บั๊กการเข้ารหัสข้อมูล Heartbleed OpenSSL เกิดขึ้นได้อย่างไร

ข้อผิดพลาด heartbleed openssl เกิดขึ้นได้อย่างไร

เมื่อวันที่ 7 เมษายน 2014 โลกได้เรียนรู้เกี่ยวกับข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงที่สุดในประวัติศาสตร์อินเทอร์เน็ต มันเรียกว่าเลือดหัวใจ

ค้นพบพร้อมกันโดย Neel Mehta นักวิจัยด้านความปลอดภัยของ Google และบริษัทรักษาความปลอดภัยของฟินแลนด์ Codenomicon ข้อบกพร่องดังกล่าวทำให้โปรโตคอลความปลอดภัยที่ใช้กันทั่วไปโดยอุปกรณ์และเว็บไซต์ ทั่วโลก Heartbleed ทำให้แฮกเกอร์สามารถขูดข้อมูลได้ จากหน่วยความจำ รวมถึงรหัสผ่าน หมายเลขบัญชีธนาคาร และสิ่งอื่นๆ ที่ค้างอยู่ภายใน

วิดีโอแนะนำ

ความรุนแรงของข้อบกพร่องทำให้หลายคนสงสัยว่ามันเกิดขึ้นได้อย่างไร OpenSSL ซึ่งเป็นโปรโตคอลความปลอดภัยที่พบข้อบกพร่องนั้นถูกใช้ทั่วโลก มันไม่ได้ใช้แค่ในเซิร์ฟเวอร์เท่านั้น แต่ยังรวมถึงเราเตอร์และแม้แต่สมาร์ทโฟน Android บางรุ่นด้วย คุณอาจคิดว่าฝ่ายที่รับผิดชอบบางฝ่ายมีทีมนักวิจัยด้านความปลอดภัยตรวจสอบและตรวจสอบโค้ดซ้ำแล้วซ้ำเล่า แต่จริงๆ แล้ว OpenSSL ได้รับการจัดการโดยกลุ่มเล็กๆ ซึ่งส่วนใหญ่เป็นอาสาสมัคร

ที่เกี่ยวข้อง

ข้อผิดพลาด WordPress ใหม่อาจทำให้ไซต์ 2 ล้านแห่งมีความเสี่ยง
การตรวจสอบสิทธิ์แบบสองปัจจัยทาง SMS ของ Twitter กำลังมีปัญหา ต่อไปนี้เป็นวิธีเปลี่ยนวิธีการ

HiveNightmare เป็นข้อบกพร่องใหม่ของ Windows ต่อไปนี้เป็นวิธีป้องกันตัวเอง

กำลังเปิดเป็น OpenSSL

OpenSSL มีที่มาแบบโอเพ่นซอร์สในชื่อของมัน โครงการนี้ก่อตั้งขึ้นในปี 1998 เพื่อมอบชุดเครื่องมือเข้ารหัสฟรีสำหรับเซิร์ฟเวอร์อินเทอร์เน็ต นี่เป็นเป้าหมายสำคัญ การเข้ารหัสถือเป็นสิ่งสำคัญและเป็นเรื่องธรรมดา จำเป็นต้องมีมาตรฐานฟรีเพื่อให้แน่ใจว่าจะถูกนำมาใช้โดยเร็วที่สุด โปรเจ็กต์นี้ประสบความสำเร็จอย่างมาก และกลายเป็นหนึ่งในเครื่องมือรักษาความปลอดภัยที่สำคัญที่สุดของอินเทอร์เน็ตอย่างรวดเร็ว

แต่ความสำเร็จไม่ได้ส่งผลให้เกิดการขยายตัวหรือผลกำไร OpenSSL สร้างรายได้ผ่านสัญญาสนับสนุนเท่านั้น ซึ่งให้สิทธิ์ในการเข้าถึงการแก้ไขปัญหาและการให้คำปรึกษาจากองค์กรเอง

มีเพียง 11 คน ซึ่งส่วนใหญ่เป็นอาสาสมัคร มีหน้าที่รับผิดชอบมาตรฐานการเข้ารหัสที่สำคัญ

สัญญาเหล่านี้สร้างรายได้เพียงเล็กน้อย แต่โครงการนี้ยังห่างไกลจากการมีเงินสดล้นมือ OpenSSL Software Foundation ไม่เคยมีรายได้มากกว่าหนึ่งล้านดอลลาร์ ทั้งหมด รายได้ประจำปี. การบริจาคก็เป็นโรคโลหิตจางเช่นกัน องค์กรมักจะได้รับประมาณ 2,000 ดอลลาร์ต่อปี

ส่งผลให้พนักงานมีขนาดเล็กมากจนคาดเดาได้ “ทีมหลัก” ประกอบด้วยบุคคลเพียงสี่คน และทีมพัฒนาก็ได้เพิ่มชื่ออีกเจ็ดชื่อลงในรายชื่อ มีทั้งหมดเพียง 11 คน ซึ่งส่วนใหญ่เป็นอาสาสมัคร รับผิดชอบมาตรฐานการเข้ารหัสที่สำคัญ ดร. Stephen Hanson มีเพียงคนเดียวเท่านั้นที่มุ่งเน้นไปที่ OpenSSL โดยสิ้นเชิง คนอื่นๆ มีงานประจำอีกงานหนึ่ง

Steve Marquess ผู้จัดการเงินขององค์กรกล่าวว่าดีที่สุด. “ความลึกลับไม่ใช่ว่าอาสาสมัครที่ทำงานหนักเกินไปสองสามคนพลาดข้อผิดพลาดนี้ ความลึกลับคือเหตุใดจึงไม่เกิดขึ้นบ่อยกว่านี้”

มีข้อผิดพลาดเกิดขึ้น

นั่นคือสิ่งที่ทำให้เกิดวิกฤติทั้งหมด – ความผิดพลาด ข้อผิดพลาดนี้เกิดขึ้นโดย Robin Seggelmann อาสาสมัครชาวเยอรมันที่ทำงานเกี่ยวกับส่วนขยาย OpenSSL ที่เรียกว่า Heartbeat เขาส่งรหัสไปในวันส่งท้ายปีเก่าปี 2011 และต่อมารหัสก็หลุดเข้าสู่กระบวนการตรวจสอบ Heartbleed ดำรงอยู่ โดยที่สาธารณชนไม่รู้จัก มานานกว่าสองปีแล้ว

เปิด SSL สมาชิกคนอื่นๆ ของโปรเจ็กต์จะตรวจสอบโค้ดที่ส่งเข้ามาอีกครั้งในระหว่างการตรวจสอบ แต่มีข้อผิดพลาดเกิดขึ้น จึงไม่น่าแปลกใจเลยที่จุดบกพร่องจะผ่านไปได้ในที่สุด แม้แต่บริษัทที่มีมูลค่าหลายพันล้านดอลลาร์อย่าง Microsoft และ Cisco ก็ต้องเผชิญกับส่วนแบ่งที่ยุติธรรมของการหาประโยชน์ที่น่าอับอาย

ปัญหาเกิดจากการจัดสรรหน่วยความจำตามค่าที่สามารถกำหนดได้โดยการร้องขอ หากผู้ใช้ป้อนข้อมูลที่ถูกต้อง ฟังก์ชันจะทำงานตามที่ตั้งใจไว้ อย่างไรก็ตาม หากมีการร้องขอที่ไม่ถูกต้อง โค้ดจะทิ้งส่วนหนึ่งของสิ่งที่อยู่ในหน่วยความจำ รวมถึงข้อมูลที่ควรจะปลอดภัยและเข้ารหัสด้วย เว็บการ์ตูนเรื่องนี้ ยังอธิบาย Heartbleed ด้วย หากคุณเห็นว่าการสร้างภาพข้อมูลมีประโยชน์

วิศวกรซอฟต์แวร์บางคนเชื่อเช่นนั้น การมีอยู่ของจุดบกพร่องทำให้เกิดคำถามเกี่ยวกับความปลอดภัยของ Cโค้ดที่ใช้เขียนส่วนขยาย Heartbeat แม้ว่าจะได้รับความนิยม แต่ C ก็เป็นภาษาที่ซับซ้อนซึ่งมีโอกาสมากมายสำหรับข้อผิดพลาดในการจัดการหน่วยความจำและการจัดการค่าต่างๆ จุดบกพร่องในการใช้งาน SSL แบบโอเพ่นซอร์สอื่น GnuTLSครอบตัดหนึ่งเดือนก่อน Heartbleed และยังเขียนด้วยภาษา C. ข้อผิดพลาดนั้นเก่ากว่านั้นอีก รหัสที่รับผิดชอบถูกเพิ่มเข้ามาในปี 2548

ขั้นตอนต่อไปคืออะไร?

ในที่สุดความผิดพลาดของมนุษย์ก็ต้องถูกตำหนิสำหรับ Heartbleed แต่ความผิดไม่ได้ตกอยู่บนไหล่ของผู้เขียนโค้ดเพียงคนเดียวเท่านั้น OpenSSL เป็นซอฟต์แวร์ฟรีที่ใช้โดยบริษัทใน Fortune 500 รัฐบาล และแม้แต่องค์กรทหาร แต่ซอฟต์แวร์เหล่านี้แทบจะไม่เคยให้เงินทุนหรือกำลังคนกับโครงการเลย

บริษัทและรัฐบาลต่างๆ ดูเหมือนจะกังวลอย่างมาก แต่คำมั่นสัญญาว่าจะให้การสนับสนุนอย่างแท้จริงกลับขาดหายไปอย่างเป็นลางไม่ดี

นั่นเป็นความล้มเหลวอย่างเป็นระบบในระดับที่น่าตกใจ แต่ความต้องการที่ชัดเจนในการกำกับดูแลที่มากขึ้นไม่ได้กระตุ้นให้คนจำนวนมากอยู่ในตำแหน่งที่ร่ำรวยหรือมีอำนาจในการดำเนินการ Steve Marquess นักธุรกิจเงินของ OpenSSL Software Foundation กล่าวว่าการบริจาคได้เพิ่มขึ้นนับตั้งแต่การค้นพบข้อผิดพลาด แต่ ณ วันที่ 12 เมษายน ยังคงมียอดรวมไม่เกิน 9,000 ดอลลาร์สำหรับปีนี้ ส่วนใหญ่มาจากบุคคลที่ให้คำมั่นสัญญา $5 หรือ $10 บริษัทและรัฐบาลต่างๆ ดูเหมือนจะกังวลอย่างมาก แต่คำมั่นสัญญาว่าจะให้การสนับสนุนอย่างแท้จริงกลับขาดหายไปอย่างเป็นลางไม่ดี

โลกก็ต้องเรียนรู้จากความผิดพลาดนี้ด้วย การใช้โครงการโอเพ่นซอร์สโดยไม่มีส่วนร่วม ในระยะยาวถือเป็นสูตรสำเร็จของหายนะ โดยเฉพาะอย่างยิ่งเมื่อโครงการเป็นส่วนสำคัญของโครงสร้างพื้นฐานเครือข่าย ความปลอดภัยของอินเทอร์เน็ตไม่ควรได้รับการดูแลโดยอาสาสมัครเพียงไม่กี่คนที่ค้นหาชื่อของตนในข่าวเฉพาะเมื่อมีข้อผิดพลาดเกิดขึ้นเท่านั้น

คำแนะนำของบรรณาธิการ

การโจมตีของ Ransomware พุ่งสูงขึ้นอย่างมาก ต่อไปนี้คือวิธีการรักษาความปลอดภัย
Reddit ถูกแฮ็ก — นี่คือวิธีตั้งค่า 2FA เพื่อปกป้องบัญชีของคุณ
SpaceX เข้าถึงลูกค้า Starlink ครบ 100,000 ราย ต่อไปนี้คือวิธีการสมัคร
แล็ปท็อป Dell ของคุณอาจมีช่องโหว่ด้านความปลอดภัย ต่อไปนี้เป็นวิธีแก้ไข
เซิร์ฟเวอร์ DNS คืออะไร? นี่คือวิธีที่อินเทอร์เน็ตแสดงรายการโปรดของคุณ

อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร