A hiba, amely lavinát indított el az informatikában

Nyilatkozott az a fejlesztő, aki az OpenSSL-ben felfedezett Heartbleed hibát vétette. A történtek azonban jóval túlmutatnak egyetlen fejlesztő felelősségén.
 

A Heartbleed hiba az elmúlt két hétben sok munkát adott az informatikusoknak, a fejlesztőknek és egyes gyártóknak. Az OpenSSL-ben feltárt súlyos hiba ugyanis alapvetően érintette megannyi weboldal, webes szolgáltatás, valamint informatikai és mobil eszköz biztonságát. A hibajavítások az alkalmazásokhoz, készülékekhez folyamatosan érkeztek és érkeznek mind a mai napig, de abban minden szakember egyetért, hogy ez a sérülékenység még sokáig kísérteni fog.

A bankok, az elektronikus kereskedelemmel foglalkozó cégek, a webes szolgáltatók, valamint minden olyan szervezet, amely a titkosított (HTTPS) kommunikációhoz használja az OpenSSL-t, igyekezett mihamarabb javítani a hibát. Jó példa erre a Yahoo!, amelynek szintén gyorsan kellett reagálnia, hiszen egyebek mellett a Yahoo Mail és a Yahoo Messenger is egy csapásra kiszolgáltatottá vált. Ugyanakkor voltak olyan vállalatok is, amelyek részben megúszták a problémákat. A Microsoft jelezte, hogy az Office 365 és az Azure platformját nem érinti a sebezhetőség, mivel azok nem az OpenSSL implementációjával működnek. Ugyanakkor rávilágított arra, hogy az Azure-ban hosztolt kiszolgálókra telepített OpenSSL példányokat mindenképpen felül kell vizsgálni, és szükség esetén frissíteni kell azokat.

"Vagy félmillió weboldal sebezhető, beleértve az enyémet is" - mondta Bruce Schneier, a neves biztonsági szakértő. "Ez egy katasztrofális hiba, mivel bárki számára lehetőséget ad arra, hogy interneten keresztül kiolvassa az érintett rendszerek memóriájának tartalmát" - tette hozzá a szakember. Tatu Ylonen, az SSH (Secure Shell) atyja pedig leginkább amiatt fejezte ki aggodalmát, hogy a biztonsági rés kihasználásával a támadók hozzáférhettek privát kulcsokhoz, amik révén a teljes kommunikációt, adatforgalmat lehallgathatták, visszafejthették egy-egy sebezhető szerver vonatkozásában.

"Egy triviális hiba"

Ahogy a Heartbleed egyre nagyobb port kavart, úgy szerették volna mind többen tudni azt, hogy a sérülékenység miként kerülhetett bele egy ilyen széles körben használt kódba. A kíváncsiságot pedig az is tetézte, hogy a sebezhetőség már két éve jelen volt az OpenSSL egyes kiadásaiban, vagyis az egész világ szeme láttára veszélyeztette a rendszereket. Végül Dr. Robin Seggelmann német fejlesztő vállalta magára a felelősséget, de azt határozottan tagadta, hogy a biztonsági rést szándékosan ejtette volna a kódon.

"Azon dolgoztam, hogy javítsam az OpenSSL-t. Számos hibát orvosoltam, valamint új funkciókat fejlesztettem. Az egyik új szolgáltatás implementálása során azonban hibáztam, amikor elmulasztottam ellenőrizni egy változó hosszát" - nyilatkozta Seggelmann. Véleménye szerint egy triviális, közönséges hibát vétett, de pontosan tisztában van azzal, hogy mindez milyen következményekkel járt. Közben az is kiderült, hogy a problémás kód a közzététele előtt egy ellenőrzésen is átesett, amit Dr. Stephen Henson végzett, de a hibát ő sem vette észre.

A tanulságok

A Heartbleed kapcsán megszólaló biztonsági szakemberek körében Seggelmann nyilatkozata után sem kezdődött el a vádaskodás és az ujjal mutogatás. Sokkal inkább a tanulságok leszűrésére helyeződött a hangsúly, ami hosszútávon mindenképpen előnyös. A kialakult helyzet ugyanis azt is feltételezte, hogy a sebezhetőség nagyon sok kézen ment keresztül anélkül, hogy az nyilvánosságra került volna. A gyártók pedig szó nélkül integrálták az OpenSSL-t a termékeikbe, és ilyen módon az ő ellenőrzéseiken sem akadt fent a hiba.

Glenn Dodi, a ThreatTrack Security kutatócsoportjának vezetője kifejtette, hogy minden szoftverben voltak és vannak hibák. "Csak idő, erőfeszítés és pénz kérdése, hogy valaki sebezhetőséget találjon a szoftverekben, hiszen azokat is emberek hozzák létre" - vélekedett Dodi. Majd hozzátette, hogy a nyílt forráskódú technológiákat hatékonyabban kellene támogatni. "Talán ha az OpenSSL is több támogatást kapott volna, akkor a hiba előbb napvilágra kerül" - mondta a szakember.

Wayne Jackson, a Sonatype elnök-vezérigazgatója is felszólalt a hiba kapcsán. Ő is arra az álláspontra helyezkedett, hogy a történteket egy "egyszerű" programozói hiba okozta. A tanulság azonban az, hogy a szoftverintegráció drámaian alábecsült, nem megfelelően finanszírozott terület. Emellett a nyílt forráskódú megoldások biztonsági vonzatait sem sikerül mindig a helyükön kezelni, pedig ezekre óriási szerep hárul. "A nyílt forráskód mindenhol jelen van. Az összes modern szoftver valamilyen mértékben ezekre épül" - hangsúlyozta a szakember utalva arra, hogy egy hibás kód mekkora lavinát tud elindítani.
 
  1. 3

    A Spring Framework egy közepes veszélyességű hibát tartalmaz.

  2. 4

    A 7-Zip egy súlyos sebezhetőség miatt szorul frissítésre.

  3. 3

    Újabb biztonsági frissítést kapott a Drupal.

  4. 4

    A Google Chrome egy fontos biztonsági hibajavítást kapott.

  5. 3

    Fél tucat biztonsági hiba vált kimutathatóvá a PHP-ben.

  6. 3

    A Nextcloud Desktop esetében két biztonsági rést kell befoltozni.

  7. 3

    Az Apple két sebezhetőséget szüntetett meg egyes operációs rendszereiben.

  8. 4

    A FortiClient kapcsán egy nulladik napi sebezhetőségre derült fény.

  9. 4

    A Palo Alto PAN-OS egy kritikus veszélyességű sebezhetőséget tartalmaz.

  10. 3

    Az Apache Tomecat három sérülékenység miatt kapott frissítést.

Partnerhírek
Új funkciókat kaptak az ESET otthoni védelmi szofverei

​Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen.

Hazánkba is megérkezett az ESET Services

​Az ESET Magyarországon is elérhetővé tette az ESET Servicest, amely többek között biztosítja a gyors, felügyelt EDR (XDR) szolgáltatást is.

hirdetés
Közösség