Jak došlo k chybě šifrování dat Heartbleed OpenSSL?

jak došlo k chybě heartbleed openssl lock

7. dubna 2014 se svět dozvěděl o možná nejzávažnější bezpečnostní chybě v historii internetu. Jmenuje se Heartbleed.

Objeveno současně Neelem Mehtou, bezpečnostním výzkumníkem ve společnosti Google, a finskou bezpečnostní firmou Codenomicon, chyba narušuje bezpečnostní protokol běžně používaný zařízeními a weby celosvětově. Heartbleed umožňuje hackerům sbírat data z paměti – včetně hesel, čísel bankovních účtů a čehokoli dalšího, co se v něm zdržuje.

Doporučená videa

Závažnost chyby způsobila, že mnozí přemýšleli, jak se to mohlo stát. OpenSSL, bezpečnostní protokol, ve kterém byla nalezena chyba, se používá po celém světě. Používá se nejen v serverech, ale také v routerech a dokonce i v některých chytrých telefonech Android. Možná si myslíte, že nějaká odpovědná strana má tým bezpečnostních výzkumníků, kteří kontrolují a dvakrát kontrolují kód, ale ve skutečnosti OpenSSL spravuje malá skupina skládající se převážně z dobrovolníků.

Příbuzný

Nová chyba WordPress mohla způsobit zranitelnost 2 milionů webů

Dvoufaktorové ověřování SMS na Twitteru má problémy. Zde je návod, jak přepnout metody
HiveNightmare je ošklivá nová chyba Windows. Zde je návod, jak se chránit

Otevírání na OpenSSL

OpenSSL se může pochlubit svým open source původem ve svém názvu. Projekt byl založen v roce 1998, aby poskytoval sadu bezplatných šifrovacích nástrojů pro internetové servery. To byl důležitý cíl; šifrování je kritické a běžné. Bylo zapotřebí bezplatného standardu, aby bylo zajištěno, že bude přijat co nejrychleji. Projekt byl velmi úspěšný a rychle se stal jedním z nejdůležitějších bezpečnostních nástrojů internetu.

Úspěch však nevedl k expanzi nebo ziskům. OpenSSL generuje příjmy pouze prostřednictvím smluv o podpoře, což poskytuje přístup k řešení problémů a poradenství ze strany samotné organizace.

Za kritický standard šifrování je odpovědných celkem pouhých 11 lidí, většina z nich jsou dobrovolníci.

Tyto smlouvy poskytují menší tok příjmů, ale projekt zdaleka nepřetéká hotovostí. OpenSSL Software Foundation nikdy nevydělala více než jeden milion dolarů Hrubý roční příjem. Dary byly také chudokrevné; organizace obvykle dostává asi 2 000 $ každý rok.

To má za následek předvídatelně malý počet zaměstnanců. „Základní tým“ tvoří pouze čtyři jednotlivci a vývojový tým přidává na seznam dalších sedm jmen. To je celkem pouhých 11 lidí, z nichž většina jsou dobrovolníci, odpovědných za kritický standard šifrování. Pouze jeden z nich, Dr. Stephen Hanson, se plně zaměřuje na OpenSSL. Všichni ostatní mají jinou práci na plný úvazek.

Nejlépe to řekl Steve Marquess, který spravuje peníze organizace. „Záhadou není, že pár přepracovaných dobrovolníků chybu přehlédlo; záhadou je, proč se to nestávalo častěji."

Dělaly se chyby

To je to, na čem se celá krize scvrkává – chyba. Chybu představil Robin Seggelmann, německý dobrovolník pracující na rozšíření OpenSSL s názvem Heartbeat. Odeslal kód na Silvestra 2011 a následně prošel procesem kontroly. Heartbleed existuje, veřejnosti neznámý, přes dva roky.

otevřít ssl Ostatní členové projektu během kontroly dvakrát kontrolují zaslaný kód, ale dochází k chybám, takže není překvapením, že chyba nakonec proklouzla. Dokonce i multimiliardové společnosti, jako jsou Microsoft a Cisco, jsou zasaženy spravedlivým podílem trapných exploitů.

Problém pramení z alokace paměti podle hodnoty, kterou lze definovat požadavkem. Pokud uživatel zadá platný vstup, funkce funguje tak, jak má. Pokud je však podán neplatný požadavek, kód vypíše část toho, co je v paměti, včetně informací, které mají být zabezpečené a šifrované. Tento webový komiks také vysvětluje Heartbleed, pokud byste považovali vizualizaci za užitečnou.

Někteří softwaroví inženýři tomu věří Existence chyby vyvolává otázky o bezpečnosti C, kód, ve kterém bylo napsáno rozšíření Heartbeat. Ačkoli je C populární, je komplexní jazyk, který nabízí mnoho příležitostí pro chyby ve správě paměti a manipulaci s hodnotami. Chyba v jiné open-source implementaci SSL, GnuTLS, se objevil měsíc před Heartbleed a byl také napsán v C. Ten brouk byl ještě starší; kód zodpovědný za to byl přidán v roce 2005.

Jaký je další krok?

Lidská chyba je nakonec na vině Heartbleed, ale chyba nepadá pouze na bedra jediného kodéra. OpenSSL je svobodný software používaný společnostmi z žebříčku Fortune 500, vládami a dokonce i vojenskými organizacemi, ale tyto organizace téměř nikdy nepřispívají financováním nebo pracovní silou do projektu.

Společnosti a vlády se zdají být velmi znepokojeny, ale přísliby skutečné podpory zlověstně chybí.

To je systémové selhání v ohromujícím měřítku, ale zřejmá potřeba většího dohledu nepřiměla mnoho lidí v pozicích velkého bohatství nebo moci k akci. Peněžník OpenSSL Software Foundation Steve Marquess říká, že dary se od objevení chyby zvýšily, ale k 12. dubnu stále nepřesahovaly 9 000 dolarů za rok. Většina z toho pocházela od jednotlivců, kteří přislíbili 5 nebo 10 dolarů. Společnosti a vlády se zdají být velmi znepokojeny, ale přísliby skutečné podpory zlověstně chybí.

Svět se také musí z této chyby poučit. Použití projektu s otevřeným zdrojovým kódem bez přispění k němu je z dlouhodobého hlediska receptem na katastrofu – zvláště když je projekt kritickou součástí síťové infrastruktury. Bezpečnost internetu by neměla zajišťovat hrstka dobrovolníků, kteří najdou svá jména ve zprávách pouze tehdy, když se něco pokazí.

Doporučení redakce

Útoky ransomwaru masivně vzrostly. Zde je návod, jak zůstat v bezpečí
Reddit byl hacknut – zde je návod, jak nastavit 2FA k ochraně vašeho účtu
SpaceX dosáhlo 100 tisíc zákazníků Starlink. Zde je návod, jak se přihlásit
Váš notebook Dell může mít bezpečnostní chybu. Zde je návod, jak to opravit.
Co je to DNS server? Zde je návod, jak internet nabízí vaše oblíbené položky

Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.