde det bedst. "Mysteriet er ikke, at nogle få overanstrengte frivillige gik glip af fejlen; mysteriet er, hvorfor det ikke er sket oftere."
Der blev begået fejl
Det er, hvad hele krisen bunder i - en fejltagelse. Fejlen blev introduceret af Robin Seggelmann, en tysk frivillig, der arbejder på en OpenSSL-udvidelse kaldet Heartbeat. Han indsendte koden nytårsaften, 2011, og den gled efterfølgende gennem revisionsprocessen. Heartbleed har eksisteret, ukendt for offentligheden, i over to år.
Andre medlemmer af projektet dobbelttjekker indsendt kode under gennemgangen, men der sker fejl, så det er næppe en overraskelse, at en fejl til sidst slap igennem. Selv multi-milliard dollar virksomheder som Microsoft og Cisco er ramt af deres rimelige andel af pinlige bedrifter.
Problemet stammer fra at allokere hukommelse i henhold til en værdi, der kan defineres af en anmodning. Hvis brugeren giver et gyldigt input, fungerer funktionen efter hensigten. Men hvis der fremsættes en ugyldig anmodning, dumper koden en del af det, der er i hukommelsen, inklusive information, der formodes at være sikker og krypteret. Denne web-tegneserie forklarer også Heartbleed, hvis du anser en visualisering for at være nyttig.
Nogle softwareingeniører mener det eksistensen af fejlen rejser spørgsmål om sikkerheden for C, koden, hvori Heartbeat-udvidelsen blev skrevet. Selvom C er populært, er det et komplekst sprog, der giver mange muligheder for fejl i hukommelsesstyring og håndtering af værdier. En fejl i en anden open source SSL-implementering, GnuTLS, dukket op en måned før Heartbleed, og blev også skrevet i C. Den fejl var endnu ældre; koden, der er ansvarlig for det, blev tilføjet i 2005.
Hvad er næste skridt?
Menneskelige fejl er i sidste ende skyld i Heartbleed, men fejlen falder ikke kun på skuldrene af en enkelt koder. OpenSSL er gratis software, der bruges af Fortune 500-virksomheder, regeringer og endda militære organisationer, men alligevel bidrager disse tøj næsten aldrig med finansiering eller arbejdskraft til projektet.
Virksomheder og regeringer virker meget bekymrede, men løfter om reel støtte er ildevarslende fraværende.
Verden må også lære af denne fejltagelse. At bruge et open source-projekt uden at bidrage til det er på længere sigt en opskrift på katastrofe – især når projektet er en kritisk del af netværksinfrastrukturen. Internettets sikkerhed bør ikke opretholdes af en håndfuld frivillige, der kun finder deres navne i nyhederne, når noget går galt.
Redaktørens anbefalinger
- Ransomware-angreb er steget massivt. Sådan forbliver du sikker
- Reddit blev hacket - her er, hvordan du konfigurerer 2FA for at beskytte din konto
- SpaceX når ud til 100.000 Starlink-kunder. Sådan tilmelder du dig
- Din Dell bærbare computer kan have en sikkerhedssårbarhed. Sådan løser du det.
- Hvad er en DNS-server? Her er, hvordan internettet serverer dine favoritter
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
