Общественность усомнилась в адекватности разработчиков OpenSSL

Специалисты по информационной безопасности продолжают обсуждать ситуацию с уязвимостью OpenSSL 1.0.1: из-за бага в расширении Heartbeat для TLS любой человек в мире мог просмотреть содержимое оперативной памяти примерно 66% всех серверов в интернете, фрагментами по 64 КБ.

Как минимум десятая часть этих серверов уязвима и сейчас, спустя несколько дней после выхода патча для OpenSSL 1.0.1.

Недавно в публичном доступе появился эксплойт для простого считывания памяти удаленного сервера и инструменты для поиска уязвимых серверов, а вчера вышел специализированный скрипт для сканера Nmap, модуль для Metasploit.

Что характерно, вышеупомянутая уязвимость – вовсе не единственный баг в OpenSSL. Специалисты давно говорили о крайне низком качестве кода этой библиотеки. Еще в 2009 году вышла статья «OpenSSL писали обезьяны», а в твиттер-аккаунте @OpenSSLFact каждый день публикуют примеры ужасного кода из OpenSSL.

Программное обеспечение: 
field_vote: 
Пока без оценки

Комментарии

Хоть я и помню о принципе, что в оупенсорсе никто никому ничего не должен, но все же хочется сказать следующее: разработчики OpenSSL — гандоны. Мало того, что целых 3 года вместо ожидаемого шифрования народ получал фуфел и очень серьезно подставлялся. Так еще по факту всем подселили трояна, через который можно было сливать пользовательские данные. Я считаю, что после такого бага имена виновных должны быть названы, чтобы ни одна контора не взяла бы «спецов» на работу. Запрет на профессию для козлов.

сегодня проверял все сервочки nmapом, блин засада, скриптик работает с ужасающей точностью и эффективностью....думаю что делать, и ищу альтернативу....уроды разрабы.....

А вы, пользуясь чужим кодом и не проверивший его на пригодность, уродом не являетесь? Сорцы не изучали, взяли из Сети чужую работу, пользовались ею, и весь прекрасный из себя. А может, стоит пойти к МС, заплатить им деньги, у них всё чисто ;). Там не уроды сидят, там прекраснодушные ребята, никогда не ошибающиеся.

Несколько сотен тысяч придурков пользовалось, все проглядели, но виноват, оказывается, тот, кто ошибся. Во логика. Понимаю, коли так считали бы поборники закрытого ПО, но люди, пользующиеся СПО... Стыдно вам должно быть, стыдно. Ни хера так и не понимаете, что это за мир, в котором каждый, включая вас, несёт ответственность, а не только тот, кто за вас сделал эту работу, поэтому на зеркало надо пенять, только на зеркало.

Вам когда врач диагноз ставит, вы собственноручно перепроверяете его выводы, анализы, корректность проведения диагностических процедур? Подозреваю, что нет. Потому как каждый должен заниматься своим делом. Но вот если человек чувствует, что из него хреновый врач и его лечение может обернуться смертями, он старается подыскать себе другое занятие. Этот криворукий Робин Зеггельман мог бы поступить так же.

Заплатка-то нафига? Во всех приличных дистрибутивах заштопанный OpenSSL доступен для установки через штатную обновлялку.

Кстати, любезный Debian еще выдал любопытную справку при обновлении. :)

Несколько напрягает только необходимость смены паролей.

Самый простой пример блокирования:
Отражаем в логе все heartbeat-запросы при помощи iptables и модуля u32:

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

Блокируем heartbeat-запросы:

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

Отслеживаем возможные атаки при помощи Wireshark:

tshark -i interface port 443 -R 'frame[68:1] == 18'
tshark -i interface port 443 -R 'ssl.record.content_type == 24'

Нефига себе простой! Представляю тогда себе какой сложный. ;) Это скорее не блокирование, а сбор списка IP-адресов атакующих для последующей перманентной блокировки. Атаки же ведутся со всяких анонимных VPN-гадючников, которые не помешает забанить.

Видимо, общественность просто тупа, раз не понимает, что ошибки были, есть и будут. Ещё в 80-ые доводилось читать, что на каждые 10000 строк кода обязательно присутствует одна ошибка. Сейчас времена изменились, программирование ушло дальше, но и ошибок накопилось уйма. Ошибиться может каждый, поэтому модель открытого программного обеспечения призвана исправлять эти ошибки. Не заметили? Ну так чего на человека-то пенять. Он исправлял чужие ошибки и не вонял о них, а тут накинулись. В сырцах лень ковыряться, нашли стрелочника. Другое дело, если есть доказательства злого умысла, но опять же — куда все эти «ментейнеры» смотрели? Крупные фирмы включили это ПО в свои устройства, и никто не увидел ошибки. Сильны задним умом, ага.

Так никто же не спорит. Ошибки бывают. Только один программер делает 1 ошибку на 10 тыс. строк кода, а другой 100. Команду разработчиков OpenSSL неоднократно предупреждали, что пора навести порядок в своих рядах и изгнать говнокодеров. Указывались конкретные персонажи, прилагались фрагменты говнокода с комментариями. Но руководство и рядовые члены понадеялись на авось. Так почему же теперь нельзя задавать вопросы?

то есть гавнокод надо лепить и коверкать код ошибками и прекрываться СПО и открытостью кода, и тогда любые ошибки будут прощаться!? Замечательно, тогда зачем и кому надо пользоваться открытым гавнокодом школьников и студентов-индусов??????:((((((

Комментировать

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.