Kuidas Heartbleedi OpenSSL-i andmete krüptimise viga juhtus?

kuidas heartbleed openssl bug juhtus lukku

7. aprillil 2014 sai maailm teada, mis on tõenäoliselt kõige tõsisem turvavea Interneti ajaloos. Seda nimetatakse Heartbleediks.

Selle avastasid korraga Google'i turvateadlane Neel Mehta ja Soome turvafirma Codenomicon, viga seab ohtu turvaprotokolli, mida tavaliselt kasutavad seadmed ja veebisaidid kogu maailmas. Heartbleed võimaldab häkkeril andmeid kraapida mälust – sealhulgas paroolid, pangakonto numbrid ja kõik muu sees peituv.

Soovitatavad videod

Vea tõsidus pani paljud mõtlema, kuidas see juhtuda sai. OpenSSL-i, turvaprotokolli, milles viga leiti, kasutatakse kõikjal maailmas. Seda ei kasutata mitte ainult serverites, vaid ka ruuterites ja isegi mõnes Androidi nutitelefonis. Võib arvata, et mõnel vastutaval osapoolel on turvateadlaste meeskond, kes koodi kontrollib ja topeltkontrollib, kuid tegelikult haldab OpenSSL-i väike grupp, mis koosneb peamiselt vabatahtlikest.

Seotud

Uus WordPressi viga võis jätta haavatavaks 2 miljonit saiti
Twitteri SMS-i kahefaktorilisel autentimisel on probleeme. Siit saate teada, kuidas meetodeid vahetada

HiveNightmare on uus vastik Windowsi viga. Siin on, kuidas ennast kaitsta

Avamine OpenSSL-ile

OpenSSL-i nimes on avatud lähtekoodiga päritolu. 1998. aastal asutatud projekt loodi Interneti-serveritele tasuta krüpteerimistööriistade komplekti pakkumiseks. See oli oluline eesmärk; krüpteerimine on kriitiline ja levinud. Vaja oli tasuta standardit, et tagada selle võimalikult kiire vastuvõtmine. Projekt oli metsikult edukas ja sellest sai kiiresti üks Interneti tähtsamaid turbetööriistu.

Kuid edu ei toonud kaasa laienemist ega kasumit. OpenSSL teenib tulu ainult tugilepingute kaudu, mis võimaldab juurdepääsu tõrkeotsingule ja organisatsiooni enda konsultatsioonile.

Kriitilise krüpteerimisstandardi eest vastutab kokku vaid 11 inimest, kellest enamik on vabatahtlikud.

Need lepingud pakuvad väikest tulu, kuid projekt ei ole kaugeltki raha täis. OpenSSL Software Foundation pole kunagi teeninud rohkem kui miljon dollarit jäme aasta tulu. Ka annetused on olnud aneemiad; organisatsioon saab tavaliselt igal aastal umbes 2000 dollarit.

Selle tulemuseks on prognoositavalt väike personal. “Tuumimeeskond” koosneb vaid neljast inimesest ja arendusmeeskond lisab nimekirja veel seitse nime. See on kokku vaid 11 inimest, kellest enamik on vabatahtlikud, kes vastutavad kriitilise krüpteerimisstandardi eest. Ainult üks neist, dr Stephen Hanson, keskendub täielikult OpenSSL-ile. Kõigil teistel on teine täiskohaga töökoht.

Steve Marquess, kes haldab organisatsiooni raha, ütles seda kõige paremini. „Müsteerium ei seisne selles, et mõnel ületöötanud vabatahtlikul puudus viga; mõistatus on selles, miks seda pole sagedamini juhtunud.

Tehti vigu

Sellele kogu kriis taandubki – veale. Vea tõi sisse Robin Seggelmann, Saksa vabatahtlik, kes töötab OpenSSL-i laiendusel nimega Heartbeat. Ta esitas koodi 2011. aasta uusaastaõhtul ja see libises seejärel läbivaatamisprotsessist läbi. Heartbleed on avalikkusele teadmata eksisteerinud üle kahe aasta.

avatud ssl Teised projekti liikmed kontrollivad ülevaatuse ajal esitatud koodi üle, kuid vigu juhtub, nii et pole üllatav, et viga lõpuks läbi lipsas. Isegi mitme miljardi dollari väärtuses ettevõtteid, nagu Microsoft ja Cisco, tabab nende õiglane osa piinlikest ärakasutamistest.

Probleem tuleneb mälu eraldamisest päringuga määratletava väärtuse järgi. Kui kasutaja esitab kehtiva sisendi, töötab funktsioon ettenähtud viisil. Kui aga esitatakse kehtetu taotlus, jätab kood välja osa mälus olevast, sealhulgas teabest, mis peaks olema turvaline ja krüptitud. See veebikoomiks selgitab ka Heartbleed, kui peate visualiseerimisest abi olema.

Mõned tarkvarainsenerid usuvad seda vea olemasolu tekitab küsimusi C turvalisuse kohta, kood, millesse Heartbeat laiendus kirjutati. Kuigi C on populaarne, on see keeruline keel, mis pakub mäluhalduses ja väärtuste käsitlemisel palju vigu. Viga teises avatud lähtekoodiga SSL-i teostuses GnuTLS, kärbitud kuu aega enne Heartbleedi ja kirjutatud ka C-s. See viga oli veelgi vanem; selle eest vastutav kood lisati 2005. aastal.

Mis on järgmine samm?

Lõpuks on Heartbleedis süüdi inimlik viga, kuid viga ei lange ainult ühe kodeerija õlgadele. OpenSSL on tasuta tarkvara, mida kasutavad Fortune 500 ettevõtted, valitsused ja isegi sõjalised organisatsioonid, kuid need varustus ei anna peaaegu kunagi projekti rahastamist ega tööjõudu.

Ettevõtted ja valitsused näivad olevat väga mures, kuid tõelise toetuse lubadused puuduvad kurjakuulutavalt.

See on jahmatava ulatusega süsteemne ebaõnnestumine, kuid ilmne vajadus suurema järelevalve järele ei ole sundinud paljusid jõukatel või võimsatel positsioonidel olevaid inimesi tegutsema. OpenSSL Software Foundationi rahamees Steve Marquess ütleb, et annetused on pärast vea avastamist suurenenud, kuid 12. aprilli seisuga ei ületanud need aastas siiski rohkem kui 9000 dollarit. Suurem osa sellest tuli isikutelt, kes panid 5 või 10 dollarit. Ettevõtted ja valitsused näivad olevat väga mures, kuid tõelise toetuse lubadused puuduvad kurjakuulutavalt.

Ka maailm peab sellest veast õppima. Avatud lähtekoodiga projekti kasutamine ilma sellesse panustamata on pikas perspektiivis katastroofi retsept – eriti kui projekt on võrgu infrastruktuuri kriitiline osa. Interneti turvalisust ei tohiks toetada käputäis vabatahtlikke, kes leiavad oma nimed uudistest alles siis, kui midagi läheb valesti.

Toimetajate soovitused

Lunavararünnakud on tohutult kasvanud. Siin on, kuidas end turvaliselt hoida
Reddit häkiti – konto kaitsmiseks 2FA seadistamiseks toimige järgmiselt
SpaceX jõuab 100 000 Starlinki kliendini. Siit saate teada, kuidas registreeruda
Teie Delli sülearvutil võib olla turvaauke. Siin on, kuidas seda parandada.
Mis on DNS-server? Siit saate teada, kuidas Internet teie lemmikuid teenindab

Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.