Megszólalt az OpenSSL hibájáért felelős programozó

Mostanra már világos, hogy az OpenSSL hibáját az utóbbi évek legnagyobb biztonsági botrányának tekinthetjük – a neves biztonsági szakértő, Bruce Schneier blogjában két napja „katasztrofálisnak” minősítette a sebezhetőséget, mely egy tízes skálán, ahol a 10-es a legsúlyosabb hiba, a 11-es értékelést érdemli. És a helyzet még rosszabb, mint kezdetben gondolták – a hwsw.hu mai összefoglalója rámutat arra, hogy a hálózati eszközök egy része, illetve bizonyos mértékig az Android is érintett.

Hirdetés

A megfigyelési botrány után természetesen megindultak a találgatások is, hogy vajon szándékosan került-e be a kódba a sebezhetőség, illetve vajon kihasználták-e az elmúlt két évben (ez utóbbiról egyelőre nincsenek adatok).

Az OpenSSL logadatai szerint a hibás kódrészletet egy német fejlesztő illesztette be 2011 utolsó napján. A Sydney Morning Herald megkereste a Münsterben élő Robin Seggelmannt, hogy a történtekről kérdezze. Seggelmann tagadta, hogy szándékosságról lett volna szó: elmondta, hogy hibajavításokat készített, illetve új eszközöket vezetett be, és ez utóbbiak egyikénél szerencsétlen módon nem hajtott végre egy műveletet („…elfelejtettem ellenőrizni a hosszt tartalmazó változót”). Ráadásul az sem vette észre a hibát, aki ellenőrizte a változtatásokat. De semmi rossz szándékról nincs szó: „egyszerű programozási hiba” – mondta Seggelmann.

Heartbleed xkcd

Azóta történt

Előzmények