Autor: Batou | 13.4.2014 |
Je to totiž právě doktor Seggelmann, jenž stojí za 2 roky starou implementací „fičury“ zvané Heartbeat. Zranitelnost, o o které jsme vás již informovali, se týká globálně rozšířeného protokolu OpenSSL. Bez nadsázky se jedná o jednu z největších bezpečnostních děr v novodobé historii Internetu.
Její jádro se přitom neschovává v návrhu nějaké supersložité funkce či algoritmu. Seggelmann si prostě v „Céčkovém kódu“ nevšiml, že zapomněl na důležitou validaci. Abych byl přesnější - jednalo se o volání funkce memcpy() z bufferu, který byl příliš krátký. Problému si nevšiml ani jiný programátor, který po něm kód revidoval a celosvětový problém je tu.
Jak řekl: Opravdu to bylo úplně nechtěné, prostě jsem udělal programátorskou hrubku.
NSA tvrdí, že o bugu neví déle než veřejnost. Zdroje blízké agentuře však uvádějí pravý opak - tedy že agentura zranitelnost minimálně 2 roky využívá ke sběru informací. Kolik tak fatálně děravých technologií asi existuje?
Bugy byly, jsou a dokud bude programovat člověk, nezbavíme se jich. Podívejte se na související článek na The Guardian s názvem „How to stop the next Heartbleed bug: pay open-source coders to protect us“.