¿Por qué no se arregló el corazón antes? [cerrado]

-1

De lo que leí en heartbleed.com

  

"... El error se introdujo en OpenSSL en diciembre de 2011 y se publicó en   Lo salvaje desde la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. OpenSSL   1.0.1g publicado el 7 de abril de 2014 corrige el error ".

Entonces, ¿qué les tomó tanto tiempo para que se arregle? Más importante aún, ¿por qué algunos de los sitios como Yahoo / Github no sabían acerca del parche antes de que se lanzara 1.0.1g?

Me parece muy incómodo que OpenSSL lo parche primero, luego todo el mundo está confundido para aplicar el parche mientras se explota la vulnerabilidad.

    
pregunta Ranhiru Cooray 10.04.2014 - 04:01
fuente

3 respuestas

4

No puedes corregir el error hasta que lo encuentres.

Como la pregunta "¿Quién encontró el insecto de Heartbleed?" en heartbleed.com:

Este error fue descubierto de forma independiente por un equipo de ingenieros de seguridad (Riku, Antti y Matti) en Codenomicon y Neel Mehta de Google Security, quienes lo informaron primero al equipo de OpenSSL. El equipo de Codenomicon encontró un error en el corazón mientras mejoraba la función SafeGuard en las herramientas de prueba de seguridad Defensics de Codenomicon y reportó este error al NCSC-FI para la coordinación de la vulnerabilidad y el informe al equipo de OpenSSL.

Así que se descubrió recientemente, aunque el error existe desde hace muchos años.

    
respondido por el ytliu 10.04.2014 - 04:42
fuente
2

Cuando miras el código fuente, puede ser muy difícil detectar todos los errores.

La fuente es una descripción de lo que hace el programa, pero no cómo. Si un desarrollador comete un error, puede que no sea obvio que lo haya hecho, o incluso que sea un error, si no afecta la funcionalidad aparente del programa

Para asegurarse de que no haya vulnerabilidades, el código debe revisarse para detectar errores. Esto requiere que las personas que entienden lo que se supone que haga el programa (en este caso, la implementación de un latido cardíaco TLS) lean el código fuente y realicen pruebas en el programa, lo que requiere tiempo y dinero. El equipo de OpenSSL no tiene la capacidad de buscar todos los errores potenciales, especialmente porque está hecho de voluntarios. Es por esta razón que el error pasó desapercibido. Fue solo después de que un investigador de seguridad en Google revisó OpenSSL cuando se descubrió y corrigió la vulnerabilidad.

Necesitas la habilidad de encontrar errores para poder solucionarlos.

Una vez que se libera un parche, siempre hay una ventana entre cuando se suelta el parche y cuando lo aplican los usuarios. Los atacantes tienen la capacidad de atacar a los usuarios en esa ventana ya que todavía son vulnerables. Esto es lo mismo con todo el software.

    
respondido por el Mark Hatley 10.04.2014 - 05:04
fuente
0

Existen explotaciones y escapatorias en todo, desde dispositivos médicos hasta teléfonos, y es solo una vez que estos dispositivos entran en producción y llegan a los extremos en que se descubren estos agujeros.

Si desea ir por la ruta matemática, es una curva exponencial en la que toma un requisito simple para un producto y lo agrega. A medida que agrega más complejidad, introduce más posibilidades de agujeros de seguridad y vulnerabilidades. La forma más fácil de pensar en todo esto no son las vulnerabilidades, los errores y otras operaciones, sino simplemente las operaciones no deseadas.

Las pruebas para cada posible interacción y circunstancia son casi imposibles, por lo que una empresa u organización (o incluso un individuo) realizará una cantidad aceptable de pruebas, pero es posible que nunca encuentre todos los errores. Esto es cierto para más que solo software, por supuesto. Recuerda el fabricante son un gran ejemplo.

tl;dr

Las explotaciones existen en todas partes y no hay ninguna teoría de la conspiración o mala intención de por qué no se han corregido. A veces lleva más tiempo encontrar estos problemas, ya que solo ocurren en circunstancias específicas que generalmente no se pueden planificar de antemano. Nuestra única esperanza es que la persona o el grupo que lo encuentre lo informe a las personas adecuadas.

    
respondido por el ScottMcGready 10.04.2014 - 04:57
fuente

Lea otras preguntas en las etiquetas