Programer koji je ''krivac'' za Heartbleed bag odbacio tvrdnje da je greška bila namerna

Vesti, 11.04.2014, 10:20 AM

Programer koji je ''krivac'' za Heartbleed bag odbacio tvrdnje da je greška bila namerna

Dok se svet pripremao da proslavi ulazak u novu godinu, 31. decembra 2011. nemački programer Robin Zegelman pisao je kod koji će dve godine kasnije biti nazvan najvećom katastrofom u skorijoj istoriji interneta.

Heartbleed bag u OpenSSL koji je ugrozio dve trećine celokupne internet komunikacije predat je u 22:59, 31. decembra 2011. godine. Naizgled beznačajna greška koju je napravio Zegelman ostala je neotkrivena više od dve godine.

“Radio sam na poboljšanju OpenSSL i podneo brojne ispravke za bagove i dodao nove mogućnosti”, kaže Zegelman za Sidnej Morning Herald, dodajući da je jedna od njih imala propust.

Čoveku koji je pregledao Zegelmanov kod, doktoru Stivenu Henson, takođe je promakla greška.

Sada kada je otkrivena Zegelmanova greška pojavile su se spekulacije da greška možda nije bila slučajna. Otkrića Edvarda Snoudena o masovnom nadzoru nad interetom koji sprovodi američka Nacionalna bezbednosna agencija (NSA) navela su pojedince da se zapitaju da li je Zegelman možda sa namerom postavio backdoor.

Zegelman je odbacio ovakve spekulacije i rekao da bi svoju grešku mogao objasniti veoma lako. Ipak, on je dodao da razume zbog čega je za mnoge “primamljivo” da njegovu grešku vide kao namernu. On je Heartbleed nazvao jednostavnom, ali potpuno nenamernom greškom u programiranju, priznajući da je apsolutno moguće da su obaveštajne agencije kao što je NSA iskorišćavale bag.

“Postoji mogućnost, a uvek je bolje pretpostavljati najgore nego najbolje kada je bezbednost u pitanju”, kaže Zegelman, ponavljajući da on nije znao za bag dok nije otkriven, kao i da nije povezan sa bilo kojom obaveštajnom agencijom.

Godinu dana pošto je napravio grešku, Zegelman je dovršio svoju doktorsku tezu “Strategije za obezbeđivanje end-to-end komunikacije” na Univerzitetu Duizburg-Esen.

OpenSSL tim, kome pripadaju i Zegelman i Henson, je mali a oni koji rade u njemu rade volonterski uprkos činjenici da održavaju nešto tako važno kao što je OpenSSL. Osim ovog incidenta, OpenSSL tim ima dobru reputaciju kada je reč o bezbednosti.

OpenSSL je open-source, što znači da svako može da pogleda njegov kod. U teoriji, to znači i da bi svako mogao da vidi i greške u njemu. Svako može dati doprinos OpenSSL, bilo kodom ili traženjem ranjivosti, ali u realnosti mali broj ljudi to zaista i radi. Svega 13 programera je u OpenSSL timu.

“Bilo bi bolje kada bi više ljudi pomoglo poboljšanju OpenSSL”, kaže Zegelman koji smatra da to mogu raditi kompanije koje će imati korist od nekog vida podrške ili ljudi koji će to raditi u slobodno vreme. “Međutim, ako ga svi samo koriste i misle da će se neko drugi na kraju pobrinuti za to, to neće funkcionisati”, zaključuje Zegelman.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje

Nemačke političke partije upozorene na napade hakera ruske obaveštajne službe

Nemačke političke partije upozorene na napade hakera ruske obaveštajne službe

Nemačka, koja je pružila značajnu vojnu podršku Ukrajini, od početka rata suočava se sa hakerskim napadima i pokušajima špijunaže iz Rusije. ... Dalje