Juni 2014
Volume 29 Number 06
Anmerkung des Herausgebers - Bleeding Heart
Michael Desmond | Juni 2014
Die Heartbleed-Schwachstelle in der OpenSSL-Implementierung hat als vielleicht die größte Sicherheitslücke Code beklagt wurde, die das Internet je gesehen hat.Der Fehler möglicherweise sicheren Verbindungen mit OpenSSL erstellt ein offenes Buch dritten gemacht.Und wie so viele Software-Katastrophen, war es das Ergebnis einfach taktlos.
Heartbeat Erweiterungsfunktion über OpenSSL wurde im Jahr 2011 mit einem Parameter implementiert, die Kunden an die Größe des Pakets vom Server als Reaktion auf eine Heartbeat-Request-Nachricht gesendet werden aktiviert.Aber die Funktion nicht für die tatsächliche Größe der definierten Nutzlast Konto.Ein Client kann eine größere Request-Message als die Nutzlast benötigt anfordern.Und aufgrund der Interaktion von OpenSSL Speicher reserviert, könnte die zurückgegebene Nachricht enthalten, die Nutzlast und welcher Inhalt zur Zeit aktuell in der Speicher-Puffer reserviert wurden.
Das Ergebnis war eine Art umgekehrter Pufferüberlauf, wo die Speicher, die nicht da sein sollte übertragen bekam — unverschlüsselte — an den Client zurück.Und oft, dass überschüssige Speicherplatz die privaten Schlüssel für angeschlossenen Websites enthalten.
Das ist taktlos Homer Simpson-Ebene, und zwei Jahre lang niemand bemerkt die klaffende Loch links in vermeintlich sichere Verbindungen in OpenSSL.Alex Papadimoulis, Gründer der Beratung Inedo und Schöpfer der beliebten Software Blog The Daily WTF (thedailywtf.com), hat jahrelang die traurigen, frustrierenden und manchmal lustigen Geschichten der Softwareentwicklung schief dokumentierte.Heartbleed gegenüber er eine nationale Kette von Banken zu vergessen, die Gewölbe in der Nacht zu sperren...für einen Monat.
"Es braucht ein ganz neues Niveau über Bad überraschen mich nicht mehr, sondern dass genau was Heartbleed geliefert hat," sagte Papadimoulis mir in einem E-mail-Interview."Es war Ihre typischen WTF nicht, insofern es schlechter Code erstellt von einem ahnungslosen Coder war.Es war mehr die perfekte Abbildung der Compoundierung Konsequenzen aus einen einfachen Fehler."
Der Heartbleed-Fehler dient als eine dringende und ernüchternd-Erinnerung, dass die Geschichte der Software-Entwicklung mit Bonehead Fehlern durchsetzt ist.Ich bin versucht, eine Skala für erstaunlich vermeidbare Softwareschwachstellen, mit dem obersten Bereich festgelegt auf Mars Climate Orbiter (MCO) festgelegt.MCO war eine halbe Milliarde Dollar-oder-so einen erweiterten Satelliten in der Umlaufbahn des Mars zu setzen.Er scheiterte.
Das $328 Millionen-Handwerk in der Mars-Atmosphäre verbrannt, da die NASA-Raumsonde-Team in Colorado und die Mission-Navigation-Team in Kalifornien verwendet verschiedene Maßeinheiten (ein Englisch, die andere Metrik) zur Berechnung von Schub und Kraft.Weltraumforschung möglicherweise kein Spiel von Zoll, aber es ist ein Spiel von Newton-Sekunden und ein verblüffend einfach-Konflikt die Mission zum Scheitern verurteilt.
Wo könnte auf der MCO-Skala Heartbleed fallen?Irgendwo um 0,85 MCOs glaube ich.Die MCO Fehler Kosten halbe Milliarde Dollar und verweigert uns ein Jahrzehnt der unbezahlbar, wissenschaftliche Erforschung, aber die tatsächlichen Kosten der Heartbleed können nie vollständig offen gelegt oder realisiert.Während schnelle Maßnahmen wahrscheinlich katastrophalen Schaden verhindert, wissen wir, dass die Canada Revenue Agency der Diebstahl wichtiger Daten für einige 900 Steuerzahler gemeldet.Und ich habe wenig Zweifel, die zusätzliche Angaben in Vorbereitung sein werden.
"Das Ausmaß dieser Sicherheitslücke macht es so bemerkenswert, aber diese Art von Fehler ist unvermeidbar," Papadimoulis sagt."Das beste, was, das wir tun können, ist, machen unsere Anwendungen und Systeme leicht zu pflegen und bereitzustellen, sodass entdeckte Fehler wie diese können sie ohne Problem gepatcht werden."
Es ist ein guter Rat.Solange Menschen Software zu erstellen, müssen Software Fehler.Also am besten Adresse bereit sein, diejenigen Mängel Wenn sie entstehen.Wo glaubst du Heartbleed sitzt in den Annalen der verpfuschten Softwareentwicklung?Mailen Sie mir an mmeditor@microsoft.com.
Michael Desmond ist Chefredakteur der MSDN Magazine.