2014. április 7-én a világ tudomást szerzett az internet történetének talán legsúlyosabb biztonsági hibájáról. Heartbleednek hívják.
Egyszerre fedezte fel Neel Mehta, a Google biztonsági kutatója és a finn biztonsági cég A Codenomicon, a hiba veszélyezteti az eszközök és webhelyek által általánosan használt biztonsági protokollt világszerte. A Heartbleed lehetővé teszi a hackerek számára az adatok lekaparását a memóriából – beleértve a jelszavakat, bankszámlaszámokat és bármi mást, ami bent marad.
Ajánlott videók
A hiba súlyossága sokakat elgondolkodtatott, hogyan történhetett. Az OpenSSL-t, azt a biztonsági protokollt, amelyben hibát találtak, az egész világon használják. Nem csak szerverekben használják, hanem útválasztókban és még néhány Android okostelefonon is. Azt gondolhatnánk, hogy valamelyik felelős fél biztonsági kutatókból álló csapata ellenőrzi és duplán ellenőrzi a kódot, de valójában az OpenSSL-t egy kis csoport kezeli, amely többnyire önkéntesekből áll.
Összefüggő
- Egy új WordPress hiba 2 millió webhelyet hagyhatott sebezhetővé
- A Twitter kéttényezős SMS-hitelesítésének problémái vannak. Így válthat a módszerek között
- A HiveNightmare egy csúnya új Windows-hiba. Így védheti meg magát
Megnyitás OpenSSL-re
Az OpenSSL nevében a nyílt forráskódú eredet büszkélkedhet. Az 1998-ban alapított projektet azért hozták létre, hogy ingyenes titkosítási eszközöket biztosítsanak az internetes szerverek számára. Ez fontos cél volt; a titkosítás kritikus és gyakori. Szabad szabványra volt szükség, hogy a lehető leggyorsabban elfogadják. A projekt rendkívül sikeres volt, és gyorsan az internet egyik legfontosabb biztonsági eszközévé vált.
A siker azonban nem vezetett terjeszkedéshez vagy nyereséghez. Az OpenSSL csak támogatási szerződések révén termel bevételt, amely hozzáférést biztosít a hibaelhárításhoz és a tanácsadáshoz magától a szervezettől.
Összesen mindössze 11 ember – többségük önkéntes – felelős egy kritikus titkosítási szabványért.
Ez kiszámíthatóan apró létszámot eredményez. Az „alapcsapat” mindössze négy személyből áll, a fejlesztőcsapat pedig további hét névvel egészíti ki a listát. Ez összesen mindössze 11 ember, többségük önkéntes, akik egy kritikus titkosítási szabványért felelősek. Csak egy közülük, Dr. Stephen Hanson összpontosít teljes egészében az OpenSSL-re. Mindenki másnak van másik teljes munkaidős állása.
Steve Marquess mondta a legjobban, aki a szervezet pénzét kezeli. „Nem az a rejtély, hogy néhány túlhajszolt önkéntesnek hiányzott a hiba; az a rejtély, hogy miért nem fordult elő gyakrabban."
Hibákat követtek el
Ebből adódik az egész válság – egy hiba. A hibát Robin Seggelmann, a Heartbeat nevű OpenSSL-bővítményen dolgozó német önkéntes vezette be. 2011 szilveszterén nyújtotta be a kódot, majd az átcsúszott a felülvizsgálati folyamaton. A Heartbleed több mint két éve létezik, a nyilvánosság számára ismeretlen.
A projekt többi tagja a felülvizsgálat során kétszer is ellenőrzi a beküldött kódot, de előfordulnak hibák, így nem meglepő, hogy végül átcsúszott egy hiba. Még a többmilliárd dolláros cégeket, például a Microsoftot és a Ciscot is sújtják a kínos tettek méltányos része.
A probléma abból adódik, hogy a memóriát egy kéréssel definiálható érték szerint foglalják le. Ha a felhasználó érvényes bevitelt ad meg, a funkció rendeltetésszerűen működik. Ha azonban érvénytelen kérést küldenek, a kód kiírja a memóriában lévő egy részét, beleértve a biztonságosnak és titkosítottnak vélt információkat is. Ez a webes képregény a Heartbleed is elmagyarázza, ha egy vizualizációt hasznosnak talál.
Egyes szoftvermérnökök ezt hiszik a hiba létezése kérdéseket vet fel a C biztonságával kapcsolatban, a kód, amelybe a Heartbeat kiterjesztést írták. Bár népszerű, a C egy összetett nyelv, amely sok lehetőséget kínál a memóriakezelés és az értékek kezelésének hibáira. Hiba egy másik nyílt forráskódú SSL-megvalósításban, a GnuTLS-ben, egy hónappal a Heartbleed előtt jelent meg, és szintén C-ben íródott. Az a hiba még régebbi volt; az ezért felelős kódot 2005-ben adták hozzá.
Mi a következő lépés?
A Heartbleed végső soron az emberi hiba okolható, de a hiba nem csak egyetlen kódoló vállára hárul. Az OpenSSL egy ingyenes szoftver, amelyet a Fortune 500-as cégek, kormányok és még katonai szervezetek is használnak, de ezek a felszerelések szinte soha nem járulnak hozzá finanszírozáshoz vagy munkaerőhöz a projekthez.
Úgy tűnik, a vállalatok és a kormányok nagyon aggódnak, de a valódi támogatásra vonatkozó ígéretek baljóslatúan hiányoznak.
A világnak is tanulnia kell ebből a hibából. Egy nyílt forráskódú projekt használata anélkül, hogy hozzájárulna hozzá, hosszú távon katasztrófa receptje – különösen akkor, ha a projekt a hálózati infrastruktúra kritikus része. Az internet biztonságát nem szabad egy maroknyi önkéntesnek fenntartania, akik csak akkor találják meg a nevüket a hírekben, ha valami baj van.
Szerkesztői ajánlások
- A ransomware támadások nagymértékben megugrottak. Így maradhat biztonságban
- A Reddit feltörték – így állíthatja be a 2FA-t fiókja védelme érdekében
- A SpaceX 100 ezer Starlink-ügyfelet ér el. Itt van a regisztráció módja
- Lehetséges, hogy Dell laptopja biztonsági rést tartalmaz. A következőképpen javíthatja ki.
- Mi az a DNS szerver? Így szolgálja ki kedvenceit az internet
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.