Основные блоги b.Z » Все блоги » Про интернет » Почему Heartbleed оставался незамеченным на протяжении двух лет

Почему Heartbleed оставался незамеченным на протяжении двух лет

Все блоги / Про интернет 14 апреля 2014 411   
Смотреть в Telegram Поделиться в TG

Новостное издание Vox известно тем, что пытается объяснить сложные инфоповоды простым языком. 12 апреля там появился материал о том, почему уязвимость Heartbleed была незаметна на протяжении целых двух лет — оказывается, причина в недостаточном финансировании организаций, которые занимаются разработкой и поддержкой программного обеспечения с открытым исходным кодом.

***

Что стало причиной появления широко обсуждаемого сейчас бага в OpenSSL, получившего название Heartbleed? Мы знаем, что всему виной простая невнимательность — немецкий разработчик допустил ошибку во время очередного обновления кода, забыв добавить проверку длины запроса. Человек, который проверял код, также ничего не заметил — как и никто другой на протяжении двух лет (если, конечно, АНБ не лукавит).

OpenSSL — проект с открытым исходным кодом, его поддерживают всего 4 европейских программиста, только один из которых рассматривает это как свою постоянную работу. Бюджет OpenSSL Foundation составил менее одного миллиона долларов в 2013 году. Одновременно с этим, OpenSSL используют огромное количество сайтов, и на устранение последствий придётся потратить миллионы долларов в одних только США.



АНБ отнекивается от своей причастности к этой истории



Чем брешь в безопасности отличается от других багов

В известном эссе разработчика Эрика Реймонда говорится о том, что свободное ПО управляется людьми и организациями, преследующими личные мотивы — им нужно удовлетворить свои потребности, поэтому они добавляют функции и правят ошибки для того, чтобы им самим было удобнее пользоваться этим программным обеспечением.

Если большая компания попадает в зависимость от свободного ПО, ей приходится платить программистам за то, чтобы они вносили необходимые правки. И чем лучше становится ПО, тем больше компаний его используют, что приводит к ещё большему количеству улучшений, и так далее по кругу.

Возникает вопрос — почему существование этого благотворного замкнутого круга не привело к тому, что уязвимость Heartbleed не была обнаружена гораздо раньше? Проблема в том, что такие уязвимости не похожи на остальные баги — большинство обычных ошибок всплывают во время использования программы, их быстро замечают и исправляют.

Но брешь в безопасности не проявится сама по себе. Такие вещи можно обнаружить, если искать целенаправленно. И тут есть два варианта — либо уязвимость находит специалист по безопасности и её быстро устраняют, либо её обнаруживают злоумышленники, что несёт за собой катастрофический эффект.

Так что обычная модель, принятая в open source (когда пользователи сами сообщают об ошибках), не работает, если говорить о вопросах безопасности. Это требует специального аудита, на который руководство часто не хочет тратить время и ресурсы.



Под угрозой оказались не только сайты, но и мобильные приложения



Исследованиям по безопасности нужно больше финансирования

Чтобы ПО было безопасным, нужны люди, которые будут заниматься поиском уязвимостей. Сейчас есть структуры, которые работают в этом направлении — сам Heartbleed был обнаружен исследователями из Google и Codenomicon.

Но это не должно занимать два года. Учитывая то, насколько широко используется OpenSSL, нужно иметь множество людей, которые будут инспектировать каждую строчку кода, чтобы выловить потенциальную ошибку до того, как изменения войдут в публичный релиз.

Для этого, во-первых, самому проекту OpenSSL требуется дополнительное финансирование. Правительства, корпорации и фонды, использующие эту библиотеку, могут отчислять определённую сумму, чтобы ключевая команда OpenSSL могла посвящать проекту всё своё время и нанять себе помощников.

Во-вторых, необходимо финансировать независимые проверки популярного ПО с открытым исходным кодом. Возможно, этому бы поспособствовали гранты различным некоммерческим или может даже государственным организациям, которые работают в этой области. У каждого типа таких организаций есть свои преимущества и недостатки, поэтому их совместная работа дала бы хороший результат.



Бонус: как защититься от последствий Heartbleed

Атаки, основанные на этой уязвимости, нацелены на веб-сервера. Поскольку они не зависят от пользователей, у нас нет особой возможности как-то повлиять на атаки. Пользователям придётся подождать, пока сервера не обновят программное обеспечение. С момента обнаружения бага прошло достаточно времени, так что большинство сервисов уже в безопасности.

Стоит сменить пароли везде, где только можно, и использовать специальные инструменты, которые позволяют проверить сохранность данных на том или ином сайте.

Кроме обновления ПО, администрации сайта необходимо обновить ключи шифрования. У пользователя нет возможности узнать об этом наверняка, так что остаётся верить на слово. Популярные сервисы рассылают своим пользователям письма, в которых рассказывают, на каком этапе находится их борьба с уязвимостью, но если от какого-то сайта не поступало публичных заявлений по этому поводу, то обращаться с ним нужно аккуратнее.



Источник: Цукерберг Позвонит

  • Оцените публикацию
  • 0
предыдущая статья
следующая статья

Похожие публикации

В АНБ знали о уязвимости Heartbleed два года назад

Агентству национальной безопасности было известно о уязвимости, которая недавно получила название Heartbleed, на протяжении как минимум двух последних лет. Также АНБ регулярно использовало эту уязвимость для получения доступа к желаемой информации. Это стало известно от двух неназываемых

подробнее »
12 апреля 2014
OpenSSL закрыл четыре опасные уязвимости

OpenSSL Project выпустил патч своего пакета для шифрования с открытым исходным кодом с целью исправления недавно обнаруженной уязвимости POODLE SSL и других. Обновления доступны для OpenSSL 0.9.8zc, 1.0.0o и 1.0.1j. Читать дальше →

подробнее »
17 октября 2014
Сингапурский студент открыл серьёзную уязвимость в OAuth и OpenID

Спустя месяц после обнаружения уязвимости Heartbleed в библиотеке OpenSSL, другой софт с открытым кодом оказался подверженным атаке. На этот раз дыры были найдены в популярных инструментах OAuth и OpenID, которые используются для идентификации пользователей множеством популярных сайтов и компаний,

подробнее »
3 мая 2014
8 лучших платформ для интернет-магазина с открытым исходным кодом

Когда речь идет о лучших платформах для электронной коммерции с открытым исходным кодом, существует много вариантов. Вот список некоторых из наиболее популярных платформ для электронной коммерции с открытым исходным кодом, с помощью которых вы можете открыть свой интернет-магазин. Рубрика: CMS и

подробнее »
11 мая 2014
"Доктор Веб": Открывать или нет – вот в чем вопрос

Рассказываем о том, почему антивирус с открытым исходным кодом – плохая идея.

подробнее »
10 февраля 2020
IT-гиганты потратят $3,6 млн на защиту от новых уязвимостей

Некоммерческая организация Linux Foundation запустила проект Core Infrastructure Initiative, с помощью которого IT-компании смогут предотвратить крупные уязвимости в открытом коде. Об этом сообщает The Verge. Это стало следствием обнаружения критической уязвимости Heartbleed в OpenSSL, из-за

подробнее »
25 апреля 2014
@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии