IT giganti budú po Heartbleed fiasku finančne podporovať open source

Značky: bezpečnosťInternetopen sourceHeartbleedOpenSSL

DSL.sk, 28.4.2014

Viacero veľkých internetových a IT spoločností oznámilo na konci uplynulého týždňa vytvorenie iniciatívy Core Infrastructure Initiative, ktorej cieľom je podporovať vývoj open source projektov kritických pre globálny Internet.

Motívom tohto kroku je veľké zlyhanie bezpečnosti s následnými vážnymi dôsledkami v prípade chyby Heartbleed v OpenSSL, najpopulárnejšej knižnici implementujúcej protokol SSL používaný na šifrovanie prenášaných dát po Internete.

Ako sme detailne popisovali v tomto článku, v OpenSSL sa od marca 2012 nachádzala triviálna programátorská chyba, pre ktorú mohol útočník získať z pamäte zariadenia realizujúceho druhú stranu SSL spojenia 64 KB susediacich s dátovými štruktúrami použitými na spracovanie tzv. heartbeat požiadaviek pri útoku a potenciálne obsahujúcich citlivé dáta spracúvané procesom využívajúcim OpenSSL.

Chyba sa v OpenSSL nachádzala až do začiatku apríla a umožňovala okrem iného z web serverov poskytujúcich zabezpečené HTTPS stránky kradnúť prihlasovacie údaje návštevníkov, obsah stránok zasielaných návštevníkom aj privátne kľúče k SSL certifikátom serverov a z OpenVPN serverov rovnako privátne kľúče.

Chybu do kódu OpenSSL zaniesol nemecký programátor Robin Seggelmann, nevšimol si ju ani Stephen Henson preverujúci nový kód. Triviálna povaha chyby poukazuje na nedostatočnú kontrolu kvality kódu.

Projekt OpenSSL bol podľa oznámenia spoločností zakladajúcich Core Infrastructure Initiative, CII, poddimenzovaný a v posledných rokoch dostal dotácie v priemernej výške len 2 tisíc dolárov za rok.

Spoločnosti zapojené v CII tak poskytnú viacero miliónov dolárov, z ktorých bude poskytovaná podpora dôležitým open source projektom a financie majú umožniť zamestnanie vývojárov na plný úväzok, bezpečnostné audity, zabezpečenie infraštruktúry, cestovné náklady.

Zakladajúcimi členmi sú Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, RackSpace a VMware.

Iniciatívu bude riadiť The Linux Foundation a prvým kandidátom na finančnú podporu je práve projekt OpenSSL.




Najnovšie články:



Diskusia:

5znak Od: XMen | Pridané: 28.4.2014 10:46 Fiiha. Svedomie? Alebo pochopili, ze ked daju par omrviniek tak sa im vrati cely chleba? Odpovedať Známka: 8.4 Hodnotiť:

Re: 5znak Od reg.: raketa | Pridané: 28.4.2014 18:37 MS bude podporovat Linux Foundation, nonsens... Odpovedať Známka: 6.7 Hodnotiť:

Re: 5znak Od: leôsfkap... | Pridané: 28.4.2014 20:28 z niekadiaľ kód kradnúť musia. Asi sa ozvalo zlé svedomie :) Odpovedať Známka: 0.8 Hodnotiť:

Re: 5znak Od reg.: FilipSK | Pridané: 29.4.2014 2:17 Su "Gold member" uz par rokov... Odpovedať Známka: 8.3 Hodnotiť:

Re: 5znak Od: dnes má meniny Lea | Pridané: 29.4.2014 9:30 Aby bolo čo podojiť. Odpovedať Známka: 10.0 Hodnotiť:

D - Über alles... Od: open*source | Pridané: 28.4.2014 10:47 Chybu do kódu OpenSSL zaniesol NEMECKÝ programátor ... Odpovedať Známka: -1.8 Hodnotiť:

Re: D - Über alles... Od: jozefinka | Pridané: 28.4.2014 11:46 Tiez ma to prekvapilo, skor by som cakal nejakeho Cecha - to su najvacsi fuseri, co sa tyka IT... Odpovedať Známka: 0.5 Hodnotiť:

Re: D - Über alles... Od: debo123 | Pridané: 28.4.2014 11:48 alebo este skor inda! Odpovedať Známka: 6.0 Hodnotiť:

Re: D - Über alles... Od: asdfasdfasdfasdf | Pridané: 28.4.2014 11:53 preco by boli cesi fuseri ? Da sa povedat ze su dost velka velmoc co sa IT tyka. Odpovedať Známka: 2.9 Hodnotiť:

Re: D - Über alles... Od: debo123 | Pridané: 28.4.2014 12:47 lebo zopar jedincov si potrebuje kopnut. Odpovedať Známka: 7.7 Hodnotiť:

Re: D - Über alles... Od: dvtetry | Pridané: 28.4.2014 16:48 zaspali na vavrinoch. si myslia, ze staci mat deklarovane zlate rucicky :) Odpovedať Známka: 0.9 Hodnotiť:

Re: D - Über alles... Od: quix_ | Pridané: 28.4.2014 19:41 Ak cesi zaspali na vavrinoch tak my este ani postel nemame kupenu a uz chrcime na betone ;D Odpovedať Známka: 8.0 Hodnotiť:

Re: D - Über alles... Od: Alino: | Pridané: 29.4.2014 19:14 nahodou my slovaci mame eset, cesi tusim zalozili jetbrains - phpstorm atd. a je tam ta firma vyvijajuca hry tusim bohemiasoft Odpovedať Známka: 10.0 Hodnotiť:

Re: D - Über alles... Od: abc.-.xyz | Pridané: 29.4.2014 20:02 Vavríny na blate... Odpovedať Hodnotiť:

Re: D - Über alles... Od reg.: joziiiiii | Pridané: 28.4.2014 12:32 nie sli napat ako na seba uputat posornost aj fynancie Odpovedať Známka: 2.0 Hodnotiť:

Re: D - Über alles... Od: miro j. | Pridané: 28.4.2014 12:47 az take prekvapive to nie je , ta povestna nemecka presnost uz DAAAAAAVNO nie je co sa o nej hovorilo, uz peknych par rokov su to fuseri 1. triedy...aspon z mojej skusenosti v IT Odpovedať Známka: 3.3 Hodnotiť:

Re: D - Über alles... Od: XMen | Pridané: 29.4.2014 8:35 Bohuzial mate uplnu pravdu. Tiez mam take skusenosti a bol som dost nemilo prekvapeny tou nekvalitou. Odpovedať Hodnotiť:

Re: D - Über alles... Od: mumsito | Pridané: 28.4.2014 12:52 Kde udelali soudruzi z NDR chybu? Odpovedať Známka: 7.9 Hodnotiť:

Re: D - Über alles... Od: sad47_ | Pridané: 29.4.2014 10:37 Tam, ze dovolili Turkom oznacovat sa nalepkou "Nemec". Nemecko je zamorene Turkami rovnako ako UK Indami a Poliakmi. Indi a ina tmava azijska zberba su pliaga v IT vseobecne, je to ukazka toho ako je system prehnity na kost a ako nefunguje. Zial uz davno to nie je iba v IT. Pojem kvalita dnes uz nic neznamena. Odpovedať Známka: 5.6 Hodnotiť:

Re: D - Über alles... Od: Asok | Pridané: 28.4.2014 13:08 Zabudli napísať "chybu zaniesol programátor NSA nemeckého pôvodu ..." Odpovedať Známka: 5.2 Hodnotiť:

Re: D - Über alles... Od: MvD | Pridané: 28.4.2014 13:18 No, schvalne by som ho rad videl. Dnes je Nemecko take multi-kulti, ze pojmom "Nemec" sa uz oznacuje kadekto ... ze ma obcianstvo, alebo sa tam narodil este z nikoho Nemca nerobi, ked su obaja rodicia z Turecka/Indie/Pakistanu ... Odpovedať Známka: 10.0 Hodnotiť:

Re: D - Über alles... Od: open*source | Pridané: 28.4.2014 23:02 nemecký programátor Robin Seggelmann Odpovedať Známka: 10.0 Hodnotiť:

Re: D - Über alles... Od: sad47_ | Pridané: 29.4.2014 10:43 Nejaky Bramhaghosh Ganesh Rasmaru, Özgür İlkay Çağrı, ci Usman Muawiya Khalid sa premenovali na Robina... Odpovedať Známka: 3.3 Hodnotiť:

Re: D - Über alles... Od: IT giganti | Pridané: 29.4.2014 13:41 Áno, Saddaam. sad47_ Odpovedať Hodnotiť:

Re: D - Über alles... Od: Ja. | Pridané: 28.4.2014 15:41 ako prvé som skontroloval, či to nebol ten zmrd, čo robil typo3 :D Odpovedať Známka: 7.8 Hodnotiť:

Re: D - Über alles... Od: XMen | Pridané: 29.4.2014 8:38 heh dobreeee... a ak to bol on, treba mu dat cez hubu, prip. aj celej tej sebranke ci tu zvrhlost vymyslela Odpovedať Hodnotiť:

Re: D - Über alles... Od: qqbofi | Pridané: 28.4.2014 22:19 Mna skor zaujalo, ze sa presne vie meno programatora, aj toho, co to kontroloval. To pri tych update balickoch od MS sa povedat neda... A ten, kto fakt vyskytu chyby blamuje, tak asi sam nepapisal ani riadok, alebo je z ineho vesmiru. Odpovedať Známka: 10.0 Hodnotiť:

Re: D - Über alles... Od: Alino: | Pridané: 29.4.2014 19:25 tak to mas verziovanie cez git, ked commitnes tak pod svojim menom, tieto info sa uchovavaju. Urcite aj microsoft pouziva nejake svn, ale ked to dojebe daky programator tak nezverejnuju jeho meno, ale interne vo firme sa to vie. Tusim okrem pripadu ked jeden koder z MS prispel do jadra linuxu a pouzil nazov premennej big boobs :D Odpovedať Hodnotiť:

..... Od: xvzf | Pridané: 28.4.2014 10:50 Tak nakoniec z toho vyvojari OpenSSL este vyjdu vitazne :) Odpovedať Známka: 7.1 Hodnotiť:

Re: ..... Od: mandolinka | Pridané: 28.4.2014 10:53 jj a my pouzivatelia mozme mat novu verziu kazdy treti mesiac Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: xvzf | Pridané: 28.4.2014 10:58 pripadne novy fork :) Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: stoneage | Pridané: 28.4.2014 11:07 Theo uz na tom pracuje http://dopice.sk/9gV Odpovedať Známka: 7.8 Hodnotiť:

asdfgh Od: dtnl | Pridané: 28.4.2014 11:17 a toho som sa vzdy bal,pomaly a isto secko bude za peniaze a teda popularne pre hackovanie Odpovedať Známka: -5.0 Hodnotiť:

Re: asdfgh Od: someone | Pridané: 28.4.2014 14:54 Tak toto je nazor hodny adolescenta, oprav ma ak sa mylim :D Inak hackovanie je najpopularnejsie medzi babkami a zadarmo pre vnucence ;-) Odpovedať Známka: 5.0 Hodnotiť:

Re: asdfgh Od: dtnl | Pridané: 28.4.2014 18:48 pust ho z ruky a hned sa ti nazenie krv do mozgu o) premyslaj trochu Odpovedať Známka: -5.0 Hodnotiť:

dotácie Od: klávesnice | Pridané: 28.4.2014 15:08 Za všetko môžu nedostatočné dotácie! Pravidlá EU: Funguje to? Zdaňme to! Ešte to funguje? Zregulujme to! Nefunguje (už) to? Dotujme to! Dotácie krivia (kurvia) trh... Odpovedať Známka: 6.2 Hodnotiť:

Re: dotácie Od: prdlajs | Pridané: 28.4.2014 16:27 A s peniazmi to funguje rovnako aj pri open source komunite. Drviva vacsina tych vyvojarov ma normalne zamestnanie, kde maju dost penazi, a open source robia ako hobby zadarmo popri tom. Dokonca som o tom prednedavnom videl aj dokument, kde rozoberali ekonomicky paradox, ze tvorivi ludia podavaju zadarmo pri svojom hobby ovela lepsie vykony ako pri platenej praci. A ak sa zvysenim platu aj nahodou dosiahne kratkodobe zlepsenie produktivity, dlhodobo padne naspat, a este aj nizsie. Totizto jedine miesto, kde funguje zvysenie odmeny dlhodobo, je manualna ukolova mechanicka praca, napr. v tovarnach za pasom. Dotovanim open source vyvojarov sa z nich teda stanu zamestnanci, a zvysok si uz domyslite sami. Odpovedať Známka: 6.0 Hodnotiť:

Re: dotácie Od: Getrudo | Pridané: 28.4.2014 19:56 Je to logicke. Hobby robia ludia takmer vzdy poriadne, lebo im na tom zalezi a maju z toho radost, a robia len to co chcu. V praci naopak casto robia veci ktore bud ich nebavia, alebo su to veci ktore sa len naoko musia tvarit aby fungovali(rozne projekty pre stat) a podobne. Proste najlepsi zamestnanec je ten pre ktoreho je jeho praca zaroven aj hobby. Odpovedať Známka: 8.6 Hodnotiť:

Re: dotácie Od: Dezo123 | Pridané: 29.4.2014 10:36 nuz ale v tomto pripade to poriadne spravene nebolo aj ked to bolo ako hobby. Odpovedať Známka: 10.0 Hodnotiť:

kkfcskwo Od: mvdk | Pridané: 29.4.2014 22:58 hudak toho us nesamestnaju ket je ociernovani f gasdom clanku ale ursite sa to nemose len sam Odpovedať Hodnotiť:

Pridať komentár