211service.com
Var lurar nästa Heartbleed Bug?
Efter att ha orsakat utbredd panik och byte av lösenord har Heartbleed-buggen i stort sett försvunnit från nyheterna. Men konsekvenserna av upptäckten diskuteras fortfarande inom datorindustrin. Det största bekymret för säkerhetsexperter är hur man kan förebygga andra brister som lurar i Internets grunder.
Heartbleed-felet upptäcktes tidigare denna månad i en mjukvara som heter OpenSSL som används i stor utsträckning för att upprätta en säker anslutning mellan webbläsare och servrar genom att hantera de involverade kryptografiska nycklarna. OpenSSL är ett projekt med öppen källkod, vilket innebär att den underliggande koden publiceras tillsammans med programvaran. Liksom många andra insatser med öppen källkod underhålls den av en liten grupp frivilliga programmerare (se The Underfunded Project Keeping the Web Secure ).
Problemet erkänns av stora mjukvaruföretag som förlitar sig på insatser som OpenSSL. Förra veckan, den Linux Foundation , som ger stöd för det populära operativsystemet Linux, lanserade ett försök som heter Core Infrastructure Initiative för att stödja små open source-projekt. Företag inklusive Google, Amazon, Facebook, IBM, Intel, Cisco och Dell har hittills åtagit sig mer än 3 miljoner dollar till insatsen. En styrgrupp kommer att försöka identifiera de projekt med öppen källkod som mest behöver ekonomiskt stöd.
Problemet med öppen källkod är att du har 'free rider'-problemet, säger Chris Wysopal, en välkänd datasäkerhetsexpert och teknisk chef och medgrundare av Vera kod , ett företag för applikationssäkerhetsbedömning. Människor och företag som använder det, och får ut enormt värde av det, ger inte mycket pengar för att hålla det igång.
Till och med tre veckor efter att felet upptäcktes, uppdaterar vissa eftersläpande företag fortfarande servrar, installerar nya kryptografiska certifikat och uppmanar användare att återställa sina lösenord. Mer oroande för experter som Wysopal är att andra grundläggande komponenter på Internet, som OpenSSL, är små open-source-projekt. Och det kan vara svårt att säga vilka som saknar de resurser som behövs för att noggrant kontrollera sin kod för säkerhetsbrister.
Innan Heartbleed-felet upptäcktes var det få som hade hört talas om OpenSSL eller de 11 utvecklare som donerar mycket av sin tid till projektet. De OpenSSL Software Foundation , som hanterar den kommersiella entreprenaden för organisationen, anställer bara en enda heltidsutvecklare. Det fick totalt 2 000 USD i donationer förra året, och det har aldrig tagit in mer än 1 miljon USD i intäkter för sina konsult- och supporttjänster.
Det bör finnas minst ett halvdussin heltidsanställda OpenSSL-teammedlemmar, inte bara en, som kan koncentrera sig på skötseln och utfodringen av OpenSSL utan att behöva stressa kommersiellt arbete, skrev Steve Marquess, den officiella insamlingen och affärskontakten för OpenSSL Software. Fundament, i ett blogginlägg kort efter att Heartbleed avslöjades. Om du är en företags- eller statlig beslutsfattare i en position att göra något åt det, fundera över det. Snälla du.
Marc Maiffret, teknisk chef på Bortom tillit , ett säkerhetsprogramvaruföretag, säger att andra projekt med öppen källkod står inför ett liknande problem. Människor antar att bara för att något är öppen källkod finns det denna magiska ansträngning som fortsätter att hitta buggar och göra det säkert. Men det börjar vanligtvis med ett par personer, kanske blir det populärt och slutar sedan ... med ett par personer.
Wysopal från Veracode säger att nyckelproblemet är att det inte finns något sätt att bedöma betydelsen av olika delar av internetinfrastruktur: Om någon ville göra omfattande attacker på många webbplatser, vilka komponenter används ofta och på framsidan av attackytan?
Utmaningen att förutsäga var stora sårbarheter kan dyka upp förvärras av det faktum att internetprogrammerare i allt högre grad bygger sin kod med en rad olika verktyg. I en rapport släpptes förra året, fann ett företag som heter Aspect Security att 26 procent av biblioteken som laddades ner för användning i applikationer hade kända sårbarheter. Problemet är att det finns så många komponenter som mjukvarustacken beror på, säger Jeff Williams, medgrundare och CTO för Aspect. Internet är en höstack full av nålar.