Moscow-Live.ru

Ряд крупных компаний, в том числе, Google, Microsoft и Facebook, объединят свои усилия, чтобы обезопасить ПО с открытым исходным кодом от критических ошибок. Эта кооперация должна помочь избежать повторения ситуации с уязвимостью Heartbleed ("Кровоточащее сердце"), обнаруженной в пакете OpenSSL, сообщает The Verge.

Организация The Linux Foundation запустила проект The Core Infrastructure Initiative, целью которого является сбор средств для совершенствования программного обеспечения с открытым исходным кодом, безопасность которого вызывает опасения. В первую очередь усилия участников будут направлены на поиск новых уязвимостей в пакете OpenSSL.

Исполнительный директор The Linux Foundation Джим Землин заявил, что обнаружение Heartbleed стало поворотной точкой для IT-индустрии и пришло время для перемен. Землин также отметил, что подобный проект следовало запустить раньше.

Участниками проекта The Core Infrastructure Initiative уже стали 13 компаний, включая Google, Qualcomm, Microsoft, Facebook, Intel, Dell, Cisco, Fujitsu и облачные сервисы Rackspace и Amazon. Каждая из компаний приняла обязательство тратить на нужды проекта минимум 100 тысяч долларов в год в течение трех лет. То есть минимальный объем инвестиций на данный момент составляет 3,9 миллиона долларов.

О наличии серьезной уязвимости в пакете OpenSSL, предназначенном для защиты и сертификации данных, стало известно 7 апреля, когда разработчики сообщили об устранении ошибки, существовавшей с марта 2012 года.
Обнаруженная ошибка была связана с отсутствием необходимой проверки длины запроса в одной из процедур расширения Heartbeat. Из-за этого любой злоумышленник мог получить прямой доступ к оперативной памяти компьютеров, чьи коммуникации были защищены уязвимой версией OpenSSL.

Позднее немецкий программист Робин Зеггельман, который и добавил в пакет OpenSSL критическую уязвимость Heartbleed, дал интервью, в котором заявил, что сделал это непреднамеренно. Он подчеркнул, что ошибка оказалась в коде случайно. Ее не заметил также и специалист, проверявший работу Зеггельмана, в результате чего она не была удалена из финальной версии очередного релиза OpenSSL.

Эксперты признали ошибку чрезвычайно серьезной. Выяснилось, что теоретически проблема безопасности могла коснуться 65% всех серверов в мире. От уязвимости могли пострадать по меньшей мере 200 тысяч российских владельцев банковских карт, которые приобретали билеты на сайте РЖД с 7 по 14 апреля.