Den 7. april 2014 fikk verden vite om hva som muligens er den mest alvorlige sikkerhetsfeilen i Internetts historie. Det heter Heartbleed.
Oppdaget samtidig av Neel Mehta, en sikkerhetsforsker hos Google, og det finske sikkerhetsfirmaet Codenomicon, feilen kompromitterer en sikkerhetsprotokoll som vanligvis brukes av enheter og nettsteder verdensomspennende. Heartbleed gjør det mulig for en hacker å skrape data fra minnet – inkludert passord, bankkontonumre og alt annet som dveler inne.
Anbefalte videoer
Alvorlighetsgraden av feilen fikk mange til å lure på hvordan det kunne skje. OpenSSL, sikkerhetsprotokollen som feilen ble funnet i, brukes over hele verden. Den brukes ikke bare på servere, men også rutere og til og med noen Android-smarttelefoner. Du tror kanskje at en ansvarlig part har et team av sikkerhetsforskere som sjekker og dobbeltsjekker koden, men i sannhet administreres OpenSSL av en liten gruppe som hovedsakelig består av frivillige.
I slekt
- En ny WordPress-feil kan ha gjort 2 millioner nettsteder sårbare
- Twitters SMS-tofaktorautentisering har problemer. Slik bytter du metoder
- HiveNightmare er en ekkel ny Windows-feil. Slik beskytter du deg selv
Åpning til OpenSSL
OpenSSL kan skryte av sin åpen kildekode i navnet. Prosjektet ble grunnlagt i 1998 og ble opprettet for å tilby et sett med gratis krypteringsverktøy for Internett-servere. Dette var et viktig mål; kryptering er kritisk og vanlig. En gratis standard var nødvendig for å sikre at den ble vedtatt så raskt som mulig. Prosjektet var veldig vellykket, og ble raskt et av Internetts viktigste sikkerhetsverktøy.
Likevel resulterte ikke suksess i ekspansjon eller fortjeneste. OpenSSL genererer kun inntekter gjennom støttekontrakter, som gir tilgang til feilsøking og rådgivning fra organisasjonen selv.
Totalt er kun 11 personer, de fleste frivillige, ansvarlige for en kritisk krypteringsstandard.
Dette resulterer i en forutsigbar liten stab. "Kjerneteamet" består av bare fire individer, og utviklingsteamet legger til ytterligere syv navn på listen. Det er totalt bare 11 personer, de fleste av dem frivillige, ansvarlige for en kritisk krypteringsstandard. Bare én av dem, Dr. Stephen Hanson, fokuserer helt på OpenSSL. Alle andre har en annen fulltidsjobb.
Steve Marquess, som forvalter organisasjonens penger, sa det best. «Mysteriet er ikke at noen få overarbeidede frivillige gikk glipp av feilen; mysteriet er hvorfor det ikke har skjedd oftere.»
Det ble gjort feil
Det er det hele krisen koker ned til - en feil. Feilen ble introdusert av Robin Seggelmann, en tysk frivillig som jobber med en OpenSSL-utvidelse kalt Heartbeat. Han sendte inn koden på nyttårsaften 2011, og den gled deretter gjennom gjennomgangsprosessen. Heartbleed har eksistert, ukjent for publikum, i over to år.
Andre medlemmer av prosjektet dobbeltsjekker innsendt kode under gjennomgangen, men feil skjer, så det er neppe noen overraskelse at en feil til slutt slapp gjennom. Selv multi-milliard dollar selskaper som Microsoft og Cisco blir rammet av sin rimelige andel av pinlige bedrifter.
Problemet stammer fra å allokere minne i henhold til en verdi som kan defineres av en forespørsel. Hvis brukeren gir en gyldig inngang, fungerer funksjonen etter hensikten. Men hvis en ugyldig forespørsel gjøres, dumper koden deler av det som er i minnet, inkludert informasjon som skal være sikker og kryptert. Denne netttegneserien forklarer også Heartbleed, hvis du mener en visualisering er nyttig.
Noen programvareingeniører tror det eksistensen av feilen reiser spørsmål om sikkerheten til C, koden som Heartbeat-utvidelsen ble skrevet i. Selv om det er populært, er C et komplekst språk som gir mange muligheter for feil i minnehåndtering og håndtering av verdier. En feil i en annen åpen kildekode SSL-implementering, GnuTLS, dukket opp en måned før Heartbleed, og ble også skrevet i C. Den feilen var enda eldre; koden som er ansvarlig for den ble lagt til i 2005.
Hva er neste steg?
Menneskelig feil er til syvende og sist skylden for Heartbleed, men feilen faller ikke bare på skuldrene til en enkelt koder. OpenSSL er gratis programvare som brukes av Fortune 500-selskaper, myndigheter og til og med militære organisasjoner, men disse antrekkene bidrar nesten aldri med finansiering eller arbeidskraft til prosjektet.
Selskaper og myndigheter virker veldig bekymret, men løfter om reell støtte er illevarslende fraværende.
Verden må også lære av denne feilen. Å bruke et åpen kildekodeprosjekt uten å bidra til det er på lang sikt en oppskrift på katastrofe – spesielt når prosjektet er en kritisk del av nettverksinfrastrukturen. Internetts sikkerhet bør ikke opprettholdes av en håndfull frivillige som finner navnene sine i nyhetene bare når noe går galt.
Redaktørenes anbefalinger
- Ransomware-angrep har økt kraftig. Slik holder du deg trygg
- Reddit ble hacket - her er hvordan du konfigurerer 2FA for å beskytte kontoen din
- SpaceX når 100 000 Starlink-kunder. Slik registrerer du deg
- Din bærbare Dell-datamaskin kan ha et sikkerhetsproblem. Slik fikser du det.
- Hva er en DNS-server? Her er hvordan Internett serverer dine favoritter
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
