Невнимательный Робин. Немец, создавший Heartbleed-ошибку
Heartbleed — невероятно опасная «дыра» в системе безопасности Интернета. Возможно, самая большая информационная уязвимость в истории Сети. OpenSSL-«замочек», который вы видите в адресной строке всякий раз, когда заходите на свой банковский счет, защищает не так хорошо, как думалось. И виноват в этом молодой немецкий программист Робин Зегельман (Robin Seggelmann).
Почему Heartbleed опасен для меня?
Уязвимость в коммите HeartBleed (его в OpenSSL и добавил Робин) позволяет злоумышленникам читать оперативную память сайтов. Из памяти интернет-портала вашего банка (например, Альфа-клик), платежной системы, VPN-провайдера, аккаунта в почте Яндекса и Yahoo и еще полмиллиона Интернет-сайтов можно скачать любую нужную злоумышленнику информацию. Например, платежную, или логин-пароль. Далее на ваш браузер будет выполнена атака. Интернет-обозреватель, каким бы «навороченным» он ни был, ничего не заподозрит.
Что делать?
Сейчас о проблеме уже знают все. Причин для паники нет. НА ВСЯКИЙ СЛУЧАЙ сделать следующее:
- Вспомнить, на каких сайтах хранится критически важная для вас информация (банки, почта);
- Зайти на сайт Filippo.io и «пробить» их интернет-адреса. Если они находятся в базе — будет нелишним сменить пароли.
Это была ошибка или умысел? И как его нашли?
Сила OpenSSL — в её открытости. Можно посмотреть и код (и сообщить сообществу в случае ошибки), и узнать имя написавшего его программиста. Любители потравить ближнего своего в социальных сетях быстро нашли «злодея» — в этом им помог блогер и по совместительству хакер Феликс фон Ляйтнер. Фон Ляйтнер назвал фамилию (хотя найти её было проще простого) и место работы человека, допустившего ошибку.
В Twitter большое распространение получили фразы вроде «Не хотел бы я сейчас быть Робином С.». Фон Ляйтнер высказал уверенность, что Зегельман не ошибся, а… «ошибся», создав уязвимость специально.
«На мой взгляд это пахнет как бэкдор [во взломанной системе бэкдор устанавливают для того, чтобы получать доступ к ОС снова и снова — Прим. N-Geist], на вкус это бэкдор, по консистенции это бэкдор, и выглядит это как бэкдор». В статье для Frankfurter Allgemeine Zeitung фон Ляйтнер предположил, что «во времена шпионского скандала» нельзя не задуматься — быть может, Heartbleed есть саботаж со стороны спецслужб?
Что говорит сам Зегельман?
Робин прислал в редакцию влиятельного немецкого еженедельника Der Spiegel электронное письмо. Цитата:
«Я участвовал в работе [зимой 2011-2012 гг. — прим. N-Geist] над OpenSSL и представил ряд исправлений ошибок и новых функций. В одном из патчей для новой функции я, очевидно, забыл о продольном контроле».
Итак — ошибка, человеческий фактор. На недочет не обратил внимание и принимавший код пользователь steve. Оно и понятно — на календаре в день приемки было 1 января 2012 года. Silvester, пати, вот это всё. Робин пишет — «ошибка была банальной». Но признает, что она стала весьма значимой. Еще бы — дыра в безопасности Heartbleed «тихой сапой» существует уже два года. Со всеми вытекающими. Только на днях ошибку случайно обнаружил исследователь Google.
Spiegel предлагает отнестись к проблеме философски. Ошибки случаются везде, что в открытой системе, что в закрытой, и иногда они бывают значимыми. Как избежать повторения таких проблем для Сети в будущем? Вопрос, на который нет ответа.