Назван виновный в критической уязвимости OpenSSL
Немецкий программист Робин Зеггельман, который добавил в пакет OpenSSL критическую уязвимость Heartbleed, заявил, что сделал это непреднамеренно, передает TJournal. Зеггельман дал интервью австралийской газете The Syndey Morning Herald, подчеркнув, что ошибка, которую окрестили Heartbleed («Кровоточащее сердце») оказалась в коде случайно.
Зеггельман сообщил, что ошибка появилась в предварительных версиях кода в декабре 2011 года, когда он работал над улучшением OpenSSL и готовил к отправке на утверждение несколько исправлений для уже существовавших багов.
Работая над написанием кода для одной функции, Зеггельман забыл прописать проверку длины запроса. Эту ошибку не заметил не только он, но и человек, проверявший работу программиста. Таким образом она и попала в окончательный релиз OpenSSL, выпущенный в 2012 году, и оставалась незамеченной вплоть до начала апреля 2014 года.
Зеггельман отметил, что не имел злого умысла, а ошибка сама по себе была простой и банальной. К большому сожалению программиста, она была допущена в критически важном месте.
Напомним, о наличии серьезной уязвимости в пакете OpenSSL, предназначенном для защиты и сертификации данных, стало известно в понедельник вечером, когда разработчики сообщили об устранении ошибки, существовавшей с марта 2012 года.
Обнаруженная уязвимость была связана с отсутствием необходимой проверки длины запроса одной из процедур расширения Heartbeat. Из-за этого любой злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, чьи коммуникации были защищены уязвимой версией OpenSSL.
Эксперты признали ошибку чрезвычайно серьезной. Выяснилось, что теоретически проблема безопасности могла коснуться 65% всех серверов в мире. Известный специалист по безопасности Брюс Шнайер оценил степень ее угрозы в 11 баллов из 10.
Поскольку большинство компаний установили исправленные версии пакета OpenSSL, угроза для пользователей в основном миновала, однако специалисты настоятельно рекомендуют сменить установленные ранее пароли.
Комментарии
pomodor
14 апреля, 2014 - 15:51
Теперь очень важно проверить остальной вклад рассеянного Зильбермана. Есть мнение, что его невнимательность была щедро оплачена.
Вот же наглец. Полную компрометацию называет улучшением.
Чингачгук
9 мая, 2014 - 20:26
Да даже если и так, то куда смотрели пресловутые «миллионы зорких глаз», которые круглосуточно мониторят исходники открытых проектов, делая их априори более безопасными, чем гнусная проприетарщина? Где те тысячи прямых рук, которые должны были подправить код, обязательно посмотрев исходники перед установкой пакета? Это ж опенсорс, детка!
MikhailVinakov
15 апреля, 2014 - 10:18
У меня есть, что сказать по этому поводу.
Во-первых, что расслабляться пока рано, что уязвимость протокола пока не устранена в куче всяческих прошивок устройств типа рутеров (роутеров), NAS'ов, смарт-теликов и т.п. И это очень грустно.
А во-вторых, что касается программиста, допустившего эту ошибку, то он вообще ещё аспирант, а не профи (информация с Хабра). И вообще, OpenSSL писался и поддерживался на добровольной основе. И труд разработчиков был очень недооценён. Да, он (протокол) стал весьма и весьма популярен, но разработчики как работали на голом энтузиазме, так и продолжали. Это не оправдывает их целиком и полностью, но должно подтолкнуть обвинителей пересмотреть свою точку зрения и изменить (в сторону смягчения) категоричность суждений, как мне кажется.
pomodor
15 апреля, 2014 - 10:30
Насчет первого согласен, по поводу второго у меня другая информация.
Действительно, с сетевым оборудованием проблема очень серьезная. Уязвимы не только «домашние» роутеры, но и серьезное промышленное оборудование. Сколько еще на этом баге наживутся каккеры и представить страшно.
Во-вторых, насчет «голого энтузиазма», у меня иные сведения. Не такой уж он и голый. Годовой бюджет OpenSSL составляет что-то около 1,2 млн долларов. За 2013, правда, чуть поменьше был — слегка не дотянул до миллиона долларов.
MikhailVinakov
15 апреля, 2014 - 11:27
Про 2013 по указанной ссылке прочитал. Что касается обычного годового дохода, то, по ссылке с Хабра, обычно это порядка $2000, что довольно сильно расходится с $1.2М. Без малого на $1.2М, собственно. ;) Причина несоответствия цифр непонятна. Оснований не верить вам у меня нет.
Постскриптум.
Ссылки пока что нет возможности вставить. Я пока не заслужил. Пост на Хабре: 219163.
pomodor
15 апреля, 2014 - 11:35
Все же у меня больше доверия к Wall Street Journal, чем к Хабру, когда речь идет о долларах. ;) Да и здравый смысл подсказывает, что не может быть никаких $2000, ну глупость же. Крупные конторы стараются аккуратно финансировать разработку софта, от которого зависит их бизнес. Учитывая распространенность OpenSSL, суммы пожертвований должны быть куда больше, чем $2000 в год.
Ссылку можно было бы просто без "http://".
Комментировать