211service.com
Kur slēpjas nākamā Heartbleed kukaiņi?
Pēc plašas panikas izraisīšanas un paroļu maiņas Heartbleed kļūda lielākoties ir pazudusi no ziņām. Tomēr atklājuma sekas joprojām tiek apspriestas visā datoru nozarē. Lielākās drošības ekspertu bažas rada tas, kā novērst citus trūkumus, kas slēpjas interneta pamatos.
Heartbleed kļūda tika atklāta šī mēneša sākumā programmatūras daļā ar nosaukumu OpenSSL ko plaši izmanto, lai izveidotu drošu savienojumu starp tīmekļa pārlūkprogrammām un serveriem, pārvaldot iesaistītās kriptogrāfiskās atslēgas. OpenSSL ir atvērtā pirmkoda projekts, kas nozīmē, ka pamatā esošais kods tiek publicēts kopā ar programmatūru. Tāpat, tāpat kā daudzus citus atvērtā pirmkoda pasākumus, to uztur neliela brīvprātīgo programmētāju grupa (skatiet Nepietiekami finansēts projekts, kas nodrošina tīmekļa drošību).
Problēmu atzīst lielie programmatūras uzņēmumi, kas paļaujas uz tādiem centieniem kā OpenSSL. Pagājušajā nedēļā, Linux fonds , kas nodrošina atbalstu populārajai Linux operētājsistēmai, uzsāka darbu, ko sauc par Galvenās infrastruktūras iniciatīva atbalstīt mazus atvērtā pirmkoda projektus. Uzņēmumi, tostarp Google, Amazon, Facebook, IBM, Intel, Cisco un Dell, līdz šim ir ieguldījuši vairāk nekā 3 miljonus USD. Vadības komiteja mēģinās noteikt atvērtā pirmkoda projektus, kuriem visvairāk nepieciešams finansiāls atbalsts.
Atvērtā pirmkoda problēma ir tā, ka jums ir 'bezmaksas braucēja' problēma, saka Kriss Vaisopals, labi pazīstams datordrošības eksperts un galvenais tehnoloģiju speciālists un uzņēmuma līdzdibinātājs. Vera kods , lietojumprogrammu drošības novērtēšanas uzņēmums. Cilvēki un uzņēmumi, kas to izmanto un gūst no tā milzīgu vērtību, nedod daudz naudas, lai to turpinātu.
Pat trīs nedēļas pēc kļūdas atklāšanas daži atpalikuši uzņēmumi joprojām atjaunina serverus, instalē jaunus kriptogrāfiskos sertifikātus un liek lietotājiem atiestatīt paroles. Tādus ekspertus kā Wysopal satrauc tas, ka citi interneta pamata komponenti, piemēram, OpenSSL, ir nelieli atvērtā pirmkoda projekti. Un var būt grūti noteikt, kuram var pietrūkt resursu, kas nepieciešami, lai rūpīgi pārbaudītu kodu drošības ievainojamību.
Pirms Heartbleed kļūdas atklāšanas daži bija dzirdējuši par OpenSSL vai 11 izstrādātājiem, kuri lielu daļu sava laika ziedo projektam. The OpenSSL programmatūras fonds , kas nodarbojas ar organizācijas komerclīgumu slēgšanu, nodarbina tikai vienu pilnas slodzes izstrādātāju. Pagājušajā gadā tas kopumā saņēma ziedojumus USD 2000 apmērā, un tas nekad nav guvis vairāk nekā USD 1 miljonu ieņēmumu par saviem konsultāciju un atbalsta pakalpojumiem.
Jābūt vismaz pusducim pilnas slodzes OpenSSL komandas locekļu, nevis vienam, kas spēj koncentrēties uz OpenSSL aprūpi un barošanu, nesteidzoties komerciālā darbā, rakstīja Stīvs Markess, OpenSSL programmatūras oficiālais līdzekļu vākšanas un biznesa kontaktpersonas. fonds, emuāra ierakstā neilgi pēc Heartbleed atklāšanas. Ja esat uzņēmuma vai valdības lēmumu pieņēmējs, kas spēj kaut ko darīt lietas labā, padomājiet par to. Lūdzu.
Marks Maifrets, galvenais tehnoloģiju speciālists plkst Ārpus uzticības , drošības programmatūras uzņēmums, saka, ka citi atvērtā pirmkoda projekti saskaras ar līdzīgu problēmu. Cilvēki pieņem, ka tikai tāpēc, ka kaut kas ir atvērts avots, ir maģiski centieni atrast kļūdas un padarīt to drošu. Bet parasti tas sākas ar pāris cilvēkiem, iespējams, kļūst populārs, un tad beidzas... ar pāris cilvēkiem.
Wysopal no Veracode saka, ka galvenā problēma ir tā, ka nav iespējams novērtēt dažādu interneta infrastruktūras daļu nozīmi: ja kāds vēlas veikt plašu uzbrukumu daudzām vietnēm, kuri komponenti tiek plaši izmantoti un kuri atrodas uzbrukuma virsmas priekšpusē?
Izaicinājumu prognozēt, kur var parādīties lielas ievainojamības, sarežģī fakts, ka interneta programmētāji arvien vairāk veido savu kodu, izmantojot dažādus rīkus. In atskaite Pagājušajā gadā izlaistais uzņēmums Aspect Security atklāja, ka 26 procentiem bibliotēku, kas lejupielādētas izmantošanai lietojumprogrammās, ir zināmas ievainojamības. Problēma ir tā, ka ir tik daudz komponentu, no kuriem ir atkarīgs programmatūras komplekts, saka Džefs Viljamss, uzņēmuma Aspect līdzdibinātājs un CTO. Internets ir siena kaudze, kas pilna ar adatām.