Programer koji je ''krivac'' za Heartbleed bag odbacio tvrdnje da je greška bila namerna

Vesti, 11.04.2014, 10:20 AM

Programer koji je ''krivac'' za Heartbleed bag odbacio tvrdnje da je greška bila namerna

Dok se svet pripremao da proslavi ulazak u novu godinu, 31. decembra 2011. nemački programer Robin Zegelman pisao je kod koji će dve godine kasnije biti nazvan najvećom katastrofom u skorijoj istoriji interneta.

Heartbleed bag u OpenSSL koji je ugrozio dve trećine celokupne internet komunikacije predat je u 22:59, 31. decembra 2011. godine. Naizgled beznačajna greška koju je napravio Zegelman ostala je neotkrivena više od dve godine.

“Radio sam na poboljšanju OpenSSL i podneo brojne ispravke za bagove i dodao nove mogućnosti”, kaže Zegelman za Sidnej Morning Herald, dodajući da je jedna od njih imala propust.

Čoveku koji je pregledao Zegelmanov kod, doktoru Stivenu Henson, takođe je promakla greška.

Sada kada je otkrivena Zegelmanova greška pojavile su se spekulacije da greška možda nije bila slučajna. Otkrića Edvarda Snoudena o masovnom nadzoru nad interetom koji sprovodi američka Nacionalna bezbednosna agencija (NSA) navela su pojedince da se zapitaju da li je Zegelman možda sa namerom postavio backdoor.

Zegelman je odbacio ovakve spekulacije i rekao da bi svoju grešku mogao objasniti veoma lako. Ipak, on je dodao da razume zbog čega je za mnoge “primamljivo” da njegovu grešku vide kao namernu. On je Heartbleed nazvao jednostavnom, ali potpuno nenamernom greškom u programiranju, priznajući da je apsolutno moguće da su obaveštajne agencije kao što je NSA iskorišćavale bag.

“Postoji mogućnost, a uvek je bolje pretpostavljati najgore nego najbolje kada je bezbednost u pitanju”, kaže Zegelman, ponavljajući da on nije znao za bag dok nije otkriven, kao i da nije povezan sa bilo kojom obaveštajnom agencijom.

Godinu dana pošto je napravio grešku, Zegelman je dovršio svoju doktorsku tezu “Strategije za obezbeđivanje end-to-end komunikacije” na Univerzitetu Duizburg-Esen.

OpenSSL tim, kome pripadaju i Zegelman i Henson, je mali a oni koji rade u njemu rade volonterski uprkos činjenici da održavaju nešto tako važno kao što je OpenSSL. Osim ovog incidenta, OpenSSL tim ima dobru reputaciju kada je reč o bezbednosti.

OpenSSL je open-source, što znači da svako može da pogleda njegov kod. U teoriji, to znači i da bi svako mogao da vidi i greške u njemu. Svako može dati doprinos OpenSSL, bilo kodom ili traženjem ranjivosti, ali u realnosti mali broj ljudi to zaista i radi. Svega 13 programera je u OpenSSL timu.

“Bilo bi bolje kada bi više ljudi pomoglo poboljšanju OpenSSL”, kaže Zegelman koji smatra da to mogu raditi kompanije koje će imati korist od nekog vida podrške ili ljudi koji će to raditi u slobodno vreme. “Međutim, ako ga svi samo koriste i misle da će se neko drugi na kraju pobrinuti za to, to neće funkcionisati”, zaključuje Zegelman.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Policija ponovo zatvorila zloglasni hakerski sajt BreachForums

Policija ponovo zatvorila zloglasni hakerski sajt BreachForums

Policija je po drugi put za godinu dana preuzela kontolu nad zloglasnom platformom BreachForums, koja je poznata pre svega po prodaji ukradenih podata... Dalje

Zbog mogućih prevara Apple uklonio stotine hiljada naloga programera i korisničkih naloga iz AppStorea

Zbog mogućih prevara Apple uklonio stotine hiljada naloga programera i korisničkih naloga  iz AppStorea

Apple je objavio da je u periodu između 2020. i 2023. godine blokirao ukupno 7 milijardi dolara potencijalno lažnih transakcija, kao i lažne recenz... Dalje

Android i iOS će vas upozoravati na Bluetooth uređaje za praćenje

Android i iOS će vas upozoravati na Bluetooth uređaje za praćenje

Apple i Google uvode nove funkcije koje će upozoravati korisnike iOS-a i Androida na Bluetooth uređaje za praćenje. „Ovo će pomoći da se ... Dalje

Hakovan Europol, napadači prodaju podatke ukradene tokom napada

Hakovan Europol, napadači prodaju podatke ukradene tokom napada

Poznata hakerska grupa prodaje nešto za šta tvrde da su veoma osetljivi interni podaci koji su ukradeni početkom ovog meseca od Europola. Grupa &bd... Dalje

Dell objavio da su hakeri ukrali podatke 49 miliona kupaca

Dell objavio da su hakeri ukrali podatke 49 miliona kupaca

Dell je upozorio da su hakeri ukrali informacije o oko 49 miliona kupaca. Kompanija je na email adrese kupaca počela da šalje obaveštenja o komprom... Dalje