Το Heartbleed bug κυκλοφόρησε συνοδευόμενο με ένα αξέχαστο όνομα και ένα χαριτωμένο λογότυπο, που προωθήθηκαν από την εταιρεία που το εντόπισε για πρώτη φορά.
Το ελάττωμα προκλήθηκε από ένα απλό σφάλμα κωδικοποίησης και διευκόλυνε μαζικές διαρροές κωδικών πρόσβασης και διαπιστευτηρίων ασφαλείας, από πάρα πολλές ιστοσελίδες που χρησιμοποιούσαν “ασφαλείς” συνδέσεις SSL.
“Πιστεύω ότι το όνομα, το λογότυπο και η ιστοσελίδα βοήθησαν στο να τροφοδοτηθεί περισσότερο το ενδιαφέρον της κοινότητας” αναφέρει ο David Chartier, Διευθύνων Σύμβουλος της Codenomicon, η εταιρεία δοκιμών ασφαλείας που βρήκε το bug στις 3 Απριλίου.
“Η κοινότητα της πληροφορικής και του Τύπου έγιναν σημαντικοί παράγοντες για την διάδοση της πληροφορίας, και πάρα πολλές ιστοσελίδες που επηρεαζόταν έχουν καθορίσει, ήδη το πρόβλημα” πρόσθεσε ο Chartier.
“Έγινε εξαιρετικά γρήγορα, και νομίζω ότι οφείλεται στο γεγονός ότι το bug είχε ένα όνομα, ένα πιασάρικο λογότυπο που οι άνθρωποι θυμούνται, κάτι που βοήθησε πραγματικά την ταχύτητα με την οποία ο κόσμος απέκτησε επίγνωση του γεγονότος.”
“Το λογότυπο Heartbleed είναι πιθανώς ένα από τα υψηλότερα ROI [απόδοση επένδυσης] (αν σκεφτεί κανείς ότι δαπανήθηκαν 200 δολάρια) στην ιστορία της ασφάλειας λογισμικού”, γράφει ο Patrick McKenzie, ιδρυτής της Kalzumeus Software και μεταδίδει η Guardian.
“Γιατί να ξοδέψετε επιπλέον χρήματα για ένα λογότυπο; Επειδή δείχνει επαγγελματισμό και ειδική προσπάθεια, γιατί θα αξιοποιηθεί πλήρως από τα media στην κάλυψη της ευπάθειας, επειδή εμβαθύνει περαιτέρω με τη σύνδεση ενός εμπορικού σήματος της ευπάθειας, το όνομα, το λογότυπο, και τη κανονική παρουσία στο διαδίκτυο, και επειδή δείχνει επίσης τον κίνδυνο.”
“Βρήκαμε το bug στις 3 Απριλίου, και το αναφέραμε στη φινλανδική CERT την Παρασκευή 4”, δηλώνει ο Chartier. “Τη Δευτέρα CERT Φινλανδία ανέφερε το bug στην OpenSSL, και στις 7 Απριλίου η OpenSSL δημοσίευσε το συμβουλευτικό δελτίο και κυκλοφόρησε τη διόρθωση της ευπάθειας. Αμέσως μετά, αναπτύξαμε την ιστοσελίδα.”
Η Codenomicon ανακάλυψε το ελάττωμα, όταν εξέταζε το δικό της λογισμικό. Η εταιρεία κάνει τα προγράμματα που επιτρέπουν στους προγραμματιστές να ανιχνεύουν αυτόματα διαρροές της ασφάλειας, με ένα μοντέλο που είναι γνωστό ως “fuzz testing.” Όταν εφάρμοσαν το τεστ στην ιστοσελίδα τους, ανακάλυψαν το Heartbleed, και πολύ γρήγορα συνειδητοποίησαν ότι “ήταν πολύ σημαντικό.”
