私たちがパーソナル コンピューターを使用して以来、私はそのさまざまな脆弱性について書き続けてきました。それでも、何年もの間、私はそのようなものに出会ったことはありませんでしたハートブリード-- インターネット初のブランド化されたセキュリティ ホール。
セキュリティ会社Codenomiconとほぼ同時にハートブリードの存在を公表した、これは明らかに何かが違いました。
Heartbleed は、独自の Web サイトに関する最初のインターネット バグですか?https://t.co/M9u976X9uiまた、SSL はどこですか?— Lance Ulanoff (@LanceUlanoff)2014 年 4 月 9 日
ハートブリードコムそれは啓示でした。まず、OpenSSL 暗号化バグには、不気味な血が滴る赤いハートの輪郭という独自のロゴがありました。シンプルで強力、そして最も重要なのは記憶に残るものです。 Codenomicon の Heartbleed FAQ は、私がこれまで出会った中で最も明確なセキュリティ情報ページでした。この記事は、Tier 1 ネットワーク プロバイダー向けの SSL テストに熱心な会社によって書かれたものとは思えませんでした。賢くて包括的でありながら、完全に理解できるものでした。
Heartbleed の情報発信先を作成することで、Codenomicon はテレビで 6 つのコマーシャルを流すよりも効果的にニュースを広めました。 FAQ は素晴らしい仕事をしましたが、ストーリーの背後にあるストーリー、つまり Codenomicon がどのように、そしてなぜそれを行ったのかを提供しませんでした。
[slug="heartbleed-bug-websites-affected" も参照してください]
Heartbleed の啓発活動が 2 週目に入る中、Codenomicon の CMO Hope Frank が多忙なスケジュールの合間を縫って時間を割いて、メールで私たちの質問に答えてくれました。
Q: 現時点で、Heartbleed はどれくらい危険ですか?私たちが当初考えていたよりも悪いという人もいれば、不釣り合いに膨れ上がっているという人もいます。
A: それは真剣に受け止めるべきです。更新されていないサービスが多数ありますが、これはおそらく部分的には、深刻さに関するこの議論、または脆弱性に関連する無関係なトピックが原因です。現在の主な課題は、人々がこのことについて聞き、すぐに反応するよう説得できるようにすることです。影響を受けるバージョンのソフトウェアを実行し、重要なインフラストラクチャの一部である機密データまたはデバイスをホストしているすべての人は、a) 新しい秘密鍵を作成し、b) 新しい証明書を要求し、c) 全員にパスワードを変更するよう指示する必要があります。
Q: チームがそれを探すきっかけとなったのは何ですか?ヒントは得られましたか?
A: いいえ。これは、SSL/TLS ファジング ツールの新機能のテストの一環でした。
Q:誰が名付けたのですか? (名前がコードのハートビート部分を指していることはわかっています。)
A: Ossi Herrala は、フィンランドのオウル本社でこの問題に取り組んでいる専門家の 1 人です。
Q: 拒否されたロゴはありましたか?
A: はい。
Q: 見えるでしょうか?
A: いいえ。これはマーケティング活動ではないことに注意してください。 Heartbleed サイトのすべての FAQ 資料における主な目標は、公開前に、セキュリティが重要な場所で OpenSSL を使用する複数の関係者にその重要性を伝えることでした。 OpenSSL が脆弱性を公開した後、FAQ サイトをリリースしました。
Q: 他の脆弱性や攻撃を専門に扱うサイトを作成したことがありますか?
A: いいえ。参照してください。ここ以前に報告された欠陥について。
Q: あなたの顧客は誰ですか?
A: 当社では、モデルベース ファジングと呼ばれる技術を使用して、未知の「ゼロデイ」脆弱性を検出するためのテスト ツールを作成しています。当社の顧客は、Tier 1 ネットワーク機器メーカー、通信事業者、通信事業者、インフラストラクチャ ビルダーです。当社のツールは、セキュリティ評価サービスを証明するセキュリティ専門家によっても使用されています。当社のもう 1 つの製品ラインは、状況認識とネットワーク不正行為の自動処理に重点を置いています。これは、CERT-FI を含む、世界中の 10 以上の国家証明書で使用されています。
競合他社は誰ですか?
私たちは競合他社と出会ったことはありません。セキュリティ テスト会社のほとんどは、Web アプリケーション層のみに焦点を当てています。市場は主に「アドオン」セキュリティでした。私たちは「組み込み」セキュリティにもっと重点を置いています。
いつ設立されましたか?
2001年。
会社の規模はどれくらいですか?
世界中で120人。
Heartbleed のような作品が再び見られるかどうかを知る方法はありません。明らかなことは、この危険なセキュリティ上の欠陥が最後に起こったということをまだ聞いていないということです。
その間に、Codenomicon は将来のすべてのセキュリティ警告のモデルを作成した可能性があります。今後のフルコートプレスのブランディングが、本当に危険な者のみに限定されることを祈りたい。
[wp_scm_comment]