Свет је 7. априла 2014. сазнао за можда најтежу безбедносну грешку у историји интернета. Зове се Хеартблеед.
Истовремено открили Неел Мехта, истраживач безбедности у Гуглу, и финска безбедносна фирма Цоденомицон, грешка угрожава безбедносни протокол који обично користе уређаји и веб локације широм света. Хеартблеед омогућава хакеру да извуче податке из меморије – укључујући лозинке, бројеве банковних рачуна и све остало што се налази унутра.
Препоручени видео снимци
Озбиљност грешке навела је многе да се запитају како се то могло догодити. ОпенССЛ, безбедносни протокол у којем је пронађена грешка, користи се широм света. Користи се не само на серверима, већ и на рутерима, па чак и на неким Андроид паметним телефонима. Можда мислите да нека одговорна страна има тим истраживача безбедности који проверава и двапут проверава код, али, истина, ОпенССЛ-ом управља мала група која се састоји углавном од волонтера.
Повезан
- Нова грешка у ВордПресс-у је можда оставила 2 милиона сајтова рањивим
- Твиттерова СМС двофакторска аутентификација има проблема. Ево како да промените методе
- ХивеНигхтмаре је гадна нова Виндовс грешка. Ево како да се заштитите
Отварање за ОпенССЛ
ОпенССЛ се у свом имену може похвалити својим пореклом из отвореног кода. Основан 1998. године, пројекат је креиран да обезбеди сет бесплатних алата за шифровање за Интернет сервере. Ово је био важан циљ; шифровање је критично и уобичајено. Бесплатан стандард је био потребан како би се осигурало да ће бити усвојен што је брже могуће. Пројекат је био изузетно успешан и брзо је постао један од најважнијих безбедносних алата на Интернету.
Ипак, успех није резултирао ширењем или профитом. ОпенССЛ остварује приход само кроз уговоре о подршци, што омогућава приступ решавању проблема и консултацијама из саме организације.
Укупно само 11 људи, од којих су већина волонтери, одговорно је за критични стандард шифровања.
Ово резултира предвидљиво малим бројем запослених. „Основни тим“ се састоји од само четири појединца, а развојни тим додаје још седам имена на листу. То је укупно само 11 људи, од којих су већина волонтери, одговорни за критични стандард шифровања. Само један од њих, др Стивен Хансон, се у потпуности фокусира на ОпенССЛ. Сви остали имају још један посао са пуним радним временом.
Стив Маркус, који управља новцем организације, то је најбоље рекао. „Мистерија није у томе што је неколико презапослених волонтера пропустило грешку; мистерија је зашто се то није дешавало чешће."
Грешке су направљене
На то се своди цела криза - грешка. Грешку је унео Робин Сеггелман, немачки волонтер који ради на проширењу ОпенССЛ под називом Хеартбеат. Он је послао шифру у новогодишњој ноћи 2011, а затим је прошао кроз процес прегледа. Хеартблеед постоји, јавности непознат, више од две године.
Други чланови пројекта двапут проверавају достављени код током прегледа, али грешке се дешавају, тако да није изненађење да се грешка на крају провукла. Чак су и компаније вредне више милијарди долара попут Мицрософта и Цисцо-а погођене својим поштеним уделом срамотних подвига.
Проблем произилази из додељивања меморије према вредности која се може дефинисати захтевом. Ако корисник пружи исправан унос, функција ради како је предвиђено. Међутим, ако се упути неважећи захтев, код избацује део онога што је у меморији, укључујући информације које би требало да буду безбедне и шифроване. Овај веб стрип такође објашњава Хеартблеед, ако сматрате да је визуализација од помоћи.
Неки софтверски инжењери то верују постојање грешке поставља питања о безбедности Ц, код у којем је написано проширење Хеартбеат. Иако популаран, Ц је сложен језик који нуди много могућности за грешке у управљању меморијом и руковању вредностима. Грешка у другој ССЛ имплементацији отвореног кода, ГнуТЛС, који се појавио месец дана пре Хеартблееда, а такође је написан у Ц. Та буба је била још старија; шифра одговорна за то додата је 2005. године.
Шта је следећи корак?
Људска грешка је на крају крива за Хеартблеед, али грешка не пада само на рамена једног кодера. ОпенССЛ је бесплатни софтвер који користе компаније са листе Фортуне 500, владе, па чак и војне организације, али ова одећа скоро никада не доприносе финансирању или људству пројекту.
Компаније и владе изгледају веома забринуте, али обећања стварне подршке злокобно изостају.
Свет такође мора да учи из ове грешке. Коришћење пројекта отвореног кода без доприноса му је, дугорочно гледано, рецепт за катастрофу – посебно када је пројекат критични део мрежне инфраструктуре. Безбедност Интернета не би требало да буде подржана од стране шачице волонтера који пронађу своја имена у вестима само када нешто пође по злу.
Препоруке уредника
- Напади рансомваре-а су масовно порасли. Ево како да останете безбедни
- Реддит је хакован - ево како да подесите 2ФА да бисте заштитили свој налог
- СпацеКс достиже 100.000 Старлинк купаца. Ево како да се пријавите
- Ваш Делл лаптоп можда има безбедносни пропуст. Ево како да то поправите.
- Шта је ДНС сервер? Ево како Интернет сервира ваше фаворите
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
