A hiba, amely lavinát indított el az informatikában

Nyilatkozott az a fejlesztő, aki az OpenSSL-ben felfedezett Heartbleed hibát vétette. A történtek azonban jóval túlmutatnak egyetlen fejlesztő felelősségén.
 

A Heartbleed hiba az elmúlt két hétben sok munkát adott az informatikusoknak, a fejlesztőknek és egyes gyártóknak. Az OpenSSL-ben feltárt súlyos hiba ugyanis alapvetően érintette megannyi weboldal, webes szolgáltatás, valamint informatikai és mobil eszköz biztonságát. A hibajavítások az alkalmazásokhoz, készülékekhez folyamatosan érkeztek és érkeznek mind a mai napig, de abban minden szakember egyetért, hogy ez a sérülékenység még sokáig kísérteni fog.

A bankok, az elektronikus kereskedelemmel foglalkozó cégek, a webes szolgáltatók, valamint minden olyan szervezet, amely a titkosított (HTTPS) kommunikációhoz használja az OpenSSL-t, igyekezett mihamarabb javítani a hibát. Jó példa erre a Yahoo!, amelynek szintén gyorsan kellett reagálnia, hiszen egyebek mellett a Yahoo Mail és a Yahoo Messenger is egy csapásra kiszolgáltatottá vált. Ugyanakkor voltak olyan vállalatok is, amelyek részben megúszták a problémákat. A Microsoft jelezte, hogy az Office 365 és az Azure platformját nem érinti a sebezhetőség, mivel azok nem az OpenSSL implementációjával működnek. Ugyanakkor rávilágított arra, hogy az Azure-ban hosztolt kiszolgálókra telepített OpenSSL példányokat mindenképpen felül kell vizsgálni, és szükség esetén frissíteni kell azokat.

"Vagy félmillió weboldal sebezhető, beleértve az enyémet is" - mondta Bruce Schneier, a neves biztonsági szakértő. "Ez egy katasztrofális hiba, mivel bárki számára lehetőséget ad arra, hogy interneten keresztül kiolvassa az érintett rendszerek memóriájának tartalmát" - tette hozzá a szakember. Tatu Ylonen, az SSH (Secure Shell) atyja pedig leginkább amiatt fejezte ki aggodalmát, hogy a biztonsági rés kihasználásával a támadók hozzáférhettek privát kulcsokhoz, amik révén a teljes kommunikációt, adatforgalmat lehallgathatták, visszafejthették egy-egy sebezhető szerver vonatkozásában.

"Egy triviális hiba"

Ahogy a Heartbleed egyre nagyobb port kavart, úgy szerették volna mind többen tudni azt, hogy a sérülékenység miként kerülhetett bele egy ilyen széles körben használt kódba. A kíváncsiságot pedig az is tetézte, hogy a sebezhetőség már két éve jelen volt az OpenSSL egyes kiadásaiban, vagyis az egész világ szeme láttára veszélyeztette a rendszereket. Végül Dr. Robin Seggelmann német fejlesztő vállalta magára a felelősséget, de azt határozottan tagadta, hogy a biztonsági rést szándékosan ejtette volna a kódon.

"Azon dolgoztam, hogy javítsam az OpenSSL-t. Számos hibát orvosoltam, valamint új funkciókat fejlesztettem. Az egyik új szolgáltatás implementálása során azonban hibáztam, amikor elmulasztottam ellenőrizni egy változó hosszát" - nyilatkozta Seggelmann. Véleménye szerint egy triviális, közönséges hibát vétett, de pontosan tisztában van azzal, hogy mindez milyen következményekkel járt. Közben az is kiderült, hogy a problémás kód a közzététele előtt egy ellenőrzésen is átesett, amit Dr. Stephen Henson végzett, de a hibát ő sem vette észre.

A tanulságok

A Heartbleed kapcsán megszólaló biztonsági szakemberek körében Seggelmann nyilatkozata után sem kezdődött el a vádaskodás és az ujjal mutogatás. Sokkal inkább a tanulságok leszűrésére helyeződött a hangsúly, ami hosszútávon mindenképpen előnyös. A kialakult helyzet ugyanis azt is feltételezte, hogy a sebezhetőség nagyon sok kézen ment keresztül anélkül, hogy az nyilvánosságra került volna. A gyártók pedig szó nélkül integrálták az OpenSSL-t a termékeikbe, és ilyen módon az ő ellenőrzéseiken sem akadt fent a hiba.

Glenn Dodi, a ThreatTrack Security kutatócsoportjának vezetője kifejtette, hogy minden szoftverben voltak és vannak hibák. "Csak idő, erőfeszítés és pénz kérdése, hogy valaki sebezhetőséget találjon a szoftverekben, hiszen azokat is emberek hozzák létre" - vélekedett Dodi. Majd hozzátette, hogy a nyílt forráskódú technológiákat hatékonyabban kellene támogatni. "Talán ha az OpenSSL is több támogatást kapott volna, akkor a hiba előbb napvilágra kerül" - mondta a szakember.

Wayne Jackson, a Sonatype elnök-vezérigazgatója is felszólalt a hiba kapcsán. Ő is arra az álláspontra helyezkedett, hogy a történteket egy "egyszerű" programozói hiba okozta. A tanulság azonban az, hogy a szoftverintegráció drámaian alábecsült, nem megfelelően finanszírozott terület. Emellett a nyílt forráskódú megoldások biztonsági vonzatait sem sikerül mindig a helyükön kezelni, pedig ezekre óriási szerep hárul. "A nyílt forráskód mindenhol jelen van. Az összes modern szoftver valamilyen mértékben ezekre épül" - hangsúlyozta a szakember utalva arra, hogy egy hibás kód mekkora lavinát tud elindítani.