상호의 역사에서 가장 심각한 네트워크 보안 취약점

실리콘 밸리로 핀란드에서 거기은입니다는 작은 허점. 팀 발견 하 고 인터넷의 역사에서 가장 심각한 네트워크 보안 취약점에 대 한 준비.

최근 Heartbleed 가정용 단어, 거의 모든 네티즌의 우려가 발생 했습니다 보안 허점입니다. 그러나 사실, 데이비드 Chartier 1 주일 전, 모든 어둠 속에 있을 때 존재 했던.

그는 실리콘 밸리 사무실에 도착 했을 때 초기에 51, Chartier, CEO Codenomicon 보안, 핀란드에서 전화를 받았다. 평소에 연 무의 샤, 그 집어 평소 전화, 회사의 수석 네트워크 보안 엔지니어, 그리고 그의 네트워크 보안 팀은 세계에서 가장 큰 오픈 소스 암호화 서비스, OpenSSL에서에서 심각한 결함을 발견. 모두의 가장 무 섭 다, 사용자의 개인 정보 보호, OpenSSL 구글과 페이스 북을 포함 한 거의 모든 주요 웹사이트에 의해 사용 됩니다.

샤 이해 문제는 심각, 하지만 그 순간에 그는 확신 하지 못했습니다 꽤 다음에 무슨 일이 일어날.

2001 년에 설립 된, Codenomicon 전 세계 6 개국에 자체 사무실을가지고 핀란드 그것은 전문가의 그룹에 의해 설립 된 국제 네트워크 보안입니다. 전문가의이 그룹은 모든 현상금 사냥꾼, 하 고 Codenomicon의 엔지니어의 일상 업무, 또는 모두의 베스트 소프트웨어에서 버그를 확인 하 고 수정 프로그램을 작성 하는 것입니다. 버라이존, 마이크로소프트와 어도비는 그들의 고객입니다.

샤, CEO는 회사의 관련 업무 경험, 20 년 이상 했다 그리고 허점 계산 됩니다 본. 하지만이 시간 다른. 심지어는 유명한 컴퓨터 보안 연구원 브루스 슈 나이 어 나중에 영향을 거의 모든 네티즌-"등급은 1 ~ 10, 11 레벨에 도달 하는이 시간." "치명적인" 보안 사건으로 허점을 간주 "그는 썼다.

매달려, 전에 Chartier 그들의 웹사이트를 공격 하기 위해 버그 감지 코드의 문자열을 작성 하는 핀란드 엔지니어 중 하나 물었다. 이 방법에서는, 그는 허점의 찾을 않습니다 해커가 웹사이트를 할 수 있는 얼마나 많은 피해를 배울 수 있습니다.

함께 과거의 경험, Chartier 판단 다음 24 시간, 중요 한 것을 가장 중요 한 것 비밀-샤 사용 핀란드어 엔지니어 수정 패치를 쓰기의 그의 팀에 게 그의 자신의 사내 암호화 통신 장비를 유지 하는 것 이었다.

"우리 일급 비밀 그것에 대해 아무도 그것을 누설 수 있습니다 그리고 우리는 심지어 여부 우리가 도청 되었습니다 확인." "
샤, 실리콘 밸리, 남자 가이드 멀리 핀란드에서에서 팀.

"그 보고서는 과장 하지 않습니다, 그리고 수천 대의 웹 서버는 OpenSSL을 사용 하는 너무 많은 사람들이 연루는," 고 말했다. "데이비드 Chartier 말했다입니다.

제일 먼저 할 일 "CERT (컴퓨터 비상 대응 팀)" 업계에서로 알려진 핀란드 국립 네트워크 보안 센터 취약점을 확대 하는 것입니다. 그래서 토요일 아침에 cert 조립 전 세계 OpenSSL 프로젝트 팀에서 12 자원 봉사 개발자의 총 취약점은 널리 배포 된 OpenSSL 암호화 서비스에서 발견 되었다. 인증서는 그들이 그들의 시스템을 업데이 트를 시작 하 고 최대한 빨리 패치 공개에 대 한 준비를 지시 합니다.

샤 몰랐다 Neel 메타, 구글, 조금 알려진 보안 전문가 또한 발견 하 고 같은 날에 OpenSSL 취약점을 보고는. 흥미롭게도, 허점 사실 이르면 2012 년 3 월, 그리고 두 팀 발견 하 고는 동시에, 다소 이상한 보고 무관. (메타가이 문서에 대 한 인터뷰 하지 않습니다)

어떤 경우에, Chartier와 그의 팀은 그들의 최고를 수행 해야 합니다. 그는 OpenSSL 팀 자체 취약점 보고서를 게시 하는 경우 포함 된 정보를 작은 될 것입니다 및 사용자가 확실히 응답 하는 방법을 이해 한다. 그래서 그는 밖으로 메시지를 보안 위반에 대 한 홍보 캠페인을 준비 하기로 결정 했다.

"취약점 보고서 업데이트 매일과 평범한" Chartier 말했다, "어떻게 수 있는, IT 관리자, 판사 중요 하 고 무엇을 하지?" 그래서 우리는 보고서에 대 한 이름을 있고 우리는 몇 가지 질문을 준비 했습니다 & 그것을 분명이 가장 심각한 허점 년에서. "

그것은 허점 "cve-2014-0160"로 확인 되었다 금요일 밤까지 하지. 토요일 아침에 Ossi Herrala, 핀란드 수도 헬싱키 사무실에서 일 하는 Codenomicon 시스템 관리자 이름 생각: Heartbleed.

"거기 확장 Hearbeat 라는 OpenSSL에는," Chatier 설명: "Ossi Heartbleed 이므로 매우 쉽다, 메모리에 사용자의 중요 한 정보는 혈액 처럼 밖으로 흐르는 것을 생각 합니다." "

Marko Laaso, 또한 Codenomicon 직원, 초기에 어린이 날의 주 heartbleed.com이 도메인 이름을 등록. 2008 년, Heartbleed.com는 우울증으로 아이 들을 위한 가사와 링크를 공유 하는 웹사이트.

전체 팀은 매우 효율적 이다. 디자이너는 피가 심장 로고를 디자인 하기 시작 했다. 웹사이트 등록은 성공 하 고 로고 확인, 마케팅 부서는 질문 & 웹사이트에 콘텐츠를 준비 하기 시작 합니다.

일요일, Codenomicon 직원 Chartier 누수 누수 되지 했다 되도록 네트워크를 모니터링 하는 동안, 의사 소통 암호화 된 커뮤니케이션 도구를 사용. 저녁에 준비 하 고, 전체 팀은 또한 긴장 대기, 대기는 OpenSSL에 대 한 모든 마케팅 자료 첫 번째 시간 온라인 heartbleed.com의 패치를 릴리스.

"패치가 출시 되기 전에 그것 불가능 먼저, 메시지를 해제 하는 수만 초래, 전에 패치 나오면, 사용자가 단순히 이해가 스스로 보호 하는 방법 때문에 합니다." 그것은 그렇게 우리의 의도 반대 한다입니다. "샤는 말했다.

마지막으로, 월요일 오후에 Heartbleed.com 마지막 줄에 사람들이 갑자기에 홍수, 미디어 보고서를 따라. 기본적으로 모든 주류 미디어에 뉴욕, 워싱턴 포스트 CNN에서 OpenSSL 허점을 적용 했습니다. 수요일 오후 사이트 1.4 백만 다른 독립적인 방문 했 고 그것은 지금 것 2 백만 가까운 경우에 그것은 48 시간 거리. Heartbleed.com 같은 큰 역할, 샤 준비 끝 느낌을 재생할 수 있습니다.

"그것은 우리의 임무를 보안 사이버" Chartier 말했다. "IT 보안 커뮤니티는 할 최선의 그것 보안 커뮤니티 전체에 속한 전투 승리." "