11 апреля 2014

Автор самого опасного бага в Сети не признает свою вину

Категория: Наука и технологии

Автор самого опасного бага в Сети не признает свою вину

Как стало известно, в одной из самых популярных технологий шифрования под названием Heartbleed, на днях была обнаружена уязвимость, которую признали самой опасной за все время существования Сети. По мнению экспертов, «дыра» была намерено оставлена разработчиком OpenSSL, однако немецкий программист опровергает все обвинения по этому поводу.

Стоит отметить, что Heartbleed опасна еще тем, что затрагивает практически каждого пользователя в Интернете. Поэтому могут быть украдены таким образом пароли от сервисов, соцсетей, банковские данные и другая личная информация каждого пользователя в Сети. Чтобы не подвергать свои данные дополнительной угрозе, Хайтек опубликовали инструкция, что нужно делать после обнаружения Heartbleed первое время.

Обнаружена была ошибка в ПО с открытым исходным кодом OpenSSL во вторник. При этот он используется большинством сайтов, в том числе крупнейшими для шифрования информации пользователей. В среднем в Интернете около двух третей серверов используют OpenSSL. В настоящее время некоторые эксперты даже порекомендовали не пользоваться интернетом в ближайшие дни, пока не будет исправлена ошибка, чтобы уберечь свои данные.

Однако Робин Сеггельман, по чьей вине была оставлена уязвимость, опровергает любые обвинения в свой адрес. Немецкий разработчик утверждает, что баг мог случайно попасть в исходный код. По его словам, он работал над улучшением OpenSSL. Исправил много ошибок, добавил много новых функций, но, видимо, в одной из них упустил переменную, отвечающую за длину.

Но после того, как Сеггельман не заметил ошибки, корректор кода тоже упустил уязвимость, в итоге она уже попала в релизную версию. В то вреям корректором кода являлся Стивен Хенсон. По словам Сеггельмана, сама по себе ошибка была очень простой, но потом уже привела к серьезным последствиям.

Между тем, большинство экспертов и пользователей не доверяют словам немецкого разработчика. Среди них преобладает мнение, что ошибка была внесена в код специально, чтобы позволить спецслужбам проверять сведения о пользователях. Особенно актуально выглядят такие проблемы безопасности после громкого скандала по разоблачению Эдварда Сноудена.

Сам программист заверяет, что это была обычная ошибка в новой функции, которая, тем не менее, привела к существенной «дыре» в безопасности. Этот баг не был допущен намерено Сеггельманом, так как перед этим он лично в OpenSSL исправил большое количество ошибок.


Вернуться назад »
  • Просмотров: 2483



Комментарии