АНАЛИЗ НОВОСТЕЙ: самая значительная неприятность безопасности десятилетия была упакована и выпущена под брендом, но большое количество поставщиков услуг и администраторов сервера оставили в темноте.Уязвимость шифрования Heartbleed есть, быть может, самым важным недостатком Защиты в Интернете в недавней памяти, воздействуя на много миллионов людей. Недостаток Heartbleed отыскан в OpenSSL, криптографической библиотеке с открытым исходным кодом, пользовавшейся для Уровня защищенных сокетов (SSL), что обширно развертывается на серверах Linux и интернет-инфраструктуре во всем мире.
Что, быть может, не, как узнаваемый в цирке носителей, окружающем проблему Heartbleed, то, как эта критическая неприятность безопасности была упакована и выпущена под брендом со дня один. К сожалению, это – кроме этого недостаток, что стал жертвой поврежденного процесса раскрытия, что лишь служил для добавления беспокойства и дальнейшего топлива к угрозе безопасности.7 апреля начальная консультация OpenSSL была сперва выпущена, что не относился к недостатку как «Heartbleed», а скорее как недостаток «Сердцебиения» в OpenSSL. Сердцебиение относится к технической контрольной функции, которую функция снабжает в OpenSSL.
Имя Heartbleed, и прекрасно созданный логотип, что был опять использован в бесчисленных сообщениях средств массовой информации, есть созданием исследовательской компании безопасности Codenomicon. Вместе с исследователями в области безопасности Гугл Codenomicon берет кредит на начальное открытие недостатка Heartbleed.Значок Heartbleed создавался внутренний разработчиком Codenomicon Хоуп Франк, директором по маркетингу компании, сообщил eWEEK. Codenomicon кроме этого зарегистрировал домен heartbleed.com on April 5, что являлся ключевым ресурсом для распространения информации о проблеме безопасности.
«Отечественное намерение ни при каких обстоятельствах не было в том, чтобы воображать на рынке, [но] скорее информировать, научить и рекомендовать», сообщил Франк. «Это – то, из-за чего мы решили послать отечественное внутреннее содержание Heartbleed и создали Сайт. Домен, выяснилось, был дешёв».Коденомикон желал применять его результаты для обучения тех, кто запросил данные, скоро откровенную, сообщил, добавив, что информация была размещена по окончании того, как OpenSSL.org нашёл недостаток.Процесс раскрытия
Целый процесс раскрытия сзади недостатка Heartbleed есть кроме этого предметом интереса и большого исследования. В большинстве случаев, в сценарии раскрытия безопасности с открытым исходным кодом, существует некая форма соглашения о неразглашении базируемая информация (NDA), которая выпущена в закрытом перечне сообщества безопасности поставщика.
Неспециализированное представление пребывает в том, что, сотрудничая, у услуг и многократных поставщиков смогут все быть патчи, готовые пойти, в то время, когда общедоступная консультация сделана.Это не случилось с Heartbleed.Гугл и поставщик безопасности облака, которым CloudFlare были среди небольшой группы, которая так или иначе взяла ранний доступ к недостатку и смогла быть исправленной 7 апреля до общедоступной консультации от OpenSSL.Мэтью Принс CloudFlare CEO сообщил eWEEK, что его компания была практически уведомлена в начале прошедшей семь дней исследователями, вовлеченными в обнаружение неточности.
веб и Другие поставщики-сервисы, включая поставщиков «облачных» ответов, но, разумеется не взяли то же сообщение. DigitalOcean поставщика облачных сервисов среди тех, что покинули, борясь 7 апреля для исправления серверов.«В каком мы вычисляли бы одну из нехороших уязвимостей, которая была найдена в современном Интернете, я ощущал себя подобно методу, которым было обработано целое раскрытие, было полностью зверским», сообщил Джон Эдгар, основной технологический евангелист в DigitalOcean, eWEEK.Не обращая внимания на то, что тяжело иметь дело с чувствительными сведениями безопасности, больше упрочнения и более широкого распространения, быть может, были сделаны включать и обезопасисть интернет-сервисы, сообщил Эдгар.
«С моей точки зрения вправду такое чувство, что эта финская компания безопасности [Codenomicon] игралась Heartbleed как маркетинг и игру PR от имени безопасности», сообщил Эдгар. «Это – позор и возможно призовет вторых людей делать то же».Codenomicon имеет разное вывод о том, как процесс раскрытия был обработан. Ари Тэкэнен, директор по изучениям в Codenomicon, сообщил eWEEK, что его команда отыскала неточность Heartbleed при улучшении функции SafeGuard в инструментах тестирования безопасности Коденомикона Defensics. Функция SafeGuard инструментов тестирования безопасности Коденомикона Defensics машинально тестирует целевую совокупность на не сильный места, каковые ставят под угрозу целостность, конфиденциальность либо безопасность, сообщил он.
Когда Коденомикон нашёл неточность Heartbleed, о ней сказали Национальному Центру Кибербезопасности в Финляндии (NCSC-FI) для координации уязвимости и информирующий команде OpenSSL.«В течение часов по окончании открытия мы связались с NCSC-FI для обработки координации уязвимости», сообщил Тэкэнен. «Мы записали ответы и Вопросы для помощи координации уязвимости в то время, когда обращающийся к поставщикам и поставщикам одолжений; намного стремительнее, чем ожидаемый, другие взяли огласку с неточностью, и мы ощущали, что ответы и Вопросы имели возможность оказать помощь общественности кроме этого».Эдгар DigitalOcean подчернул, что осознаёт, что не вероятно вынудить целый Интернет под NDA информировать всем сторонам заблаговременно о проблемах безопасности.
Но Эдгар заявил, что ощущал себя вправду не хорошо для всех администраторов сервера в поставщиках и поставщиках одолжений, включая его Amazon соперника AWS, что должен был скоро бороться для решения проблемы Heartbleed.«Я не хорошо себя ощущаю для всех, каковые должны были бороться [делают исправления] по окончании того, как консультация вышла, и в этом сущность, нас нельзя оставить, борясь в обстановках как это; это было несправедливо и вправду не хорошо обработано», сообщил Эдгар.
Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.