7. dubna 2014 se svět dozvěděl o možná nejzávažnější bezpečnostní chybě v historii internetu. Jmenuje se Heartbleed.
Objeveno současně Neelem Mehtou, bezpečnostním výzkumníkem ve společnosti Google, a finskou bezpečnostní firmou Codenomicon, chyba narušuje bezpečnostní protokol běžně používaný zařízeními a weby celosvětově. Heartbleed umožňuje hackerům sbírat data z paměti – včetně hesel, čísel bankovních účtů a čehokoli dalšího, co se v něm zdržuje.
Doporučená videa
Závažnost chyby způsobila, že mnozí přemýšleli, jak se to mohlo stát. OpenSSL, bezpečnostní protokol, ve kterém byla nalezena chyba, se používá po celém světě. Používá se nejen v serverech, ale také v routerech a dokonce i v některých chytrých telefonech Android. Možná si myslíte, že nějaká odpovědná strana má tým bezpečnostních výzkumníků, kteří kontrolují a dvakrát kontrolují kód, ale ve skutečnosti OpenSSL spravuje malá skupina skládající se převážně z dobrovolníků.
Příbuzný
- Nová chyba WordPress mohla způsobit zranitelnost 2 milionů webů
- Dvoufaktorové ověřování SMS na Twitteru má problémy. Zde je návod, jak přepnout metody
- HiveNightmare je ošklivá nová chyba Windows. Zde je návod, jak se chránit
Otevírání na OpenSSL
OpenSSL se může pochlubit svým open source původem ve svém názvu. Projekt byl založen v roce 1998, aby poskytoval sadu bezplatných šifrovacích nástrojů pro internetové servery. To byl důležitý cíl; šifrování je kritické a běžné. Bylo zapotřebí bezplatného standardu, aby bylo zajištěno, že bude přijat co nejrychleji. Projekt byl velmi úspěšný a rychle se stal jedním z nejdůležitějších bezpečnostních nástrojů internetu.
Úspěch však nevedl k expanzi nebo ziskům. OpenSSL generuje příjmy pouze prostřednictvím smluv o podpoře, což poskytuje přístup k řešení problémů a poradenství ze strany samotné organizace.
Za kritický standard šifrování je odpovědných celkem pouhých 11 lidí, většina z nich jsou dobrovolníci.
To má za následek předvídatelně malý počet zaměstnanců. „Základní tým“ tvoří pouze čtyři jednotlivci a vývojový tým přidává na seznam dalších sedm jmen. To je celkem pouhých 11 lidí, z nichž většina jsou dobrovolníci, odpovědných za kritický standard šifrování. Pouze jeden z nich, Dr. Stephen Hanson, se plně zaměřuje na OpenSSL. Všichni ostatní mají jinou práci na plný úvazek.
Nejlépe to řekl Steve Marquess, který spravuje peníze organizace. „Záhadou není, že pár přepracovaných dobrovolníků chybu přehlédlo; záhadou je, proč se to nestávalo častěji."
Dělaly se chyby
To je to, na čem se celá krize scvrkává – chyba. Chybu představil Robin Seggelmann, německý dobrovolník pracující na rozšíření OpenSSL s názvem Heartbeat. Odeslal kód na Silvestra 2011 a následně prošel procesem kontroly. Heartbleed existuje, veřejnosti neznámý, přes dva roky.
Ostatní členové projektu během kontroly dvakrát kontrolují zaslaný kód, ale dochází k chybám, takže není překvapením, že chyba nakonec proklouzla. Dokonce i multimiliardové společnosti, jako jsou Microsoft a Cisco, jsou zasaženy spravedlivým podílem trapných exploitů.
Problém pramení z alokace paměti podle hodnoty, kterou lze definovat požadavkem. Pokud uživatel zadá platný vstup, funkce funguje tak, jak má. Pokud je však podán neplatný požadavek, kód vypíše část toho, co je v paměti, včetně informací, které mají být zabezpečené a šifrované. Tento webový komiks také vysvětluje Heartbleed, pokud byste považovali vizualizaci za užitečnou.
Někteří softwaroví inženýři tomu věří Existence chyby vyvolává otázky o bezpečnosti C, kód, ve kterém bylo napsáno rozšíření Heartbeat. Ačkoli je C populární, je komplexní jazyk, který nabízí mnoho příležitostí pro chyby ve správě paměti a manipulaci s hodnotami. Chyba v jiné open-source implementaci SSL, GnuTLS, se objevil měsíc před Heartbleed a byl také napsán v C. Ten brouk byl ještě starší; kód zodpovědný za to byl přidán v roce 2005.
Jaký je další krok?
Lidská chyba je nakonec na vině Heartbleed, ale chyba nepadá pouze na bedra jediného kodéra. OpenSSL je svobodný software používaný společnostmi z žebříčku Fortune 500, vládami a dokonce i vojenskými organizacemi, ale tyto organizace téměř nikdy nepřispívají financováním nebo pracovní silou do projektu.
Společnosti a vlády se zdají být velmi znepokojeny, ale přísliby skutečné podpory zlověstně chybí.
Svět se také musí z této chyby poučit. Použití projektu s otevřeným zdrojovým kódem bez přispění k němu je z dlouhodobého hlediska receptem na katastrofu – zvláště když je projekt kritickou součástí síťové infrastruktury. Bezpečnost internetu by neměla zajišťovat hrstka dobrovolníků, kteří najdou svá jména ve zprávách pouze tehdy, když se něco pokazí.
Doporučení redakce
- Útoky ransomwaru masivně vzrostly. Zde je návod, jak zůstat v bezpečí
- Reddit byl hacknut – zde je návod, jak nastavit 2FA k ochraně vašeho účtu
- SpaceX dosáhlo 100 tisíc zákazníků Starlink. Zde je návod, jak se přihlásit
- Váš notebook Dell může mít bezpečnostní chybu. Zde je návod, jak to opravit.
- Co je to DNS server? Zde je návod, jak internet nabízí vaše oblíbené položky
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.