Hoe kon OpenSSL zo lang 'open' liggen?
Inmiddels is duidelijk dat de Duitse ontwikkelaar Robin Seggelman de fout in de code heeft aangebracht. Hij neemt in een interview met The Guardian alle verantwoordelijkheid op zich. De fout zat in het mechanisme genaamd Heartbeat, een vraag-antwoord systeem bedoeld om een beveiligde sessie in stand te houden. Hij vergat echter veilig te stellen dat de het antwoord ook exact hetzelfde aantal tekens bevatte als verwacht werd door de computer die de vraag stelt.
Shutterstock
Shutterstock
Seggelman zegt er gewoon overheen gekeken te hebben. Hij diende de aanpassing in op Oudejaarsavond van 2011. Hij werkte aan het project tijdens zijn promotie-onderzoek aan de universiteit van Münster van 2008 tot 2012.
Vervolgens is ook in het code-reviewproces dat plaats vindt bij belangrijke aanpassingen aan de encryptiesoftware de fout niet opgemerkt. Daardoor kwam het lek in de definitieve versie terecht. Bijna de helft van alle webservers met een beveiligde verbinding gebruikte deze versie van OpenSSL. Volgens Seggelman zit het probleem in het feit dat OpenSSL heel erg veel gebruikt wordt op internet, maar dat er voor het project nauwelijks menskracht beschikbaar is. "Het heeft miljoenen gebruikers, maar slechts een enkeling draagt actief bij aan het project", zegt hij.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee