Как произошла ошибка шифрования данных Heartbleed OpenSSL?

как возникла ошибка Heartbleed в OpenSSL, блокировка

7 апреля 2014 года мир узнал о, возможно, самой серьезной ошибке безопасности в истории Интернета. Это называется Heartbleed.

Обнаружено одновременно Нилом Мехтой, исследователем безопасности из Google, и финской охранной фирмой. Codenomicon, ошибка ставит под угрозу протокол безопасности, обычно используемый устройствами и веб-сайтами. Мировой. Heartbleed позволяет хакеру парсить данные из памяти, включая пароли, номера банковских счетов и все остальное, что осталось внутри.

Рекомендуемые видео

Серьезность ошибки заставила многих задуматься, как это могло произойти. OpenSSL, протокол безопасности, в котором была обнаружена ошибка, используется во всем мире. Он используется не только в серверах, но и в маршрутизаторах и даже в некоторых Android-смартфонах. Вы можете подумать, что какая-то ответственная сторона имеет команду исследователей безопасности, проверяющих и перепроверяющих код, но на самом деле OpenSSL управляется небольшой группой, состоящей в основном из добровольцев.

Связанный

Новая ошибка WordPress могла сделать уязвимыми 2 миллиона сайтов
У двухфакторной аутентификации по SMS в Twitter возникли проблемы. Вот как переключать методы
HiveNightmare — новая неприятная ошибка Windows. Вот как защитить себя

Открытие OpenSSL

OpenSSL может похвастаться своим названием с открытым исходным кодом. Основанный в 1998 году, проект был создан для предоставления набора бесплатных инструментов шифрования для интернет-серверов. Это была важная цель; шифрование имеет решающее значение и является распространенным. Свободный стандарт был необходим, чтобы гарантировать, что он будет принят как можно быстрее. Проект имел огромный успех и быстро стал одним из важнейших инструментов безопасности Интернета.

Однако успех не привел к расширению или прибыли. OpenSSL генерирует доход только за счет контрактов на поддержку, что обеспечивает доступ к устранению неполадок и консультированию со стороны самой организации.

Всего за критический стандарт шифрования отвечают всего 11 человек, большинство из которых — добровольцы.

Эти контракты обеспечивают небольшой поток доходов, но проект далеко не переполнен денежными средствами. OpenSSL Software Foundation никогда не зарабатывал более миллиона долларов на валовой годовой доход. Пожертвования также были анемичными; организация обычно получает около 2000 долларов в год.

В результате получается предсказуемо крошечный штат сотрудников. «Основная команда» состоит всего из четырех человек, а команда разработчиков добавляет в список еще семь имен. Всего за важнейший стандарт шифрования отвечают всего 11 человек, большинство из которых — добровольцы. Только один из них, доктор Стивен Хэнсон, полностью сосредоточен на OpenSSL. У всех остальных есть другая постоянная работа.

Стив Маркиз, управляющий деньгами организации, сказал об этом лучше всех.. «Загадка не в том, что несколько перегруженных работой добровольцев не заметили ошибку; загадка в том, почему это не случалось чаще».

Были допущены ошибки

В этом и весь кризис – ошибка. Ошибка была допущена Робином Зеггельманном, немецким волонтером, работающим над расширением OpenSSL под названием Heartbeat. Он представил код в канун Нового 2011 года, но впоследствии он не прошел проверку. Heartbleed существует в тайне от общественности уже более двух лет.

открыть SSL Другие участники проекта дважды проверяют отправленный код во время проверки, но ошибки случаются, поэтому неудивительно, что ошибка в конечном итоге проскользнула. Даже такие многомиллиардные компании, как Microsoft и Cisco, страдают от своей немалой доли постыдных эксплойтов.

Проблема связана с выделением памяти в соответствии со значением, которое может быть определено запросом. Если пользователь вводит действительные данные, функция работает так, как задумано. Однако если сделан неверный запрос, код сбрасывает часть того, что находится в памяти, включая информацию, которая должна быть защищена и зашифрована. Этот веб-комикс также объясняет Heartbleed, если вы сочтете визуализацию полезной.

Некоторые инженеры-программисты полагают, что существование ошибки вызывает вопросы о безопасности C, код, в котором было написано расширение Heartbeat. Несмотря на свою популярность, C является сложным языком, который предлагает много возможностей для ошибок в управлении памятью и обработке значений. Ошибка в другой реализации SSL с открытым исходным кодом, GnuTLS., появившийся за месяц до Heartbleed и также написанный на C. Эта ошибка была еще старше; код, отвечающий за это, был добавлен в 2005 году.

Каков следующий шаг?

В конечном итоге в Heartbleed виновата человеческая ошибка, но вина не ложится исключительно на плечи одного программиста. OpenSSL — это бесплатное программное обеспечение, используемое компаниями из списка Fortune 500, правительствами и даже военными организациями, однако эти организации почти никогда не предоставляют финансирование или рабочую силу для проекта.

Компании и правительства кажутся очень обеспокоенными, однако обещания реальной поддержки зловеще отсутствуют.

Это системный провал ошеломляющего масштаба, однако очевидная необходимость усиления контроля не побудила многих людей, обладающих большим богатством или властью, к действию. Денежный человек OpenSSL Software Foundation Стив Маркесс говорит, что пожертвования увеличились с момента обнаружения ошибки, но по состоянию на 12 апреля все еще составляли не более 9000 долларов за год. Большая часть этой суммы поступила от частных лиц, пожертвовавших 5 или 10 долларов. Компании и правительства кажутся очень обеспокоенными, однако обещания реальной поддержки зловеще отсутствуют.

Мир также должен извлечь уроки из этой ошибки. Использование проекта с открытым исходным кодом без участия в нем — это в долгосрочной перспективе путь к катастрофе, особенно когда проект является важной частью сетевой инфраструктуры. Безопасность Интернета не должна обеспечиваться горсткой добровольцев, которые находят свои имена в новостях только тогда, когда что-то идет не так.