Pe 7 aprilie 2014, lumea a aflat despre ceea ce este posibil cel mai grav bug de securitate din istoria Internetului. Se numește Heartbleed.
Descoperit simultan de Neel Mehta, un cercetător de securitate la Google, și de firma finlandeză de securitate Codenomicon, bug-ul compromite un protocol de securitate folosit în mod obișnuit de dispozitive și site-uri web la nivel mondial. Heartbleed face posibil ca un hacker să curețe date din memorie – inclusiv parole, numere de cont bancar și orice altceva zăbovi înăuntru.
Videoclipuri recomandate
Severitatea erorii i-a lăsat pe mulți să se întrebe cum s-ar putea întâmpla. OpenSSL, protocolul de securitate în care a fost găsită eroarea, este folosit în toată lumea. Este folosit nu doar în servere, ci și în routere și chiar în unele smartphone-uri Android. S-ar putea să credeți că o parte responsabilă are o echipă de cercetători de securitate care verifică și verifică codul, dar, de fapt, OpenSSL este gestionat de un grup mic format în mare parte din voluntari.
Legate de
- Este posibil ca o nouă eroare WordPress să fi lăsat vulnerabile 2 milioane de site-uri
- Autentificarea cu doi factori SMS a Twitter are probleme. Iată cum să schimbați metodele
- HiveNightmare este o nouă eroare de Windows. Iată cum să te protejezi
Deschiderea către OpenSSL
OpenSSL se mândrește cu originea sa open-source în numele său. Fondat în 1998, proiectul a fost creat pentru a oferi un set de instrumente gratuite de criptare pentru serverele de Internet. Acesta a fost un obiectiv important; criptarea este critică și comună. Era nevoie de un standard gratuit pentru a se asigura că va fi adoptat cât mai repede posibil. Proiectul a avut un succes extraordinar și a devenit rapid unul dintre cele mai importante instrumente de securitate ale Internetului.
Cu toate acestea, succesul nu a avut ca rezultat expansiune sau profituri. OpenSSL generează venituri doar prin contracte de asistență, care oferă acces la depanare și consultanță din partea organizației în sine.
În total, doar 11 persoane, majoritatea voluntari, sunt responsabile pentru un standard critic de criptare.
Acest lucru are ca rezultat un personal previzibil mic. „Echipa de bază” este formată din doar patru persoane, iar echipa de dezvoltare adaugă încă șapte nume pe listă. În total, doar 11 persoane, majoritatea voluntari, responsabile pentru un standard critic de criptare. Doar unul dintre ei, Dr. Stephen Hanson, se concentrează în întregime pe OpenSSL. Toți ceilalți au un alt loc de muncă cu normă întreagă.
Steve Marquess, care gestionează banii organizației, a spus-o cel mai bine. „Misterul nu este că câțiva voluntari suprasolicitați au ratat bug-ul; misterul este de ce nu s-a întâmplat mai des.”
S-au făcut greșeli
La asta se rezumă întreaga criză – o greșeală. Eroarea a fost introdusă de Robin Seggelmann, un voluntar german care lucrează la o extensie OpenSSL numită Heartbeat. El a trimis codul în noaptea de Revelion, 2011, iar ulterior a trecut prin procesul de revizuire. Heartbleed există, necunoscut publicului, de peste doi ani.
Alți membri ai proiectului verifică codul trimis în timpul examinării, dar se întâmplă greșeli, așa că nu este o surpriză că în cele din urmă o eroare a scapat. Chiar și companii de mai multe miliarde de dolari, precum Microsoft și Cisco, sunt lovite de partea lor echitabilă de exploatări jenante.
Problema provine din alocarea memoriei conform unei valori care poate fi definită printr-o cerere. Dacă utilizatorul furnizează o intrare validă, funcția funcționează conform intenției. Cu toate acestea, dacă se face o solicitare nevalidă, codul aruncă o parte din ceea ce se află în memorie, inclusiv informații care ar trebui să fie sigure și criptate. Acest comic web explică, de asemenea, Heartbleed, dacă considerați că o vizualizare este utilă.
Unii ingineri software cred asta existența bug-ului ridică întrebări cu privire la securitatea lui C, codul în care a fost scrisă extensia Heartbeat. Deși popular, C este un limbaj complex care oferă multe șanse pentru erori în gestionarea memoriei și manipularea valorilor. O eroare în altă implementare SSL open-source, GnuTLS, a apărut cu o lună înainte de Heartbleed și a fost scris și în C. Acel bug era chiar mai vechi; codul responsabil pentru aceasta a fost adăugat în 2005.
Care este următorul pas?
Eroarea umană este în cele din urmă de vină pentru Heartbleed, dar vina nu cade doar pe umerii unui singur codificator. OpenSSL este un software gratuit folosit de companiile Fortune 500, guverne și chiar organizații militare, dar aceste echipamente aproape niciodată nu contribuie cu finanțare sau forță de muncă la proiect.
Companiile și guvernele par foarte preocupate, totuși angajamentele de sprijin real lipsesc în mod amenințător.
Lumea trebuie să învețe din această greșeală. Utilizarea unui proiect open-source fără a contribui la acesta este, pe termen lung, o rețetă pentru dezastru – mai ales atunci când proiectul este o parte critică a infrastructurii de rețea. Securitatea internetului nu ar trebui să fie susținută de o mână de voluntari care își găsesc numele în știri doar atunci când ceva nu merge bine.
Recomandările editorilor
- Atacurile ransomware au crescut masiv. Iată cum să fii în siguranță
- Reddit a fost spart - iată cum să configurați 2FA pentru a vă proteja contul
- SpaceX ajunge la 100.000 de clienți Starlink. Iată cum să vă înscrieți
- Laptopul dvs. Dell ar putea avea o vulnerabilitate de securitate. Iată cum să o remediați.
- Ce este un server DNS? Iată cum vă oferă internetul preferatele
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
