Heartbleed заставило объединиться крупнейшие IT-компании

По сообщению The Verge, крупные компании, среди которых Google, Microsoft и Facebook, решили объединить свои усилия. Они направлены на защиту программного обеспечения с открытым исходным кодом от критических ошибок. Эта кооперация может помочь избежать повторения ситуации с уязвимостью Heartbleed («Кровоточащее сердце»), которая была обнаружена в пакете OpenSSL.

 

Организацией The Linux Foundation уже запущен проект The Core Infrastructure Initiative. Его цель заключается в том, чтобы собрать средства. Они необходимы для того, чтобы совершенствовать программное обеспечение с открытым исходным кодом, поскольку безопасность его сомнительна. 

 

Прежде всего, свои усилия участники направят на то, чтобы найти новые уязвимости в пакете OpenSSL.

 

Как заявил исполнительный директор The Linux Foundation Джим Землин, обнаружение Heartbleed стало поворотной точкой для IT-индустрии. Настали времена, когда необходимо все менять. Более того, он считает, что необходимость в подобном проекте назрела давно, и ее следовало запустить раньше.

 

В проекте The Core Infrastructure Initiative уже приняли участие 13 компаний. Среди них Dell, Cisco, Fujitsu Google, Qualcomm, Microsoft, Facebook, Intel, Dell и облачные сервисы Rackspace и Amazon. Каждая из компаний обязуется тратить на нужды проекта не менее 100 тысяч долларов в год. И так на протяжении трех лет. То есть на сегодня минимальный объем инвестиций составляет 3,9 миллиона долларов США.

 

 

О том, что в пакете OpenSSL, предназначение которого защищать и сертифицировать данные, есть серьезная уязвимость, стало известно 7 апреля. Именно в этот день разработчики заявили, что ими устранена ошибка, которая существовала с марта 2012 года. 

 

Выявленная ошибка была связана с тем, что не было необходимой проверки длины запроса в одной из процедур расширения Heartbeat. По этой причине какой-нибудь хакер мог иметь прямой доступ к оперативной памяти компьютеров, если его коммуникации защищала уязвимая версия OpenSSL.

 

Программист Робин Зеггельман из Германии, который и добавил в пакет OpenSSL критическую уязвимость Heartbleed, в интервью журналистам заявил, что сделал это без умысла. Он отметил, что ошибка в коде была чистой случайностью. И потому ее не смог обнаружить и специалист, который проверял работу Зеггельмана. Вот почему ее и не удалили из финальной версии очередного релиза OpenSSL.

 

Ошибка признана экспертами чрезвычайно серьезной. Было установлено, что теоретически проблема безопасности могла задеть 65% всех серверов на планете. Пострадать от такой уязвимости могли, по меньшей мере, 200 тысяч владельцев банковских карт из России, поскольку они покупали билеты на сайте РЖД с 7 по 14 апреля.