2014 年 4 月 7 日、インターネット史上おそらく最も深刻なセキュリティ バグが世界に知られました。 それはハートブリードと呼ばれます。
Google のセキュリティ研究者である Neel Mehta とフィンランドのセキュリティ会社によって同時に発見されました。 Codenomicon、このバグはデバイスや Web サイトで一般的に使用されているセキュリティ プロトコルを侵害します 世界的に。 Heartbleed により、ハッカーによるデータのスクレイピングが可能になります パスワード、銀行口座番号、その他内部に残っているものをすべて記憶から消去します。
おすすめ動画
バグの深刻さから、どうしてこんなことが起こるのか、多くの人が疑問に思っていました。 バグが見つかったセキュリティ プロトコルである OpenSSL は、世界中で使用されています。 サーバーだけでなく、ルーターや一部の Android スマートフォンでも使用されています。 どこかの責任ある団体がセキュリティ研究者のチームを配置してコードをチェックし、二重チェックしているのではないかと思うかもしれませんが、実際には、OpenSSL はほとんどがボランティアで構成される小さなグループによって管理されています。
関連している
- WordPress の新たなバグにより 200 万サイトが脆弱になる可能性
- TwitterのSMS二要素認証に問題が発生しています。 メソッドを切り替える方法は次のとおりです
- HiveNightmare は Windows の新たな厄介なバグです。 自分を守る方法は次のとおりです
OpenSSL へのオープン
OpenSSL は、その名前がオープンソースであることを誇っています。 1998 年に設立されたこのプロジェクトは、インターネット サーバーに一連の無料暗号化ツールを提供するために作成されました。 これは重要な目標でした。 暗号化は重要かつ一般的です。 できるだけ早く採用されるようにするには、無料の標準が必要でした。 このプロジェクトは大成功を収め、すぐにインターネットで最も重要なセキュリティ ツールの 1 つになりました。
しかし、成功しても事業拡大や利益は得られませんでした。 OpenSSL は、組織自体からのトラブルシューティングやコンサルティングへのアクセスを提供するサポート契約を通じてのみ収益を生み出します。
重要な暗号化標準を担当しているのは、わずか 11 人で、そのほとんどがボランティアです。
その結果、予想通りスタッフの人数が少なくなります。 「コアチーム」はわずか 4 人で構成されており、開発チームはさらに 7 人の名前をリストに追加します。 合計でわずか 11 人であり、そのほとんどがボランティアであり、重要な暗号化標準を担当しています。 その中で OpenSSL に全面的に焦点を当てているのは Stephen Hanson 博士だけです。 他の人は皆、別のフルタイムの仕事を持っています。
組織の資金を管理するスティーブ・マーキス氏はこう言った。. 「謎は、数人の過労ボランティアがバグを見逃したことではありません。 なぜそれがもっと頻繁に起こらなかったのかが謎です。」
間違いがあった
これが危機全体の要点、つまり間違いなのです。 このエラーは、Heartbeat と呼ばれる OpenSSL 拡張機能に取り組んでいるドイツ人のボランティア、Robin Seggelmann によってもたらされました。 彼は 2011 年の大晦日にコードを提出しましたが、その後レビュー プロセスをすり抜けました。 Heartbleed は 2 年以上前から一般には知られていない状態で存在していました。
プロジェクトの他のメンバーはレビュー中に提出されたコードを再チェックしますが、間違いは起こるものであり、最終的にバグがすり抜けても驚くことではありません。 Microsoft や Cisco のような数十億ドル規模の企業でさえ、恥ずかしいエクスプロイトの相当な被害を受けています。
この問題は、リクエストで定義できる値に従ってメモリを割り当てることが原因で発生します。 ユーザーが有効な入力を行った場合、関数は意図したとおりに動作します。 ただし、無効なリクエストが行われた場合、コードは、安全で暗号化されているはずの情報を含む、メモリ内の内容の一部をダンプします。 このウェブ漫画は Heartbleed についても説明しています。視覚化が役立つと思われる場合に最適です。
ソフトウェアエンジニアの中には、次のように考えている人もいます。 バグの存在により、C のセキュリティに関する疑問が生じます、Heartbeat 拡張機能が記述されたコード。 C は人気がありますが、メモリ管理や値の処理においてエラーが発生する可能性が高い複雑な言語です。 別のオープンソース SSL 実装、GnuTLS のバグ、Heartbleed の 1 か月前に登場し、これも C で書かれました。 そのバグはさらに古いものでした。 これを担当するコードは 2005 年に追加されました。
次のステップは何ですか?
Heartbleed の最終的な責任は人的ミスですが、その責任は 1 人のプログラマーだけにあるわけではありません。 OpenSSL はフォーチュン 500 企業、政府、さらには軍事組織によっても使用されているフリー ソフトウェアですが、これらの組織がプロジェクトに資金や人材を提供することはほとんどありません。
企業や政府は非常に懸念しているようですが、不気味なことに本当の支援の約束はありません。
世界もこの失敗から学ばなければなりません。 オープンソース プロジェクトに貢献せずに使用することは、特にプロジェクトがネットワーク インフラストラクチャの重要な部分である場合、長期的には大惨事の原因となります。 インターネットのセキュリティは、何か問題が発生したときにのみニュースで自分の名前が取り上げられる少数のボランティアによって維持されるべきではありません。
編集者のおすすめ
- ランサムウェア攻撃が急増しています。 安全を保つ方法は次のとおりです
- Reddit がハッキングされました - アカウントを保護するために 2FA を設定する方法は次のとおりです
- SpaceX は 10 万人の Starlink 顧客を獲得しています。 登録方法はこちら
- お使いの Dell ノートパソコンにはセキュリティ上の脆弱性がある可能性があります。 修正方法は次のとおりです。
- DNSサーバーとは何ですか? インターネットがあなたのお気に入りを提供する仕組みは次のとおりです
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
