neprihlásený Nedeľa, 8. decembra 2024, dnes má meniny Marína
IT giganti budú po Heartbleed fiasku finančne podporovať open source

Značky: bezpečnosťInternetopen sourceHeartbleedOpenSSL

DSL.sk, 28.4.2014


Viacero veľkých internetových a IT spoločností oznámilo na konci uplynulého týždňa vytvorenie iniciatívy Core Infrastructure Initiative, ktorej cieľom je podporovať vývoj open source projektov kritických pre globálny Internet.

Motívom tohto kroku je veľké zlyhanie bezpečnosti s následnými vážnymi dôsledkami v prípade chyby Heartbleed v OpenSSL, najpopulárnejšej knižnici implementujúcej protokol SSL používaný na šifrovanie prenášaných dát po Internete.

Ako sme detailne popisovali v tomto článku, v OpenSSL sa od marca 2012 nachádzala triviálna programátorská chyba, pre ktorú mohol útočník získať z pamäte zariadenia realizujúceho druhú stranu SSL spojenia 64 KB susediacich s dátovými štruktúrami použitými na spracovanie tzv. heartbeat požiadaviek pri útoku a potenciálne obsahujúcich citlivé dáta spracúvané procesom využívajúcim OpenSSL.

Chyba sa v OpenSSL nachádzala až do začiatku apríla a umožňovala okrem iného z web serverov poskytujúcich zabezpečené HTTPS stránky kradnúť prihlasovacie údaje návštevníkov, obsah stránok zasielaných návštevníkom aj privátne kľúče k SSL certifikátom serverov a z OpenVPN serverov rovnako privátne kľúče.

Chybu do kódu OpenSSL zaniesol nemecký programátor Robin Seggelmann, nevšimol si ju ani Stephen Henson preverujúci nový kód. Triviálna povaha chyby poukazuje na nedostatočnú kontrolu kvality kódu.

Projekt OpenSSL bol podľa oznámenia spoločností zakladajúcich Core Infrastructure Initiative, CII, poddimenzovaný a v posledných rokoch dostal dotácie v priemernej výške len 2 tisíc dolárov za rok.

Spoločnosti zapojené v CII tak poskytnú viacero miliónov dolárov, z ktorých bude poskytovaná podpora dôležitým open source projektom a financie majú umožniť zamestnanie vývojárov na plný úväzok, bezpečnostné audity, zabezpečenie infraštruktúry, cestovné náklady.

Zakladajúcimi členmi sú Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, RackSpace a VMware.

Iniciatívu bude riadiť The Linux Foundation a prvým kandidátom na finančnú podporu je práve projekt OpenSSL.


      Zdieľaj na Twitteri



Najnovšie články:

Pripravuje sa nová verzia systému pre routery OpenWrt 24.10, k dispozícii kandidát na vydanie
HAMR disky sa majú začať konečne masovo dodávať
Linuxové jadro 6.12 označené za LTS, piatim LTS verziám skončí podpora naraz
NASA opäť posunula termín pristátia posádky na Mesiaci
Chrome na Androide za menej ako dva roky zdvojnásobil výkon
Vydaný minimalistický Alpine Linux 3.21
Microsoft nezmierni HW požiadavky pre Windows 11, bude stále vyžadovať TPM 2.0
V Španielsku navrhujú smartfóny nedávať deťom a dať na ne upozornenia na zdravotné riziká
Bitcoin dosiahol novú rekordnú cenu nad 100-tisíc dolárov
Novým šéfom NASA bude vesmírny turista cestujúci so SpaceX


Diskusia:
                               
 

Fiiha. Svedomie? Alebo pochopili, ze ked daju par omrviniek tak sa im vrati cely chleba?
Odpovedať Známka: 8.4 Hodnotiť:
 

MS bude podporovat Linux Foundation, nonsens...
Odpovedať Známka: 6.7 Hodnotiť:
 

z niekadiaľ kód kradnúť musia. Asi sa ozvalo zlé svedomie :)
Odpovedať Známka: 0.8 Hodnotiť:
 

Su "Gold member" uz par rokov...
Odpovedať Známka: 8.3 Hodnotiť:
 

Aby bolo čo podojiť.
Odpovedať Známka: 10.0 Hodnotiť:
 

Chybu do kódu OpenSSL zaniesol NEMECKÝ programátor ...
Odpovedať Známka: -1.8 Hodnotiť:
 

Tiez ma to prekvapilo, skor by som cakal nejakeho Cecha - to su najvacsi fuseri, co sa tyka IT...
Odpovedať Známka: 0.5 Hodnotiť:
 

alebo este skor inda!
Odpovedať Známka: 6.0 Hodnotiť:
 

preco by boli cesi fuseri ?

Da sa povedat ze su dost velka velmoc co sa IT tyka.

Odpovedať Známka: 2.9 Hodnotiť:
 

lebo zopar jedincov si potrebuje kopnut.
Odpovedať Známka: 7.7 Hodnotiť:
 

zaspali na vavrinoch. si myslia, ze staci mat deklarovane zlate rucicky :)
Odpovedať Známka: 0.9 Hodnotiť:
 

Ak cesi zaspali na vavrinoch tak my este ani postel nemame kupenu a uz chrcime na betone ;D
Odpovedať Známka: 8.0 Hodnotiť:
 

nahodou my slovaci mame eset, cesi tusim zalozili jetbrains - phpstorm atd. a je tam ta firma vyvijajuca hry tusim bohemiasoft
Odpovedať Známka: 10.0 Hodnotiť:
 

Vavríny na blate...
Odpovedať Hodnotiť:
 

nie sli napat ako na seba uputat posornost aj fynancie
Odpovedať Známka: 2.0 Hodnotiť:
 

az take prekvapive to nie je , ta povestna nemecka presnost uz DAAAAAAVNO nie je co sa o nej hovorilo, uz peknych par rokov su to fuseri 1. triedy...aspon z mojej skusenosti v IT
Odpovedať Známka: 3.3 Hodnotiť:
 

Bohuzial mate uplnu pravdu. Tiez mam take skusenosti a bol som dost nemilo prekvapeny tou nekvalitou.
Odpovedať Hodnotiť:
 

Kde udelali soudruzi z NDR chybu?
Odpovedať Známka: 7.9 Hodnotiť:
 

Tam, ze dovolili Turkom oznacovat sa nalepkou "Nemec".
Nemecko je zamorene Turkami rovnako ako UK Indami a Poliakmi.

Indi a ina tmava azijska zberba su pliaga v IT vseobecne, je to ukazka toho ako je system prehnity na kost a ako nefunguje.
Zial uz davno to nie je iba v IT. Pojem kvalita dnes uz nic neznamena.
Odpovedať Známka: 5.6 Hodnotiť:
 

Zabudli napísať "chybu zaniesol programátor NSA nemeckého pôvodu ..."
Odpovedať Známka: 5.2 Hodnotiť:
 

No, schvalne by som ho rad videl. Dnes je Nemecko take multi-kulti, ze pojmom "Nemec" sa uz oznacuje kadekto ... ze ma obcianstvo, alebo sa tam narodil este z nikoho Nemca nerobi, ked su obaja rodicia z Turecka/Indie/Pakistanu ...
Odpovedať Známka: 10.0 Hodnotiť:
 

nemecký programátor Robin Seggelmann
Odpovedať Známka: 10.0 Hodnotiť:
 

Nejaky Bramhaghosh Ganesh Rasmaru, Özgür İlkay Çağrı, ci Usman Muawiya Khalid sa premenovali na Robina...
Odpovedať Známka: 3.3 Hodnotiť:
 

Áno, Saddaam. sad47_
Odpovedať Hodnotiť:
 

ako prvé som skontroloval, či to nebol ten zmrd, čo robil typo3 :D
Odpovedať Známka: 7.8 Hodnotiť:
 

heh dobreeee... a ak to bol on, treba mu dat cez hubu, prip. aj celej tej sebranke ci tu zvrhlost vymyslela
Odpovedať Hodnotiť:
 

Mna skor zaujalo, ze sa presne vie meno programatora, aj toho, co to kontroloval. To pri tych update balickoch od MS sa povedat neda...
A ten, kto fakt vyskytu chyby blamuje, tak asi sam nepapisal ani riadok, alebo je z ineho vesmiru.
Odpovedať Známka: 10.0 Hodnotiť:
 

tak to mas verziovanie cez git, ked commitnes tak pod svojim menom, tieto info sa uchovavaju. Urcite aj microsoft pouziva nejake svn, ale ked to dojebe daky programator tak nezverejnuju jeho meno, ale interne vo firme sa to vie. Tusim okrem pripadu ked jeden koder z MS prispel do jadra linuxu a pouzil nazov premennej big boobs :D
Odpovedať Hodnotiť:
 

Tak nakoniec z toho vyvojari OpenSSL este vyjdu vitazne :)
Odpovedať Známka: 7.1 Hodnotiť:
 

jj a my pouzivatelia mozme mat novu verziu kazdy treti mesiac
Odpovedať Známka: 10.0 Hodnotiť:
 

pripadne novy fork :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Theo uz na tom pracuje http://dopice.sk/9gV
Odpovedať Známka: 7.8 Hodnotiť:
 

a toho som sa vzdy bal,pomaly a isto secko bude za peniaze a teda popularne pre hackovanie
Odpovedať Známka: -5.0 Hodnotiť:
 

Tak toto je nazor hodny adolescenta, oprav ma ak sa mylim :D

Inak hackovanie je najpopularnejsie medzi babkami a zadarmo pre vnucence ;-)
Odpovedať Známka: 5.0 Hodnotiť:
 

pust ho z ruky a hned sa ti nazenie krv do mozgu o) premyslaj trochu
Odpovedať Známka: -5.0 Hodnotiť:
 

Za všetko môžu nedostatočné dotácie!

Pravidlá EU:

Funguje to? Zdaňme to!
Ešte to funguje? Zregulujme to!
Nefunguje (už) to? Dotujme to!

Dotácie krivia (kurvia) trh...
Odpovedať Známka: 6.2 Hodnotiť:
 

A s peniazmi to funguje rovnako aj pri open source komunite. Drviva vacsina tych vyvojarov ma normalne zamestnanie, kde maju dost penazi, a open source robia ako hobby zadarmo popri tom. Dokonca som o tom prednedavnom videl aj dokument, kde rozoberali ekonomicky paradox, ze tvorivi ludia podavaju zadarmo pri svojom hobby ovela lepsie vykony ako pri platenej praci. A ak sa zvysenim platu aj nahodou dosiahne kratkodobe zlepsenie produktivity, dlhodobo padne naspat, a este aj nizsie. Totizto jedine miesto, kde funguje zvysenie odmeny dlhodobo, je manualna ukolova mechanicka praca, napr. v tovarnach za pasom.

Dotovanim open source vyvojarov sa z nich teda stanu zamestnanci, a zvysok si uz domyslite sami.
Odpovedať Známka: 6.0 Hodnotiť:
 

Je to logicke. Hobby robia ludia takmer vzdy poriadne, lebo im na tom zalezi a maju z toho radost, a robia len to co chcu. V praci naopak casto robia veci ktore bud ich nebavia, alebo su to veci ktore sa len naoko musia tvarit aby fungovali(rozne projekty pre stat) a podobne.
Proste najlepsi zamestnanec je ten pre ktoreho je jeho praca zaroven aj hobby.
Odpovedať Známka: 8.6 Hodnotiť:
 

nuz ale v tomto pripade to poriadne spravene nebolo aj ked to bolo ako hobby.
Odpovedať Známka: 10.0 Hodnotiť:
 

hudak toho us nesamestnaju ket je ociernovani f gasdom clanku ale ursite sa to nemose len sam
Odpovedať Hodnotiť:

Pridať komentár