Nieuws
image

Inzamelingsactie gestart om OpenSSL veiliger te maken

donderdag 17 april 2014, 12:46 door Redactie, 5 reacties

Om een herhaling van de Heartbleed-bug in OpenSSL te voorkomen en de software te laten doorlichten is er op internet een inzamelingsactie gestart. Het idee is afkomstig van Bugcrowd, een starter die het makkelijker voor bedrijven wil maken om een beloningsprogramma voor kwetsbaarheden te beginnen.

In het geval van OpenSSL is de veiligheid van de software volgens Bugcrowd de verantwoordelijkheid van alle internetgebruikers en bedrijven die er gebruik van maken. OpenSSL wordt onder andere door websites gebruikt voor het opzetten van beveiligde verbindingen tussen bezoekers en de website. De Heartbleed-bug in OpenSSL zorgt ervoor dat een aanvaller vertrouwelijke informatie uit het geheugen van een webserver kan stelen.

Bugcrowd wil nu 250.000 dollar inzamelen om OpenSSL in z'n geheel door beveiligingsonderzoekers te laten doorlichten. Het is echter de vraag of het beoogde bedrag zal worden gehaald. Met nog 12 dagen te gaan is er pas 5600 dollar opgehaald.

Reacties (5)
17-04-2014, 15:00 door Anoniem
De mannekes van openbsd zijn al begonnen met openssl eens grondig onder handen te nemen. Zachtzinnig gaat het er niet aan toe: Allerlei oude meuk wordt subiet weggeflikkerd, dus of hun versie ooit nog zal werken op, zeg, OS/2 of VMS (beide nog in gebruik in verschillende embedded niches) is nog maar helemaal de vraag. Maar ze zijn dus gewoon begonnen, zonder dat ze eerst om geld gingen zeuren.
17-04-2014, 17:45 door [Account Verwijderd] - Bijgewerkt: 17-04-2014, 17:47
[Verwijderd]
18-04-2014, 10:36 door Anoniem
Gaat dat wel helpen, geld er tegenaan gooien?
Deze bug is er door de auditing heen gekomen, had die hem wel tegengehouden als er ergens geld lag?
Het lijkt me dat als je geld beschikbaar maakt om er een horde programmeurs op te zetten om alles een flink door
te nemen en om te spitten, het risico dat er juist weer nieuwe ongedetecteerde bugs in terecht komen juist groter is.
Zeker als er allerlei instanties (al dan niet zichtbaar) bij betrokken raken die juist belang hebben bij bugs in de code.
18-04-2014, 13:42 door Anoniem
Door Anoniem: De mannekes van openbsd zijn al begonnen met openssl eens grondig onder handen te nemen. Zachtzinnig gaat het er niet aan toe: Allerlei oude meuk wordt subiet weggeflikkerd, dus of hun versie ooit nog zal werken op, zeg, OS/2 of VMS (beide nog in gebruik in verschillende embedded niches) is nog maar helemaal de vraag. Maar ze zijn dus gewoon begonnen, zonder dat ze eerst om geld gingen zeuren.

idd, TheodR@ was not amused. En als de OpenBSD boys het aanpakken weet je dat het goed komt.
Ik voorspel dat binnen een jaar de gehele OpenSSL stack is vervangen door de nieuwe variant van OpenBSD.
De naam: OpenTLS.
18-04-2014, 21:38 door Anoniem
Door Anoniem:
idd, TheodR@ was not amused. En als de OpenBSD boys het aanpakken weet je dat het goed komt.
Ik voorspel dat binnen een jaar de gehele OpenSSL stack is vervangen door de nieuwe variant van OpenBSD.
De naam: OpenTLS.
Waarom een dood paard proberen te reanimeren? Er is al een goede vervanger en die heet PolarSSL https://polarssl.org/.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure