Heartbleed:オープンソースの最悪の時

オープンソースソフトウェアの最大の失敗でした。単純なOpenSSLのプログラミングミスは、何億ものWebサイトに影響を及ぼしたプログラムにセキュリティホールをもたらしました。神だけでは、基本的なセキュリティのためにそれに頼ったユーザーの数が分かりました。

私たちは何が起こったのか知っているプログラミングの失敗は、攻撃者が64Kの「安全な」サーバーメモリを引き下げることを可能にしました。もちろん、ハッカーは、社会保障番号、クレジットカード番号、および名前のために捕獲されたこの記憶に目を通す必要がありますが、それは簡単です。

私たちはそれがどうなったかを知っています。ドイツのプログラマDr. Robin Seggelmannは新しい “機能”を追加し、長さを含む変数を検証するのを忘れてしまった。 Seggelmann氏によれば、コードレビュー担当者のStephen Henson博士は、「明らかに不足している検証に気づいていないようだ」とSeggelmann氏は言う。そして、約2年間、欠陥のあるコードは、世界のほぼすべてのインターネットユーザーによって、一度に使用されます。

申し訳ありませんが、世界を脅かす国家安全保障局(NSA)の計画はありませんでした。巨大な潜在的な結果を伴う些細な間違いでした。

それでなぜこれが起こったのですか?シンプル – 誰もが間違いを犯す。 1000行のコード(KLOC)あたりのエラー数の見積もりは、コードが厳密にチェックされ、テストされている場合は、KLOCあたり15〜50のエラーの範囲が3になります。 OpenSSLには約30万のLOCがあります。それについて考える。

それでも、オープンソースのプログラミング方法論は、この種のものを捕まえることになっています。基本的なオープンソースの原則であるプログラムに多くの眼球を当てることによって、より多くの誤りが捕らえられると考えられています。それはここでは機能しませんでした。

このような間違いは、初心者の大失敗ではないが、AppleのGOTOの失敗は、開発者が疲れた場合に起こりうる単純な間違いのようなものであり、言語を熟知している人は誰でも見つけたはずである。

なぜ彼らはどうでしたか?なぜなら、OpenSSLは充足されておらず、十分なプログラマーがいないからですか?

それは、FreeBSDの大手セキュリティー開発者であるPoul-Henning Kampが「OpenSSL … sucks。だからこそ、コードが混乱し、ドキュメントが誤解を招き、デフォルトが誤っているからです。あなたが想像することができるほぼすべてのソフトウェア工学の病気から。

それは、専有のソフトウェアがエラーを探すためにより多くの有料眼球を持っているからですか?私はその考えのために2つの言葉を持っています: “火曜日のパッチ。

では、なぜこれは本当に長い間、捕らえられていないのですか?なぜ、Google、Facebook、Yahoo、さらにはNSAは、このような大きなセキュリティホールを見つけられなかったのですか?

私は理由を知っていると思うし、私はそれを「魔法的思考」という1つのフレーズでまとめることができます。私たちは、オープンソースのコードがより安全なことができるため、より安全なものになると考えています。違う!

OpenSSLは完全に安全でなければならないと誰もが思っていました。なぜなら、OpenSSLは安全であるという評判を持っているから安全です。開発者、ウェブサイト開発者、セキュリティ専門家など、実際に安全であるかどうかを確かめるためにコードをチェックするために、成功したオープンソースが頼っているアイボールを実際に使用することは誰も考えていないようです。

私たちはばかだ。

私たちは、OpenSSLはオープンソースであるため、誰もが実際にオープンソースの方法論を使ってコードが正しいことを確認していたからです。実際には、何年も前の最初の承認後も、コードが正当で安全であるかどうかをチェックするのに苦労しました。

Star Trek:50年にわたる積極的な未来主義と大胆な社会的解説、MicrosoftのSurfaceオールインワンPCが10月のハードウェアの発売を見出し、iPhone 7、新しいApple Watch、AirPodを手がけ、GoogleはApigeeを6億2,500万ドルで買収

Heartsedの脆弱性に関する事前の知識を否定してNSAが足で撃ったのはどういうことか心配しましたか? LastPassのセキュリティチェックはあなたに適用されました; Heartbleedの余震で自分を守る方法

オープンソースの方法は、正しく使用されたときと同じくらい良い状態を保ちます。そうでないときは、私たちが単純にすべてのtが交差していると仮定すると、私は点がついてしまいます。そして、私たちは信じてテストしません。

 ストーリー

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン