Heartbleed год спустя: как измененные переговоры безопасности

heartbleed

АНАЛИЗ НОВОСТЕЙ: В году начиная с открытия Хиртблида, существует больше изучения чем когда-либо на OpenSSL и серьёзной инфраструктуре в целом.Уверенное время вправду летит.

В апреле 2014 я высказал предположение, что неспециализированная цена фиксации Heartbleed, возможно, превысит $500 миллионов. Тогда как мы ни в коем случае можем не знать подлинную неспециализированную цена Heartbleed не считая исправления и риска, это кроме этого инициировало новую эру изучения в безопасность ПО с открытым исходным кодом.Годом ранее сейчас (7 апреля), я заметил консультацию OpenSSL в первоначальный раз о новой уязвимости совокупности обеспечения безопасности, идентифицированной как CVE-2014-0160, и назвал «переполнение чтения сердцебиения TLS».

Если бы Heartbleed был ответственно раскрыт затронутым поставщикам и если бы был патч, дешёвый до консультации 7 апреля, громадного окружения драмы, то Heartbleed, возможно, ни в коем случае не случался бы. Проблема заключается в том, что так или иначе кое-какие поставщики взяли раннее уведомление о Heartbleed, включая Гугл и CloudFlare, тогда как другие не взяли ни один.Канада есть отчизной единственной фиксации, которая связана с Heartbleed, о котором я знаю, кроме этого.

16 апреля Королевская канадская конная полиция (RCMP) заявила, что фиксировала 19-летнего студента в связи с нападениями эксплуатации на CRA, предназначающийся для недостатка Heartbleed.Так как OpenSSL есть открытым исходным кодом, большое количество ученых мужей были стремительны для критики модели с открытым исходным кодом, как являющейся в ядре уязвимости Heartbleed.

В ответ сообщество разработчиков ПО с открытым исходным кодом, во главе с Базой Linux, сплотилось и запущенный упрочнение по Базисной ответственной инфраструктуре (CCI). CCI повысил $5,5 миллионов в финансировании от Adobe, Блумберга, Hewlett-Packard, VMware, Rackspace, NetApp, Микрософт, Intel, IBM, Google, Fujitsu, Facebook, Dell, Amazon и Cisco, дабы обезопасисть инфраструктуру с открытым исходным кодом и развитие.

CCI сейчас предоставляет некое финансирование разработчикам OpenSSL, дабы оказать помощь не допустить второй Heartbleed.Heartbleed имени есть фирменным сроком, что придумала компания безопасности Codenomicon. Они кроме этого выпустили под брендом уязвимость в методе, которым я ни в коем случае не видел прежде, но с того времени стал моделью, которую другие поставщики совокупностей обеспечения безопасности постарались эмулировать. Codenomicon-фирменный Heartbleed имел собственный понятное описание и собственный логотип недостатка и фактических рисков.

Тогда как кое-какие уязвимости публично не использованы, что не имел место с Heartbleed. 8 апреля Канадское агентство по доходу (CRA), канадский эквивалент американского Налогового управления (IRS), было вынуждено закрыть налоговые услуги по регистрации, будучи нарушенным Heartbleed.

Нарушение стало причиной канадскому правительству, вынуждаемому расширять налоговый срок регистрации для канадцев для восполнения времени, сайт CRA был закрыт.Поврежденный процесс раскрытия Хиртблида добавил к беспокойству и драме уже критической уязвимости совокупности обеспечения безопасности. Вместо организованного обновления был сумасшедший порыв администраторами и поставщиками сервера во всем мире для исправления для Хиртблида для предотвращения эксплуатации.

Потому, что это выяснилось, неприятность была кроме этого найдена исследователем в области безопасности Гугл Нилом Мехтой. И Мехта и Коденомикон были награждены Black Hat 2 014 премиями Pwnie за Heartbleed в категории лучшей неточности серверной стороны.

В то время, когда я сперва написал собственную статью для eWEEK по проблеме, я идентифицировал недостаток как недостаток SSL Сердцебиения. К середине дня 8 апреля, мои редакторы eWEEK задавали вопросы меня, в случае если я неправильно маркировал историю, поскольку другие публикации вызывали его Heartbleed.Феноменальный брендинг, но, не то, из-за чего Heartbleed был и все еще остается нетривиальной проблемой безопасности. OpenSSL есть обширно развернутой разработкой с открытым исходным кодом, которая употребляется на конечных точках, мобильных серверах и устройствах.

Обещание OpenSSL пребывает в том, что он снабжает Уровень защищенных сокетов / безопасность Транспортного уровня (SSL/TLS) криптографические библиотеки, нужные для обеспечения транспорта данных. Опасность Heartbleed пребывает в том, что SSL/TLS мог быть дешифрован, покинув пользователей в опасности.

Сам проект OpenSSL выпустил многократные обновления совокупности защиты в течение прошлого года, потому, что больше ресурсов шепетильно изучило код, дабы улучшить безопасность. Новое обновление OpenSSL начинало 19 марта, снабжая 12 исправлений безопасности.


7 thoughts on “Heartbleed год спустя: как измененные переговоры безопасности

  1. Не удивляюсь рашистам, если их бох )(у-й-л-о в открытую предлагает своим оркам прятаться за женщинами и детьми, то что уже говорить об электриках:)))

Добавить комментарий