Νέα κενά ασφαλείας εμφανίζονται συνεχώς. Υπάρχουν όμως μερικά που χαρακτηρίζονται κρίσιμα. Ένα από αυτά είναι και το λεγόμενο Bug Heartbleed στην βιβλιοθήκη του OpenSSL.
Ενώ το Heartbleed επηρεάζει μόνο το OpenSSL στην έκδοση 1.0.1 και 1.0.2-beta μόνο, η έκδοση 1,01 υπάρχει ήδη παντού. Και από τη στιγμή που η κρυπτογράφηση Secure-Socket Layer (SSL) και Transport Layer Security (TLS) βρίσκονται στο επίκεντρο της ασφάλειας στο Διαδίκτυο, αυτό το κενό ασφαλείας μπορεί να χαρακτηριστεί εξαιρετικά κρίσιμο.
Το ελάττωμα μπορεί δυνητικά να χρησιμοποιηθεί για να αποκαλύψει όχι μόνο το περιεχόμενο ενός κρυπτογραφημένου μηνύματος, όπως μια συναλλαγή με πιστωτική κάρτα μέσω HTTPS, αλλά και τα ίδια τα πρωτοβάθμια και δευτεροβάθμια κλειδιά της SSL. Τα δεδομένα αυτά θα μπορούσαν στη συνέχεια, θεωρητικά, να χρησιμοποιηθούν σαν αντικλείδια και να παρακάμψουν ασφαλείς διακομιστές χωρίς να αφήνουν κανένα ίχνος παραβίασης της ιστοσελίδας.
Αυτό το σφάλμα δεν είναι ένα πρόβλημα από τον εγγενή σχεδιασμό του ΟpenSSL. Είναι ένα πρόβλημα εφαρμογής. Θα μπορούσαμε να πούμε ότι είναι αποτέλεσμα ενός λάθος προγραμματισμού. Υπάρχει ήδη μια αποτύπωση του σφάλματος του 1,01 OpenSSL, και οι προγραμματιστές συνεχίζουν για να διορθώσουν την έκδοση 1.02 beta.
Η CloudFlare, μια εταιρεία ασφάλειας στο διαδίκτυο, αποκάλυψε τις λεπτομέρειες σε μια δημοσίευση στο blog της. Η δημοσίευση περιγράφει το κενό ασφάλειας και ότι έχουν καθορίσει το σφάλμα. Φαίνονται να έχουν χρησιμοποιήσει τις μεθόδους που περιγράφονται από την ΟpenSSL. Δυστυχώς, για όλους τους άλλους, η μέθοδος δεν ήταν έτοιμη για ευρεία ανάπτυξη.
Σύμφωνα με έναν ανώτερο τεχνικό ασφάλειας από μια μεγάλη εταιρεία του λειτουργικού συστήματος, “Το κύριο πρόβλημα με αυτό που έκανε η CloudFlare ήταν ότι έδωσε δική της λύση πριν κυκλοφορήσει κάποιο patch για το κοινό. Δεν ανοίγουμε μια πόρτα και δεν κουνάμε μια κόκκινη σημαία πριν κυκλοφορήσουν τα patches που διορθώνουν το πρόβλημα.”
Αυτή τη στιγμή, οι προγραμματιστές των Red Hat, Debian, SuSE, Canonical και της Oracle, εργάζονται με πυρετωδώς για την ανάπτυξη των patched εκδόσεων του ΟpenSSL. Είναι αναμενόμενο ότι μπορεί να χρειαστούν περίπου 12 ώρες για να τα ετοιμάσουν. Μείνετε συντονισμένοι, αν χρησιμοποιείτε ΟpenSSL 1.01 ή 1.02 γιατί θα πρέπει να εγκαταστήσετε την ενημερωμένη έκδοση, μόλις κυκλοφορήσει.
