7. huhtikuuta 2014 maailma sai tietää, mikä on mahdollisesti Internetin historian vakavin tietoturvavirhe. Sitä kutsutaan Heartbleediksi.
Löysivät samanaikaisesti Googlen tietoturvatutkija Neel Mehta ja suomalainen tietoturvayritys Codenomicon, vika vaarantaa laitteiden ja verkkosivustojen yleisesti käyttämän suojausprotokollan maailmanlaajuinen. Heartbleed mahdollistaa hakkerin kaapata tietoja muistista – mukaan lukien salasanat, pankkitilinumerot ja kaikki muu sisällä oleva.
Suositellut videot
Virheen vakavuus sai monet ihmettelemään, kuinka se voisi tapahtua. OpenSSL, suojausprotokolla, josta virhe löydettiin, on käytössä kaikkialla maailmassa. Sitä ei käytetä vain palvelimissa, vaan myös reitittimissä ja jopa joissakin Android-älypuhelimissa. Saatat luulla, että jollakin vastuuhenkilöllä on turvallisuustutkijoiden ryhmä, joka tarkistaa ja tarkistaa koodin, mutta todellisuudessa OpenSSL: ää hallinnoi pieni ryhmä, joka koostuu enimmäkseen vapaaehtoisista.
Liittyvät
- Uusi WordPress-virhe on saattanut jättää 2 miljoonaa sivustoa haavoittuviksi
- Twitterin kaksivaiheisessa SMS-todennuksessa on ongelmia. Näin voit vaihtaa menetelmää
- HiveNightmare on ikävä uusi Windows-bugi. Näin voit suojata itsesi
Avataan OpenSSL: ään
OpenSSL: n nimessä on avoimen lähdekoodin alkuperä. Vuonna 1998 perustettu projekti luotiin tarjoamaan joukko ilmaisia salaustyökaluja Internet-palvelimille. Tämä oli tärkeä tavoite; salaus on kriittinen ja yleinen. Tarvittiin ilmainen standardi, jotta se voitaisiin ottaa käyttöön mahdollisimman nopeasti. Projekti onnistui hurjasti, ja siitä tuli nopeasti yksi Internetin tärkeimmistä tietoturvatyökaluista.
Menestys ei kuitenkaan johtanut laajentumiseen tai voittoihin. OpenSSL tuottaa tuloja vain tukisopimusten kautta, mikä tarjoaa pääsyn vianmääritykseen ja konsultointiin organisaatiolta itseltään.
Yhteensä vain 11 henkilöä, joista suurin osa on vapaaehtoisia, on vastuussa kriittisestä salausstandardista.
Tämä johtaa ennustettavasti pieneen henkilöstöön. ”Ydintiimi” koostuu vain neljästä henkilöstä, ja kehitystiimi lisää listaan seitsemän muuta nimeä. Yhteensä vain 11 henkilöä, joista suurin osa on vapaaehtoisia, on vastuussa kriittisestä salausstandardista. Vain yksi heistä, tohtori Stephen Hanson, keskittyy kokonaan OpenSSL: ään. Kaikilla muilla on toinen kokopäivätyö.
Steve Marquess, joka hallinnoi organisaation rahoja, sanoi sen parhaiten. ”Mysteeri ei ole se, että muutamat ylityöllistetyt vapaaehtoiset olisivat jääneet huomaamatta. mysteeri on, miksi sitä ei ole tapahtunut useammin."
Virheitä tehtiin
Siihen koko kriisi tiivistyy – virhe. Virheen esitteli Robin Seggelmann, saksalainen vapaaehtoinen, joka työskentelee OpenSSL-laajennuksessa nimeltä Heartbeat. Hän lähetti koodin uudenvuodenaattona 2011, ja se liukastui myöhemmin tarkistusprosessin läpi. Heartbleed on ollut olemassa, yleisölle tuntematonta, yli kaksi vuotta.
Muut projektin jäsenet tarkistavat lähetetyn koodin uudelleen arvioinnin aikana, mutta virheitä sattuu, joten tuskin on yllätys, että bugi lopulta lipsahti läpi. Jopa usean miljardin dollarin yritykset, kuten Microsoft ja Cisco, kärsivät kohtuullisesta osuudestaan kiusallisista hyväksikäytöistä.
Ongelma johtuu muistin varaamisesta pyynnöllä määritettävissä olevan arvon mukaan. Jos käyttäjä antaa kelvollisen syötteen, toiminto toimii tarkoitetulla tavalla. Jos kuitenkin tehdään virheellinen pyyntö, koodi tyhjentää osan muistista, mukaan lukien tiedot, joiden oletetaan olevan suojattuja ja salattuja. Tämä verkkosarjakuva selittää myös Heartbleed, jos näet visualisoinnin hyödyllisenä.
Jotkut ohjelmistosuunnittelijat uskovat siihen bugin olemassaolo herättää kysymyksiä C: n turvallisuudesta, koodi, johon Heartbeat-laajennus kirjoitettiin. Vaikka C on suosittu, se on monimutkainen kieli, joka tarjoaa paljon mahdollisuuksia virheille muistinhallinnassa ja arvojen käsittelyssä. Virhe toisessa avoimen lähdekoodin SSL-toteutuksessa, GnuTLS: ssä, ilmestyi kuukausi ennen Heartbleediä, ja se on myös kirjoitettu C-kielellä. Se vika oli vielä vanhempi; siitä vastaava koodi lisättiin vuonna 2005.
Mikä on seuraava askel?
Inhimillinen virhe on viime kädessä syyllinen Heartbleediin, mutta vika ei lankea vain yhden koodaajan harteille. OpenSSL on ilmainen ohjelmisto, jota käyttävät Fortune 500 -yritykset, -hallitukset ja jopa sotilasorganisaatiot, mutta nämä asut eivät tuskin koskaan anna projektiin rahoitusta tai työvoimaa.
Yritykset ja hallitukset näyttävät olevan hyvin huolissaan, mutta todellisen tuen lupaukset puuttuvat pahaenteisesti.
Maailman on myös opittava tästä virheestä. Avoimen lähdekoodin projektin käyttäminen osallistumatta siihen on pitkällä aikavälillä katastrofi – varsinkin kun projekti on kriittinen osa verkkoinfrastruktuuria. Internetin turvallisuutta ei pidä puolustaa kourallinen vapaaehtoisia, jotka löytävät nimensä uutisista vain, kun jokin menee pieleen.
Toimittajien suositukset
- Ransomware-hyökkäykset ovat lisääntyneet valtavasti. Näin pysyt turvassa
- Reddit hakkeroitiin – näin voit määrittää 2FA: n tilisi suojaamiseksi
- SpaceX tavoittaa 100 000 Starlink-asiakasta. Rekisteröidy näin
- Dell-kannettavassasi saattaa olla tietoturvaheikkous. Näin voit korjata sen.
- Mikä on DNS-palvelin? Näin Internet tarjoaa suosikkejasi
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
