Tietoturva

Heartbleed-aukon tekijä paljastui: "Pikkuvirhe"

Julkaistu: , Päivitetty:

Internetin tietoturvan vaarantaneen Heartbleed-haavoittuvuuden koodasi saksalainen Robin Seggelman uutena vuotena 2011. Seggelmannin mukaan kyse oli virheestä, ei tahallisesta aukosta.
Saksalainen ohjelmistokehittäjä Robin Seggelmann on henkilö, joka koodasi vakavan tietoturva-aukon yhteen internetin tärkeimmistä sovelluksista. Seggelmannin uudenvuodenyönä vuonna 2011 aiheuttama haavoittuvuus tuli julki tällä viikolla ja tunnetaan paremmin nimellä Heartbleed.

Https-suojauksessa yleisesti käytetyssä OpenSSL-menetelmässä olevan aukon ansiosta on arviolta noin puolesta miljoonasta verkkopalvelimesta pystytty urkkimaan tietoja jopa parin vuoden ajan.

– Työskentelin OpenSSL:n kehittämisen parissa, ja tein useita virheiden korjauksia ja lisäsin uusia ominaisuuksia, Seggelmann kertoo The Sydney Morning Herald -lehden haastattelussa.

Seggelmannin mukaan kyseessä oli pikkuvirhe. Hän kuitenkin myönsi, että sen vaikutukset olivat vakavia.
Mainos (Teksti jatkuu alla)
Mainos päättyy

– Yhdessä uudessa ominaisuudessa valitettavasti unohdin määritellä muuttujan, joka sisältää pituuden.

Yksinkertaistettuna Seggelmannin virhe salli sen, että OpenSSL:n haavoittuvaa versiota käyttäviltä palvelimilta pystyi sopivasti muotoillulla viestillä saamaan vastauksen, joka sisälsi enemmän merkkejä, eli enemmän tietoa kuin mihin viestin lähettäjällä oli oikeus.

Aukkoa on verkkokeskusteluissa epäilty tahalliseksi, eli että sen olisi syöttänyt koodiin esimerkiksi NSA tai jokin muu vakoiluorganisaatio.

Seggelmann kuitenkin kumoaa tällaiset väitteet. Hänen mukaansa kyse oli hänen tekemästään virheestä, jota myöskään koodin tarkastajat eivät huomanneet. 

Kommentit

    Näytä lisää