Πώς συνέβη το σφάλμα κρυπτογράφησης δεδομένων OpenSSL του Heartbleed;

Στις 7 Απριλίου 2014, ο κόσμος έμαθε για το πιο σοβαρό σφάλμα ασφαλείας στην ιστορία του Διαδικτύου. Ονομάζεται Heartbleed.

Ανακαλύφθηκε ταυτόχρονα από τον Neel Mehta, έναν ερευνητή ασφάλειας στην Google και τη φινλανδική εταιρεία ασφαλείας Codenomicon, το σφάλμα θέτει σε κίνδυνο ένα πρωτόκολλο ασφαλείας που χρησιμοποιείται συνήθως από συσκευές και ιστότοπους Παγκόσμιος. Το Heartbleed δίνει τη δυνατότητα σε έναν χάκερ να ξύσει δεδομένα από τη μνήμη – συμπεριλαμβανομένων κωδικών πρόσβασης, αριθμών τραπεζικών λογαριασμών και οτιδήποτε άλλο υπάρχει μέσα.

Η σοβαρότητα του σφάλματος άφησε πολλούς να αναρωτιούνται πώς θα μπορούσε να συμβεί. Το OpenSSL, το πρωτόκολλο ασφαλείας στο οποίο εντοπίστηκε το σφάλμα, χρησιμοποιείται σε όλο τον κόσμο. Χρησιμοποιείται όχι μόνο σε διακομιστές, αλλά και σε δρομολογητές, ακόμη και σε ορισμένα smartphone Android. Ίσως πιστεύετε ότι κάποιο υπεύθυνο μέρος έχει μια ομάδα ερευνητών ασφαλείας που ελέγχει και επανελέγχει τον κώδικα, αλλά, στην πραγματικότητα, το OpenSSL διαχειρίζεται μια μικρή ομάδα που αποτελείται κυρίως από εθελοντές.

Άνοιγμα στο OpenSSL

Το OpenSSL μπορεί να υπερηφανεύεται για την προέλευσή του ανοιχτού κώδικα στο όνομά του. Ιδρύθηκε το 1998, το έργο δημιουργήθηκε για να παρέχει ένα σύνολο δωρεάν εργαλείων κρυπτογράφησης για διακομιστές Διαδικτύου. Αυτός ήταν ένας σημαντικός στόχος. Η κρυπτογράφηση είναι κρίσιμη και κοινή. Χρειαζόταν ένα δωρεάν πρότυπο για να διασφαλιστεί ότι θα υιοθετηθεί το συντομότερο δυνατό. Το έργο ήταν εξαιρετικά επιτυχημένο και γρήγορα έγινε ένα από τα πιο σημαντικά εργαλεία ασφάλειας του Διαδικτύου.

Ωστόσο, η επιτυχία δεν οδήγησε σε επέκταση ή κέρδη. Το OpenSSL παράγει εισόδημα μόνο μέσω συμβάσεων υποστήριξης, το οποίο παρέχει πρόσβαση στην αντιμετώπιση προβλημάτων και συμβουλές από τον ίδιο τον οργανισμό.

Αυτό οδηγεί σε ένα προβλέψιμα μικροσκοπικό προσωπικό. Η «βασική ομάδα» αποτελείται μόνο από τέσσερα άτομα και η ομάδα ανάπτυξης προσθέτει άλλα επτά ονόματα στη λίστα. Αυτό είναι συνολικά μόλις 11 άτομα, τα περισσότερα από τα οποία είναι εθελοντές, υπεύθυνα για ένα κρίσιμο πρότυπο κρυπτογράφησης. Μόνο ένας από αυτούς, ο Δρ. Stephen Hanson, εστιάζει αποκλειστικά στο OpenSSL. Όλοι οι άλλοι έχουν άλλη δουλειά πλήρους απασχόλησης.

Ο Steve Marquess, ο οποίος διαχειρίζεται τα χρήματα του οργανισμού, το είπε καλύτερα. «Το μυστήριο δεν είναι ότι μερικοί καταπονημένοι εθελοντές έχασαν το σφάλμα. το μυστήριο είναι γιατί δεν έχει συμβεί πιο συχνά».

Έγιναν λάθη

Σε αυτό συνοψίζεται ολόκληρη η κρίση - ένα λάθος. Το σφάλμα εισήχθη από τον Robin Seggelmann, έναν Γερμανό εθελοντή που εργάζεται σε μια επέκταση OpenSSL που ονομάζεται Heartbeat. Υπέβαλε τον κωδικό την παραμονή της Πρωτοχρονιάς του 2011, και στη συνέχεια πέρασε από τη διαδικασία αναθεώρησης. Το Heartbleed υπάρχει, άγνωστο στο κοινό, για πάνω από δύο χρόνια.

Άλλα μέλη του έργου έκαναν διπλό έλεγχο που υπέβαλαν τον κωδικό κατά τη διάρκεια της αναθεώρησης, αλλά συμβαίνουν λάθη, επομένως δεν αποτελεί έκπληξη το γεγονός ότι τελικά παρήλθε ένα σφάλμα. Ακόμη και εταιρείες πολλών δισεκατομμυρίων δολαρίων, όπως η Microsoft και η Cisco, πλήττονται από το μερίδιο που τους αναλογεί σε ενοχλητικά κατορθώματα.

Το πρόβλημα προκύπτει από την εκχώρηση μνήμης σύμφωνα με μια τιμή που μπορεί να οριστεί από ένα αίτημα. Εάν ο χρήστης παρέχει έγκυρη είσοδο, η λειτουργία λειτουργεί όπως προβλέπεται. Ωστόσο, εάν υποβληθεί ένα μη έγκυρο αίτημα, ο κώδικας απορρίπτει μέρος του περιεχομένου στη μνήμη, συμπεριλαμβανομένων των πληροφοριών που υποτίθεται ότι είναι ασφαλείς και κρυπτογραφημένες. Αυτό το web κόμικ εξηγεί επίσης το Heartbleed, εάν θεωρείτε ότι μια οπτικοποίηση είναι χρήσιμη.

Κάποιοι μηχανικοί λογισμικού πιστεύουν ότι η ύπαρξη του σφάλματος εγείρει ερωτήματα σχετικά με την ασφάλεια του C, ο κωδικός στον οποίο γράφτηκε η επέκταση Heartbeat. Αν και δημοφιλής, η C είναι μια πολύπλοκη γλώσσα που προσφέρει πολλές ευκαιρίες για σφάλματα στη διαχείριση της μνήμης και στο χειρισμό των τιμών. Ένα σφάλμα σε μια άλλη υλοποίηση SSL ανοιχτού κώδικα, το GnuTLS, περικόπηκε ένα μήνα πριν από το Heartbleed, και γράφτηκε επίσης στο C. Αυτό το σφάλμα ήταν ακόμα μεγαλύτερο. ο υπεύθυνος κώδικας προστέθηκε το 2005.

Ποιο είναι το επόμενο βήμα;

Το ανθρώπινο λάθος ευθύνεται τελικά για το Heartbleed, αλλά το σφάλμα δεν πέφτει αποκλειστικά στους ώμους ενός μόνο κωδικοποιητή. Το OpenSSL είναι δωρεάν λογισμικό που χρησιμοποιείται από εταιρείες του Fortune 500, κυβερνήσεις, ακόμη και στρατιωτικούς οργανισμούς, ωστόσο αυτά τα ρούχα σχεδόν ποτέ δεν συνεισφέρουν χρηματοδότηση ή ανθρώπινο δυναμικό στο έργο.

Ο κόσμος πρέπει επίσης να μάθει από αυτό το λάθος. Η χρήση ενός έργου ανοιχτού κώδικα χωρίς να συνεισφέρει σε αυτό είναι, μακροπρόθεσμα, μια συνταγή καταστροφής – ιδιαίτερα όταν το έργο αποτελεί κρίσιμο μέρος της δικτυακής υποδομής. Η ασφάλεια του Διαδικτύου δεν πρέπει να υποστηρίζεται από λίγους εθελοντές που βρίσκουν τα ονόματά τους στις ειδήσεις μόνο όταν κάτι πάει στραβά.

Συστάσεις των συντακτών

• Οι επιθέσεις ransomware έχουν εκτοξευτεί μαζικά. Δείτε πώς να παραμείνετε ασφαλείς
• Το Reddit παραβιάστηκε — δείτε πώς μπορείτε να ρυθμίσετε το 2FA για να προστατεύσετε τον λογαριασμό σας
• Το SpaceX φτάνει τους 100.000 πελάτες Starlink. Δείτε πώς μπορείτε να εγγραφείτε
• Ο φορητός υπολογιστής Dell ενδέχεται να έχει ευπάθεια ασφαλείας. Δείτε πώς μπορείτε να το διορθώσετε.
• Τι είναι ένας διακομιστής DNS; Δείτε πώς το Διαδίκτυο σερβίρει τα αγαπημένα σας

Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.