Hogyan történt a Heartbleed OpenSSL adattitkosítási hiba?

hogyan történt a heartbleed openssl bug happen lock

2014. április 7-én a világ tudomást szerzett az internet történetének talán legsúlyosabb biztonsági hibájáról. Heartbleednek hívják.

Egyszerre fedezte fel Neel Mehta, a Google biztonsági kutatója és a finn biztonsági cég A Codenomicon, a hiba veszélyezteti az eszközök és webhelyek által általánosan használt biztonsági protokollt világszerte. A Heartbleed lehetővé teszi a hackerek számára az adatok lekaparását a memóriából – beleértve a jelszavakat, bankszámlaszámokat és bármi mást, ami bent marad.

Ajánlott videók

A hiba súlyossága sokakat elgondolkodtatott, hogyan történhetett. Az OpenSSL-t, azt a biztonsági protokollt, amelyben hibát találtak, az egész világon használják. Nem csak szerverekben használják, hanem útválasztókban és még néhány Android okostelefonon is. Azt gondolhatnánk, hogy valamelyik felelős fél biztonsági kutatókból álló csapata ellenőrzi és duplán ellenőrzi a kódot, de valójában az OpenSSL-t egy kis csoport kezeli, amely többnyire önkéntesekből áll.

Összefüggő

  • Egy új WordPress hiba 2 millió webhelyet hagyhatott sebezhetővé
  • A Twitter kéttényezős SMS-hitelesítésének problémái vannak. Így válthat a módszerek között
  • A HiveNightmare egy csúnya új Windows-hiba. Így védheti meg magát

Megnyitás OpenSSL-re

Az OpenSSL nevében a nyílt forráskódú eredet büszkélkedhet. Az 1998-ban alapított projektet azért hozták létre, hogy ingyenes titkosítási eszközöket biztosítsanak az internetes szerverek számára. Ez fontos cél volt; a titkosítás kritikus és gyakori. Szabad szabványra volt szükség, hogy a lehető leggyorsabban elfogadják. A projekt rendkívül sikeres volt, és gyorsan az internet egyik legfontosabb biztonsági eszközévé vált.

A siker azonban nem vezetett terjeszkedéshez vagy nyereséghez. Az OpenSSL csak támogatási szerződések révén termel bevételt, amely hozzáférést biztosít a hibaelhárításhoz és a tanácsadáshoz magától a szervezettől.

Összesen mindössze 11 ember – többségük önkéntes – felelős egy kritikus titkosítási szabványért.

Ezek a szerződések csekély bevételi forrást biztosítanak, de a projekt korántsem bővelkedik készpénzzel. Az OpenSSL Software Foundation soha nem keresett egymillió dollárnál többet bruttó éves bevétel. Az adományok is vérszegények voltak; a szervezet általában évente körülbelül 2000 dollárt kap.

Ez kiszámíthatóan apró létszámot eredményez. Az „alapcsapat” mindössze négy személyből áll, a fejlesztőcsapat pedig további hét névvel egészíti ki a listát. Ez összesen mindössze 11 ember, többségük önkéntes, akik egy kritikus titkosítási szabványért felelősek. Csak egy közülük, Dr. Stephen Hanson összpontosít teljes egészében az OpenSSL-re. Mindenki másnak van másik teljes munkaidős állása.

Steve Marquess mondta a legjobban, aki a szervezet pénzét kezeli. „Nem az a rejtély, hogy néhány túlhajszolt önkéntesnek hiányzott a hiba; az a rejtély, hogy miért nem fordult elő gyakrabban."

Hibákat követtek el

Ebből adódik az egész válság – egy hiba. A hibát Robin Seggelmann, a Heartbeat nevű OpenSSL-bővítményen dolgozó német önkéntes vezette be. 2011 szilveszterén nyújtotta be a kódot, majd az átcsúszott a felülvizsgálati folyamaton. A Heartbleed több mint két éve létezik, a nyilvánosság számára ismeretlen.

ssl megnyitásaA projekt többi tagja a felülvizsgálat során kétszer is ellenőrzi a beküldött kódot, de előfordulnak hibák, így nem meglepő, hogy végül átcsúszott egy hiba. Még a többmilliárd dolláros cégeket, például a Microsoftot és a Ciscot is sújtják a kínos tettek méltányos része.

A probléma abból adódik, hogy a memóriát egy kéréssel definiálható érték szerint foglalják le. Ha a felhasználó érvényes bevitelt ad meg, a funkció rendeltetésszerűen működik. Ha azonban érvénytelen kérést küldenek, a kód kiírja a memóriában lévő egy részét, beleértve a biztonságosnak és titkosítottnak vélt információkat is. Ez a webes képregény a Heartbleed is elmagyarázza, ha egy vizualizációt hasznosnak talál.

Egyes szoftvermérnökök ezt hiszik a hiba létezése kérdéseket vet fel a C biztonságával kapcsolatban, a kód, amelybe a Heartbeat kiterjesztést írták. Bár népszerű, a C egy összetett nyelv, amely sok lehetőséget kínál a memóriakezelés és az értékek kezelésének hibáira. Hiba egy másik nyílt forráskódú SSL-megvalósításban, a GnuTLS-ben, egy hónappal a Heartbleed előtt jelent meg, és szintén C-ben íródott. Az a hiba még régebbi volt; az ezért felelős kódot 2005-ben adták hozzá.

Mi a következő lépés?

A Heartbleed végső soron az emberi hiba okolható, de a hiba nem csak egyetlen kódoló vállára hárul. Az OpenSSL egy ingyenes szoftver, amelyet a Fortune 500-as cégek, kormányok és még katonai szervezetek is használnak, de ezek a felszerelések szinte soha nem járulnak hozzá finanszírozáshoz vagy munkaerőhöz a projekthez.

Úgy tűnik, a vállalatok és a kormányok nagyon aggódnak, de a valódi támogatásra vonatkozó ígéretek baljóslatúan hiányoznak.

Ez egy megdöbbentő léptékű rendszerszintű kudarc, de a nagyobb felügyelet nyilvánvaló igénye nem ösztönzött sok nagy vagyonnal vagy hatalommal rendelkező embert cselekvésre. Az OpenSSL Software Foundation pénzügyes, Steve Marquess azt mondja, hogy a hiba felfedezése óta nőtt az adományok száma, de április 12-én még mindig nem haladta meg a 9000 dollárt az évre. Ennek nagy része olyan személyektől származott, akik 5 vagy 10 dollárt ígértek. Úgy tűnik, a vállalatok és a kormányok nagyon aggódnak, de a valódi támogatásra vonatkozó ígéretek baljóslatúan hiányoznak.

A világnak is tanulnia kell ebből a hibából. Egy nyílt forráskódú projekt használata anélkül, hogy hozzájárulna hozzá, hosszú távon katasztrófa receptje – különösen akkor, ha a projekt a hálózati infrastruktúra kritikus része. Az internet biztonságát nem szabad egy maroknyi önkéntesnek fenntartania, akik csak akkor találják meg a nevüket a hírekben, ha valami baj van.

Szerkesztői ajánlások

  • A ransomware támadások nagymértékben megugrottak. Így maradhat biztonságban
  • A Reddit feltörték – így állíthatja be a 2FA-t fiókja védelme érdekében
  • A SpaceX 100 ezer Starlink-ügyfelet ér el. Itt van a regisztráció módja
  • Lehetséges, hogy Dell laptopja biztonsági rést tartalmaz. A következőképpen javíthatja ki.
  • Mi az a DNS szerver? Így szolgálja ki kedvenceit az internet

Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.