7 Nisan 2014'te dünya, İnternet tarihindeki muhtemelen en ciddi güvenlik hatasının ne olduğunu öğrendi. Buna Kalp Kanaması denir.
Google'da güvenlik araştırmacısı olan Neel Mehta ve Fin güvenlik firması tarafından eş zamanlı olarak keşfedildi Codenomicon, hata, cihazlar ve web siteleri tarafından yaygın olarak kullanılan bir güvenlik protokolünü tehlikeye atıyor Dünya çapında. Heartbleed, bir bilgisayar korsanının verileri kazımasını mümkün kılar Şifreler, banka hesap numaraları ve içeride kalan diğer her şey dahil olmak üzere hafızadan.
Önerilen Videolar
Hatanın ciddiyeti birçok kişinin bunun nasıl olabileceğini merak etmesine neden oldu. Hatanın tespit edildiği güvenlik protokolü OpenSSL tüm dünyada kullanılıyor. Yalnızca sunucularda değil aynı zamanda yönlendiricilerde ve hatta bazı Android akıllı telefonlarda da kullanılır. Sorumlu bir tarafın, kodu kontrol eden ve tekrar kontrol eden güvenlik araştırmacılarından oluşan bir ekibi olduğunu düşünebilirsiniz, ancak gerçekte OpenSSL, çoğunluğu gönüllülerden oluşan küçük bir grup tarafından yönetilmektedir.
İlgili
- Yeni bir WordPress hatası 2 milyon siteyi savunmasız bırakmış olabilir
- Twitter'ın SMS iki faktörlü kimlik doğrulamasında sorunlar yaşanıyor. Yöntemleri nasıl değiştireceğiniz aşağıda açıklanmıştır
- HiveNightmare yeni ve kötü bir Windows hatasıdır. İşte kendinizi nasıl koruyacağınız
OpenSSL'e açılıyor
OpenSSL, adından da anlaşılacağı üzere açık kaynak kökenine sahiptir. 1998 yılında kurulan proje, İnternet sunucuları için bir dizi ücretsiz şifreleme aracı sağlamak üzere oluşturuldu. Bu önemli bir hedefti; şifreleme kritik ve yaygındır. Mümkün olduğu kadar çabuk benimsenmesini sağlamak için özgür bir standarda ihtiyaç vardı. Proje son derece başarılı oldu ve kısa sürede İnternet'in en önemli güvenlik araçlarından biri haline geldi.
Ancak başarı genişleme veya kârla sonuçlanmadı. OpenSSL, yalnızca kuruluşun kendisinden sorun giderme ve danışmanlık hizmetlerine erişim sağlayan destek sözleşmeleri yoluyla gelir elde eder.
Kritik bir şifreleme standardından çoğu gönüllü olan toplam yalnızca 11 kişi sorumludur.
Bu, tahmin edilebileceği gibi küçük bir kadroyla sonuçlanır. “Çekirdek ekip” yalnızca dört kişiden oluşuyor ve geliştirme ekibi listeye yedi isim daha ekliyor. Bu, kritik bir şifreleme standardından sorumlu olan ve çoğu gönüllü olan toplam 11 kişiden oluşuyor. Bunlardan yalnızca biri, Dr. Stephen Hanson tamamen OpenSSL'e odaklanıyor. Herkesin başka bir tam zamanlı işi var.
Kuruluşun parasını yöneten Steve Marquess bunu en iyi şekilde söyledi. “Gizem, çok çalışan birkaç gönüllünün hatayı gözden kaçırması değil; gizem bunun neden daha sık gerçekleşmediğidir.
Hatalar yapıldı
Bütün krizin özeti budur: bir hata. Hata, Heartbeat adlı bir OpenSSL uzantısı üzerinde çalışan Alman gönüllü Robin Seggelmann tarafından ortaya atıldı. Kodu 2011 yılının yılbaşı arifesinde gönderdi ve ardından inceleme sürecinden geçti. Heartbleed iki yılı aşkın süredir kamuoyu tarafından bilinmeyen bir olaydır.
Projenin diğer üyeleri, inceleme sırasında gönderilen kodu tekrar kontrol ediyor, ancak hatalar oluyor, bu nedenle sonunda bir hatanın gözden kaçması pek de sürpriz değil. Microsoft ve Cisco gibi milyarlarca dolarlık şirketler bile utanç verici suiistimallerden paylarına düşen payı alıyor.
Sorun, bir istek tarafından tanımlanabilecek bir değere göre hafıza tahsis edilmesinden kaynaklanmaktadır. Kullanıcı geçerli bir giriş sağlarsa işlev amaçlandığı gibi çalışır. Ancak geçersiz bir istek yapılırsa kod, güvenli ve şifreli olması gereken bilgiler de dahil olmak üzere bellekteki bilgilerin bir kısmını atar. Bu web çizgi romanı ayrıca bir görselleştirmenin yararlı olduğunu düşünüyorsanız Heartbleed'i de açıklıyor.
Bazı yazılım mühendisleri buna inanıyor Hatanın varlığı C'nin güvenliği hakkında soruları gündeme getiriyor, Heartbeat uzantısının yazıldığı kod. Popüler olmasına rağmen C, bellek yönetimi ve değerlerin işlenmesinde hatalara pek çok fırsat sunan karmaşık bir dildir. Başka bir açık kaynaklı SSL uygulamasındaki bir hata, GnuTLS, Heartbleed'den bir ay önce ortaya çıktı ve yine C dilinde yazılmıştı. Bu böcek daha da eskiydi; bundan sorumlu kod 2005 yılında eklendi.
Bir sonraki adım nedir?
Heartbleed'in sorumlusu sonuçta insan hatasıdır, ancak hata yalnızca tek bir kodlayıcının omuzlarına düşmez. OpenSSL, Fortune 500 şirketleri, hükümetler ve hatta askeri kuruluşlar tarafından kullanılan ücretsiz bir yazılımdır, ancak bu kuruluşlar projeye neredeyse hiçbir zaman finansman veya insan gücü sağlamamaktadır.
Şirketler ve hükümetler oldukça endişeli görünüyor, ancak gerçek destek vaatleri endişe verici bir şekilde yok.
Dünyanın da bu hatadan ders alması gerekiyor. Açık kaynaklı bir projeyi ona katkıda bulunmadan kullanmak, uzun vadede felakete davetiye çıkarır; özellikle de proje ağ altyapısının kritik bir parçası olduğunda. İnternetin güvenliği, yalnızca bir şeyler ters gittiğinde adlarını haberlerde gören bir avuç gönüllü tarafından desteklenmemelidir.
Editörlerin Önerileri
- Fidye yazılımı saldırıları büyük oranda arttı. İşte nasıl güvende kalacağınız
- Reddit saldırıya uğradı - hesabınızı korumak için 2FA'yı nasıl kuracağınız aşağıda açıklanmıştır
- SpaceX 100.000 Starlink müşterisine ulaşıyor. İşte nasıl kaydolacağınız
- Dell dizüstü bilgisayarınızda bir güvenlik açığı olabilir. İşte bunu nasıl düzelteceğiniz.
- DNS sunucusu nedir? İşte İnternet favorilerinizi nasıl sunuyor?
Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.
