Beheer

Security

Hoe kon OpenSSL zo lang 'open' liggen?

14 april 2014
Open source heeft de naam veiliger te zijn dan bedrijfseigen software. Toch stond de achterdeur van het belangrijkste encryptiemechanisme van het web twee jaar lang op een kier. Waar ging het mis?

Inmiddels is duidelijk dat de Duitse ontwikkelaar Robin Seggelman de fout in de code heeft aangebracht. Hij neemt in een interview met The Guardian alle verantwoordelijkheid op zich. De fout zat in het mechanisme genaamd Heartbeat, een vraag-antwoord systeem bedoeld om een beveiligde sessie in stand te houden. Hij vergat echter veilig te stellen dat de het antwoord ook exact hetzelfde aantal tekens bevatte als verwacht werd door de computer die de vraag stelt. Seggelman zegt er gewoon overheen gekeken te hebben. Hij diende de aanpassing in op Oudejaarsavond van 2011. Hij werkte aan het project tijdens zijn promotie-onderzoek aan de universiteit van Münster van 2008 tot 2012.

Vervolgens is ook in het code-reviewproces dat plaats vindt bij belangrijke aanpassingen aan de encryptiesoftware de fout niet opgemerkt. Daardoor kwam het lek in de definitieve versie terecht. Bijna de helft van alle webservers met een beveiligde verbinding gebruikte deze versie van OpenSSL. Volgens Seggelman zit het probleem in het feit dat OpenSSL heel erg veel gebruikt wordt op internet, maar dat er voor het project nauwelijks menskracht beschikbaar is. "Het heeft miljoenen gebruikers, maar slechts een enkeling draagt actief bij aan het project", zegt hij.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.