Heartbleed soul-zoeken: verordening wordt voorgesteld voor kritische crypto code

Was OpenSSL’s memory management-code een ramp staat te gebeuren? Terwijl heartbleed wordt toegeschreven aan buggy broncode dat was, kort op 31 december 2011 voor middernacht ingediend, een tijd niet geassocieerd met gezond verstand, zijn er diepere problemen.

Zoals opgemerkt door Theo de Raadt, oprichter en leider van de OpenBSD en OpenSSH projecten, in een post op dinsdag, is OpenSSL niet de standaard memory management-code van het besturingssysteem waarop het draait geleverd gebruiken – de functie oproepen bekend voor Unix en Linux-ontwikkelaars, malloc () en gratis (), toe te wijzen respectievelijk geheugen vrij te maken.

OpenSSL rolt zijn eigen geheugen management systeem.

Definitie van niet geweldig, “zei James Lyne, Global Head van veiligheidsonderzoek met Sophos. Had OpenSSL zijn met behulp van de door het systeem voorzien memory management, de kans dat een blootstelling geheugen bug als heartbleed private encryptiesleutels zou onthullen zou zijn” belachelijk lager “, hij zei.

Malware onderzoeker Jake Williams principal consultant bij CSRgroup Computer Security Consultants, overeengekomen. “Had de ontwikkelaars niet te rollen hun eigen geheugen toegewezen regeling, is het zeer waarschijnlijk dat in sommige gevallen kan dit een soort van [algemene bescherming fout of segmentation fault] hebben veroorzaakt. Het kan eigenlijk een denial of service bug in veel gevallen geweest, of het zeker nog veel meer zou zijn geweest het geluk van de loting [als] trekken private sleutels of privégegevens. ”

De twee onderzoekers spraken op het, in de derde heartbleed briefing voor de SANS Institute’s Internet Storm Center (ISC), gehouden op vrijdagochtend Australische tijd (donderdagmiddag Amerikaanse tijd). Lyne stapte terug uit de onmiddellijke problemen van het aanpakken van de bug na te denken over waarom dit is gebeurd in de eerste plaats.

Als je daadwerkelijk te gaan en kijken naar deze bug … dit in vergelijking met de meerderheid van de exploits die we moeten gaan graven voor vandaag, met alle prachtige beperkende factoren die er in moderne besturingssystemen, het is echt gemakkelijk te vinden, en echt dom. Dit mag niet gebeuren.

Dit lijkt fundamenteel mis is, op dit punt van het gebruik van deze software, die wij moeten in een positie waar dit soort dingen kunnen gebeuren.

Lyne zei dat hij erkende dat veiligheid nooit 100 procent, en dat alle projecten bugs, maar gezien het belang en het wijdverbreide gebruik van OpenSSL, was het mogelijk om het te beschouwen als een voorbeeld van “kritieke infrastructuur”.

“Ik bedoel dit spul zou moeten zijn dat serieus heeft genomen – zelfs geregeld – gezien de ernstige rol die het speelt in het internet,” zei hij.

En ik denk dat veel van het komt terug naar deze perceptie van de technologie. We hebben allemaal laten glijden in ongelooflijk wijdverbreide gebruik – uitgestrekte en uit te breiden naar al die verschillende plaatsen – met de perceptie dat het is open source, dus als een black box, het is veilig omdat andere mensen zijn op zoek na het voor mij.

Het is van de andere mensen probleem.

Veel mensen vertrouwen open source, alleen op basis dat zij verwachten dat andere mensen hebben gekeken naar de code, Lyne gezegd, maar wees op het gebrek aan financiering voor OpenSSL als een probleem is met een beroep op het project.

We zijn allemaal afhankelijk van dit echt, echt zwaar, in de verwachting dat ze een groot werk te doen, en toch eigenlijk zijn ze wanhopig ondergefinancierd.

Ik wil niet zeggen dat open source is slecht. Ik ben een grote voorstander van het initiatief, en wat het voor de kwaliteit van de software kan doen.

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond

Maar veel mensen vertrouwen in open source zo veilig omdat anderen zijn op zoek, maar in werkelijkheid dit team heeft een gerapporteerde budget voor al hun werk van minder dan een miljoen dollar, en in de loop van deze week – dat je zou denken dat zou doen zijn een vrij belangrijke week voor hen – ze hebben $ 841 donaties ontvangen. En dat is triest.

Er is een sectie op de site hier die zegt, als je meer dan denk ik geef, is het $ 20.000, zullen we uw logo op onze homepage. Er zijn geen logo’s. Niemand is het geven van deze jongens geld.

Lyne zei dat wanneer hij komt over zichzelf gerold cryptografische code, is het “zo ongelooflijk verschrikkelijk dat mijn ziel doet pijn een beetje elke keer als ik naar kijken”.

Er was een groot citaat van vandaag, zei iemand: ‘Crypto mensen moeten niet worden toegestaan ​​om software te schrijven.’ En iemand antwoordde heerlijk met ‘Software engineers mag niet worden toegestaan ​​om crypto te schrijven.’ Jullie moeten met elkaar praten.

Gegeven deze context, Lyne zou ongetwijfeld overwegen de weergave Raadt’s, “OpenSSL wordt niet ontwikkeld door een verantwoordelijke team,” overdreven hard. Maar beide zijn het erover eens dat er iets gedaan moet worden.

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond