2014년 4월 7일, 세계는 인터넷 역사상 가장 심각한 보안 버그가 무엇인지 알게 되었습니다. 하트블리드라고 합니다.
구글 보안연구원 닐 메타(Neel Mehta)와 핀란드 보안업체가 동시에 발견 Codenomicon, 이 버그는 장치 및 웹 사이트에서 일반적으로 사용되는 보안 프로토콜을 손상시킵니다. 세계적인. Heartbleed를 사용하면 해커가 데이터를 긁어낼 수 있습니다. 비밀번호, 은행 계좌 번호 및 내부에 남아 있는 모든 것을 포함하여 메모리에서.
추천 동영상
버그의 심각성으로 인해 많은 사람들이 어떻게 이런 일이 발생할 수 있는지 궁금해했습니다. 버그가 발견된 보안 프로토콜인 OpenSSL은 전 세계적으로 사용되고 있다. 서버뿐만 아니라 라우터, 심지어 일부 Android 스마트폰에서도 사용됩니다. 일부 책임 있는 당사자가 코드를 확인하고 다시 확인하는 보안 연구원 팀을 보유하고 있다고 생각할 수도 있지만 실제로 OpenSSL은 대부분 자원 봉사자로 구성된 소규모 그룹에 의해 관리됩니다.
관련된
- 새로운 WordPress 버그로 인해 2백만 개의 사이트가 취약해질 수 있습니다.
- 트위터의 SMS 이중 인증에 문제가 있습니다. 방법을 전환하는 방법은 다음과 같습니다.
- HiveNightmare는 불쾌한 새로운 Windows 버그입니다. 자신을 보호하는 방법은 다음과 같습니다
OpenSSL로 열기
OpenSSL은 이름 그대로 오픈 소스 기원을 자랑합니다. 1998년에 설립된 이 프로젝트는 인터넷 서버에 무료 암호화 도구 세트를 제공하기 위해 만들어졌습니다. 이것은 중요한 목표였습니다. 암호화는 중요하고 일반적입니다. 가능한 한 빨리 채택되도록 하려면 무료 표준이 필요했습니다. 이 프로젝트는 큰 성공을 거두었고 빠르게 인터넷의 가장 중요한 보안 도구 중 하나가 되었습니다.
그러나 성공이 확장이나 이익으로 이어지지는 않았습니다. OpenSSL은 조직 자체의 문제 해결 및 컨설팅에 대한 액세스를 제공하는 지원 계약을 통해서만 수익을 창출합니다.
대부분 자원봉사자인 총 11명이 중요한 암호화 표준을 담당하고 있습니다.
그 결과 예측할 수 없을 정도로 적은 직원이 발생합니다. '핵심 팀'은 단 4명으로 구성되며, 개발팀은 목록에 7명의 이름을 더 추가합니다. 이는 총 11명에 불과하며, 대부분은 중요한 암호화 표준을 담당하는 자원 봉사자들입니다. 그 중 Stephen Hanson 박사만이 OpenSSL에 전적으로 초점을 맞추고 있습니다. 다른 사람들은 모두 다른 정규직을 가지고 있습니다.
조직의 자금을 관리하는 Steve Marquess가 가장 좋다고 말했습니다.. “미스테리는 몇몇 과로한 자원봉사자들이 버그를 놓쳤다는 것이 아닙니다. 미스터리는 그런 일이 더 자주 일어나지 않은 이유입니다.”
실수가 있었습니다
이것이 전체 위기의 원인이 되는 것입니다. 바로 실수입니다. 이 오류는 Heartbeat라는 OpenSSL 확장 프로그램을 작업하는 독일 자원봉사자인 Robin Seggelmann에 의해 발생했습니다. 그는 2011년 새해 전야에 코드를 제출했지만 이후 검토 과정에서 제외되었습니다. 하트블리드는 대중에게 알려지지 않은 채 2년 넘게 존재해왔습니다.
프로젝트의 다른 구성원은 검토 중에 제출된 코드를 다시 확인했지만 실수가 발생하므로 결국 버그가 빠져 나가는 것은 놀라운 일이 아닙니다. Microsoft 및 Cisco와 같은 수십억 달러 규모의 기업조차도 당혹스러운 악용 사례로 인해 피해를 입었습니다.
문제는 요청에 의해 정의될 수 있는 값에 따라 메모리를 할당하는 데서 발생합니다. 사용자가 유효한 입력을 제공하면 함수가 의도한 대로 작동합니다. 그러나 유효하지 않은 요청이 발생하면 코드는 안전하고 암호화되어야 하는 정보를 포함하여 메모리에 있는 내용의 일부를 덤프합니다. 이 웹툰 또한 시각화가 도움이 된다고 생각되면 Heartbleed에 대해서도 설명합니다.
일부 소프트웨어 엔지니어는 다음과 같이 믿습니다. 버그의 존재는 C의 보안에 대한 의문을 제기합니다, Heartbeat 확장이 작성된 코드입니다. 인기가 있지만 C는 메모리 관리 및 값 처리 시 오류가 발생할 가능성이 많은 복잡한 언어입니다. 또 다른 오픈 소스 SSL 구현인 GnuTLS의 버그, Heartbleed보다 한 달 전에 자른 내용이며 C로도 작성되었습니다. 그 버그는 훨씬 더 오래되었습니다. 이를 담당하는 코드는 2005년에 추가되었습니다.
다음 단계는 무엇입니까?
인간의 실수는 결국 Heartbleed의 책임이지만, 그 잘못은 코더 한 사람의 책임에만 국한되지 않습니다. OpenSSL은 Fortune 500대 기업, 정부, 심지어 군사 조직에서 사용하는 무료 소프트웨어이지만 이러한 조직은 프로젝트에 자금이나 인력을 거의 기여하지 않습니다.
기업과 정부는 매우 우려하는 듯 보이지만 실질적인 지원 약속은 불길하게도 부재하고 있습니다.
세계도 이 실수로부터 교훈을 얻어야 합니다. 오픈 소스 프로젝트에 기여하지 않고 사용하는 것은 장기적으로 재앙을 초래할 수 있습니다. 특히 프로젝트가 네트워크 인프라의 중요한 부분인 경우 더욱 그렇습니다. 인터넷 보안은 문제가 발생했을 때만 뉴스에 이름을 올리는 소수의 자원봉사자들에 의해 유지되어서는 안 됩니다.
편집자의 추천
- 랜섬웨어 공격이 엄청나게 급증했습니다. 안전을 유지하는 방법은 다음과 같습니다.
- Reddit이 해킹당했습니다. 계정을 보호하기 위해 2FA를 설정하는 방법은 다음과 같습니다.
- SpaceX가 100,000명의 Starlink 고객을 확보했습니다. 가입 방법은 다음과 같습니다
- Dell 노트북에 보안 취약점이 있을 수 있습니다. 문제를 해결하는 방법은 다음과 같습니다.
- DNS 서버란 무엇입니까? 인터넷에서 즐겨찾는 콘텐츠를 제공하는 방법은 다음과 같습니다.
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속해서 살펴볼 수 있도록 도와줍니다.
