Varnostna napaka Heartbleed je dobila »krivca«

Dogajanja okoli napake v odprtokodni knjižnici OpenSSL, poimenovane Heartbleed, o kateri smo že poročali, nikakor ne pojenjajo. Podjetja kot po tekočem traku svoje uporabnike obveščajo, da naj za vsak primer zamenjajo gesla, saj obstaja možnost, da jim jih je nekdo v zadnjih dveh letih prestregel, pa tega niti ne vedo/vemo. Gre namreč za napako, ki je v »zaklenjeni« komunikaciji HTTPS (v brskalniku označeno s ključavnico)  omogočala pridobitev neposrednega dostopa do pomnilnika na strežniku, s tem pa dostop do šifirnega ključa za sejo oz. celo zasebnega ključa strežnika. Taka pridobitev seveda ni bila zabeležena v dnevniških zapisih strežnika. Mimogrede, kot je videti zaenkrat, slovenske banke nimajo omenjene napake, tudi zaradi tega, ker uporabljajo Microsoftov strežnik IIS, ki ne uporablja knjižnice OpenSSL. Uporabljata ga Apache in nginx.

Na spletu najdemo že strokovna pojasnila o tem, kaj točno je bilo v programski razširitvi »heartbeet« zapisano narobe, strokovnjaki pa se strinjajo (tudi Gorazd Božič, vodja slovenskega SI-CERTa), da je težava v preveč sproščenem pisanju programske kode, ki jo omogoča programski jezik C.

Napaka Heartbleed pa je pridobila tudi svojega »krivca«, z imenom in priimkom. To je Dr. Robin Seggelmann iz majhnega mesta Oelde na severozahodu Nemčije, sodelavec Internet Engineering Task Force (IETF). Že večkrat je prispeval popravke za knjižnico OpenSSL, tudi pred dvema letoma, ko je prispeval »krpo« (patch), ki se je sedaj izkazala kot »napaka heartbleed«. Kot pravi sam, je naredil precej trivijalno napako - »zmotil sem se v spremenljivki«. Zanimivo je, da je napako spregledal tudi tisti, ki je njegov popravek pregledal in odobril, Dr Stephen Henson iz Velike Britanije. Strokovnjaki pravijo, da to ni neobičajno, saj se kodo ponavadi pregleduje na nivoju algoritma, le redko kdo pa kodo dejansko pregleduje na ravni same »kode«, se pravi spremenljivk, kazalcev in podobno.