наверх

Автор самого опасного бага в Интернете отрицает свою вину

11.04.2014
Обнаруженная на днях уязвимость в одной из самых популярных технологий шифрования, получившая название Heartbleed, была признана самой опасной за всю историю существования Интернета.
Автор самого опасного бага в Интернете отрицает свою вину

Многие эксперты предположили, что разработчик OpenSSL намеренно оставил в своем продукте "дыру", однако немецкий программист отвергает все обвинения.

Heartbleed опасна прежде всего тем, что затрагивает практически каждого пользователя в Интернете. Пароли от сервисов и соцсетей, банковские данные и прочая личная информация практически каждого пользователя Сети могла быть украдена. Вести.Хайтек опубликовали инструкцию о том, как вести себя в первое время после обнаружения Heartbleed, чтобы не подвергать свои данные дополнительной угрозе.

Все дело в ошибке, обнаруженной во вторник в ПО с открытым исходным кодом OpenSSL. Оно используется большинством сайтов, в том числе крупнейшими, для шифрования коммуникаций пользователей. Всего OpenSSL используют около 2/3 серверов в Интернете. Некоторые эксперты даже рекомендовали пользователям вообще не пользоваться Интернетом в течение ближайших дней, пока уязвимость не будет "залатана".

Немецкий разработчик, ответственный за эту "информационную катастрофу", отвергает все обвинения в свой адрес. Робин Сеггельман отмечает, что баг мог попасть в код "очень просто": "Я работал над улучшением OpenSSL и исправил огромное количество багов и добавил много новых функций. В одной из них я, к сожалению, упустил переменную, контролирующую длину".

После того как Сеггельман допустил ошибку, корректор кода "также не заметил уязвимость, из-за чего она попала в релизную версию". Корректором кода в то время служил Стивен Хенсон. Сегельман отметил, что сама по себе ошибка была "вполне заурядной", однако привела к тяжелым последствиям.

Тем не менее, большое количество пользователей и экспертов не доверяют словам Сегельмана. Большое распространение получила конспирологическая теория, по которой баг был добавлен в протокол намеренно, чтобы позволить спецслужбам контролировать Интернет. После разоблачений Эдварда Сноудена подобные проблемы в безопасности выглядят особенно актуально.

"Это была просто программная ошибка в новой функции, которая, к сожалению, привела к существенной прорехе в безопасности. Она не была преднамеренной, я сам перед этим исправил огромное количество багов в OpenSSL", - оправдывается программист. 

Источник


Главные новости uralsk.info
Только самые важные события. Подпишитесь на ежедневную рассылку.

Укажите адрес электронной почты

Подписаться
0 комментариев
Показать все комментарии (еще -2)