Programer koji je ''krivac'' za Heartbleed bag odbacio tvrdnje da je greška bila namerna

Vesti, 11.04.2014, 10:20 AM

Dok se svet pripremao da proslavi ulazak u novu godinu, 31. decembra 2011. nemački programer Robin Zegelman pisao je kod koji će dve godine kasnije biti nazvan najvećom katastrofom u skorijoj istoriji interneta.

Heartbleed bag u OpenSSL koji je ugrozio dve trećine celokupne internet komunikacije predat je u 22:59, 31. decembra 2011. godine. Naizgled beznačajna greška koju je napravio Zegelman ostala je neotkrivena više od dve godine.

“Radio sam na poboljšanju OpenSSL i podneo brojne ispravke za bagove i dodao nove mogućnosti”, kaže Zegelman za Sidnej Morning Herald, dodajući da je jedna od njih imala propust.

Čoveku koji je pregledao Zegelmanov kod, doktoru Stivenu Henson, takođe je promakla greška.

Sada kada je otkrivena Zegelmanova greška pojavile su se spekulacije da greška možda nije bila slučajna. Otkrića Edvarda Snoudena o masovnom nadzoru nad interetom koji sprovodi američka Nacionalna bezbednosna agencija (NSA) navela su pojedince da se zapitaju da li je Zegelman možda sa namerom postavio backdoor.

Zegelman je odbacio ovakve spekulacije i rekao da bi svoju grešku mogao objasniti veoma lako. Ipak, on je dodao da razume zbog čega je za mnoge “primamljivo” da njegovu grešku vide kao namernu. On je Heartbleed nazvao jednostavnom, ali potpuno nenamernom greškom u programiranju, priznajući da je apsolutno moguće da su obaveštajne agencije kao što je NSA iskorišćavale bag.

“Postoji mogućnost, a uvek je bolje pretpostavljati najgore nego najbolje kada je bezbednost u pitanju”, kaže Zegelman, ponavljajući da on nije znao za bag dok nije otkriven, kao i da nije povezan sa bilo kojom obaveštajnom agencijom.

Godinu dana pošto je napravio grešku, Zegelman je dovršio svoju doktorsku tezu “Strategije za obezbeđivanje end-to-end komunikacije” na Univerzitetu Duizburg-Esen.

OpenSSL tim, kome pripadaju i Zegelman i Henson, je mali a oni koji rade u njemu rade volonterski uprkos činjenici da održavaju nešto tako važno kao što je OpenSSL. Osim ovog incidenta, OpenSSL tim ima dobru reputaciju kada je reč o bezbednosti.

OpenSSL je open-source, što znači da svako može da pogleda njegov kod. U teoriji, to znači i da bi svako mogao da vidi i greške u njemu. Svako može dati doprinos OpenSSL, bilo kodom ili traženjem ranjivosti, ali u realnosti mali broj ljudi to zaista i radi. Svega 13 programera je u OpenSSL timu.

“Bilo bi bolje kada bi više ljudi pomoglo poboljšanju OpenSSL”, kaže Zegelman koji smatra da to mogu raditi kompanije koje će imati korist od nekog vida podrške ili ljudi koji će to raditi u slobodno vreme. “Međutim, ako ga svi samo koriste i misle da će se neko drugi na kraju pobrinuti za to, to neće funkcionisati”, zaključuje Zegelman.