Za zranitelnost Heartbleed může německý programátor. Prý se rozhodně nejednalo o záměr

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 13.4.2014
Hodnocení/Hlasovalo: 1.5/2

Jsou tomu již dva roky, co Dr. Robin Seggelmann napsal kód, o kterém dnes mluví celý Internet. Z neznámého německé programátora se přes noc stala světová hvězda v ne zrovna pozitivním kontextu.

Je to totiž právě doktor Seggelmann, jenž stojí za 2 roky starou implementací „fičury“ zvané Heartbeat. Zranitelnost, o o které jsme vás již informovali, se týká globálně rozšířeného protokolu OpenSSL. Bez nadsázky se jedná o jednu z největších bezpečnostních děr v novodobé historii Internetu.

Její jádro se přitom neschovává v návrhu nějaké supersložité funkce či algoritmu. Seggelmann si prostě v „Céčkovém kódu“ nevšiml, že zapomněl na důležitou validaci. Abych byl přesnější - jednalo se o volání funkce memcpy() z bufferu, který byl příliš krátký. Problému si nevšiml ani jiný programátor, který po něm kód revidoval a celosvětový problém je tu.

Jak řekl: Opravdu to bylo úplně nechtěné, prostě jsem udělal programátorskou hrubku. NSA tvrdí, že o bugu neví déle než veřejnost. Zdroje blízké agentuře však uvádějí pravý opak - tedy že agentura zranitelnost minimálně 2 roky využívá ke sběru informací. Kolik tak fatálně děravých technologií asi existuje?

Bugy byly, jsou a dokud bude programovat člověk, nezbavíme se jich. Podívejte se na související článek na The Guardian s názvem „How to stop the next Heartbleed bug: pay open-source coders to protect us“.