Den 7 april 2014 fick världen veta vad som kanske är det allvarligaste säkerhetsfelet i internets historia. Den heter Heartbleed.
Upptäcktes samtidigt av Neel Mehta, en säkerhetsforskare på Google, och ett finskt säkerhetsföretag Codenomicon, felet äventyrar ett säkerhetsprotokoll som vanligtvis används av enheter och webbplatser över hela världen. Heartbleed gör det möjligt för en hackare att skrapa data från minnet – inklusive lösenord, bankkontonummer och allt annat som finns kvar inuti.
Rekommenderade videor
Felets svårighetsgrad fick många att undra hur det kunde hända. OpenSSL, säkerhetsprotokollet där buggen hittades, används över hela världen. Det används inte bara på servrar, utan också i routrar och till och med vissa Android-smarttelefoner. Du kanske tror att någon ansvarig part har ett team av säkerhetsforskare som kontrollerar och dubbelkollar koden, men i själva verket hanteras OpenSSL av en liten grupp som mestadels består av frivilliga.
Relaterad
- En ny WordPress-bugg kan ha gjort 2 miljoner webbplatser sårbara
- Twitters tvåfaktorsautentisering för SMS har problem. Så här byter du metod
- HiveNightmare är en otäck ny Windows-bugg. Så här skyddar du dig
Öppnar för OpenSSL
OpenSSL har sitt ursprung med öppen källkod i sitt namn. Projektet grundades 1998 och skapades för att tillhandahålla en uppsättning gratis krypteringsverktyg för Internetservrar. Detta var ett viktigt mål; kryptering är kritiskt och vanligt. En fri standard behövdes för att säkerställa att den skulle antas så snabbt som möjligt. Projektet var mycket framgångsrikt och blev snabbt ett av Internets viktigaste säkerhetsverktyg.
Ändå resulterade framgång inte i expansion eller vinst. OpenSSL genererar endast intäkter genom supportkontrakt, vilket ger tillgång till felsökning och rådgivning från organisationen själv.
Totalt är bara 11 personer, de flesta frivilliga, ansvariga för en kritisk krypteringsstandard.
Detta resulterar i en förutsägbart liten personal. "Kärnteamet" består av endast fyra individer, och utvecklingsteamet lägger till ytterligare sju namn till listan. Det är totalt bara 11 personer, de flesta av dem frivilliga, ansvariga för en kritisk krypteringsstandard. Endast en av dem, Dr Stephen Hanson, fokuserar helt på OpenSSL. Alla andra har ett annat heltidsjobb.
Steve Marquess, som förvaltar organisationens pengar, sa det bäst. "Mysteriet är inte att några överarbetade frivilliga missade felet; mysteriet är varför det inte har hänt oftare."
Det gjordes misstag
Det är vad hela krisen handlar om – ett misstag. Felet introducerades av Robin Seggelmann, en tysk volontär som arbetar på en OpenSSL-tillägg som heter Heartbeat. Han lämnade in koden på nyårsafton 2011, och den gled sedan igenom granskningen. Heartbleed har funnits, okänd för allmänheten, i över två år.
Andra medlemmar i projektet dubbelkollar inskickad kod under granskningen, men misstag inträffar, så det är knappast en överraskning att en bugg så småningom gled igenom. Även företag med flera miljarder dollar som Microsoft och Cisco drabbas av sin beskärda del av pinsamma bedrifter.
Problemet härrör från att allokera minne enligt ett värde som kan definieras av en begäran. Om användaren ger en giltig inmatning fungerar funktionen som den ska. Men om en ogiltig begäran görs dumpar koden en del av det som finns i minnet, inklusive information som ska vara säker och krypterad. Denna webbserie förklarar också Heartbleed, om du anser att en visualisering är till hjälp.
Vissa mjukvaruingenjörer tror det förekomsten av buggen väcker frågor om säkerheten för C, koden som Heartbeat-tillägget skrevs i. Även om det är populärt, är C ett komplext språk som erbjuder många möjligheter för fel i minneshantering och hantering av värden. En bugg i en annan SSL-implementering med öppen källkod, GnuTLS, dök upp en månad före Heartbleed, och skrevs även i C. Den buggen var ännu äldre; koden som ansvarar för det lades till 2005.
Vad är nästa steg?
Det mänskliga misstaget är i slutändan Heartbleeds skuld, men felet faller inte enbart på axlarna av en enda kodare. OpenSSL är fri programvara som används av Fortune 500-företag, regeringar och till och med militära organisationer, men dessa kläder bidrar nästan aldrig med finansiering eller arbetskraft till projektet.
Företag och regeringar verkar mycket bekymrade, men löften om verkligt stöd är olycksbådande frånvarande.
Världen måste också lära sig av detta misstag. Att använda ett projekt med öppen källkod utan att bidra till det är på lång sikt ett recept på katastrof – särskilt när projektet är en kritisk del av nätverksinfrastrukturen. Internets säkerhet bör inte upprätthållas av en handfull volontärer som bara hittar sina namn i nyheterna när något går fel.
Redaktörens rekommendationer
- Ransomware-attacker har ökat kraftigt. Så här håller du dig säker
- Reddit hackades – så här ställer du in 2FA för att skydda ditt konto
- SpaceX når 100 000 Starlink-kunder. Så här registrerar du dig
- Din bärbara Dell-dator kan ha en säkerhetsrisk. Så här fixar du det.
- Vad är en DNS-server? Så här serverar Internet dina favoriter
Uppgradera din livsstilDigitala trender hjälper läsarna att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
