Perché non era stato risolto il problema del heartbleing prima? [chiuso]

-1

Da ciò che ho letto su heartbleed.com

"...Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug."

Quindi cosa ci è voluto così tanto tempo per essere corretto? Ancora più importante, come mai uno dei siti come Yahoo / Github non sapeva della patch prima della pubblicazione di 1.0.1g?

Trovo molto scomodo che OpenSSL lo patch prima, quindi tutti stanno armeggiando per applicare la patch mentre la vulnerabilità viene sfruttata.

    
posta Ranhiru Cooray 10.04.2014 - 04:01
fonte

3 risposte

4

Non puoi correggere il bug finché non lo trovi.

Come la domanda "Chi ha trovato l'insetto Heartbleed?" in heartbleed.com:

Questo bug è stato scoperto in modo indipendente da un team di ingegneri della sicurezza (Riku, Antti e Matti) presso Codenomicon e Neel Mehta di Google Security, che per primi lo hanno segnalato al team OpenSSL. Il team di Codenomicon ha riscontrato un bug insopportabile, migliorando la funzionalità di SafeGuard negli strumenti di test di sicurezza Defensics di Codenomicon e segnalato questo bug al NCSC-FI per il coordinamento delle vulnerabilità e la segnalazione al team di OpenSSL.

Quindi è stato scoperto di recente, anche se il bug esiste da molti anni.

    
risposta data 10.04.2014 - 04:42
fonte
2

Quando si guarda il codice sorgente, può essere molto difficile individuare tutti gli errori.

La fonte è una descrizione di cosa fa il programma, ma non di come. Se uno sviluppatore commette un errore, potrebbe non essere ovvio che lo abbia fatto, o anche che sia un errore, se non influisce sull'apparente funzionalità del programma

Per assicurarti che non ci siano vulnerabilità, il codice deve essere esaminato per i bug. Questo richiede a chi capisce cosa dovrebbe fare il programma (in questo caso implementando un heartbeat TLS) per leggere il codice sorgente ed eseguire test sul programma, che richiede tempo e denaro. Il team di OpenSSL non ha la capacità di cercare tutti i potenziali bug, soprattutto perché è composto da volontari. È per questo motivo che il bug è passato inosservato. È stato solo dopo che un ricercatore di sicurezza su Google ha esaminato OpenSSL che la vulnerabilità è stata scoperta e corretta.

Hai bisogno della capacità di trovare bug per poterli risolvere.

Viene rilasciata una patch, c'è sempre una finestra tra quando la patch viene rilasciata e quando viene applicata dagli utenti. Gli aggressori hanno la possibilità di attaccare gli utenti in quella finestra poiché sono ancora vulnerabili. È lo stesso con tutto il software.

    
risposta data 10.04.2014 - 05:04
fonte
0

Gli exploit e le scappatoie esistono in tutto, dai dispositivi medici ai telefoni, ed è solo una volta che questi dispositivi vengono spinti in produzione e spinti all'estremo che questi buchi vengono scoperti.

Se vuoi andare giù per il percorso matematico è una curva esponenziale in cui si prende un semplice requisito per un prodotto e si aggiunge ad esso. Man mano che si aggiunge più complessità, si introducono maggiori possibilità di buchi e exploit di sicurezza. Il modo più semplice per pensarci non è exploit, bug e altro, ma piuttosto solo operazioni non volute.

Il test per ogni possibile interazione e circostanza è quasi impossibile, quindi un'azienda o un'organizzazione (o addirittura una singola persona) faranno una quantità accettabile di test, ma potrebbero non trovare mai tutti i bug. Questo è vero per più di un semplice software, naturalmente. I richiami del produttore sono un ottimo esempio.

tl; dr

Gli exploit esistono ovunque e non esiste alcuna teoria cospirativa o cattiva chiamata sul motivo per cui non sono stati corretti. A volte ci vuole più tempo per trovare questi problemi in quanto avvengono solo in circostanze specifiche che in genere non possono essere pianificate in anticipo. La nostra unica speranza è che la persona o il gruppo che la trova, la riferisca alle persone giuste.

    
risposta data 10.04.2014 - 04:57
fonte

Leggi altre domande sui tag