7. travnja 2014. svijet je saznao za vjerojatno najozbiljniju sigurnosnu grešku u povijesti interneta. Zove se Heartbleed.
Istovremeno su otkrili Neel Mehta, sigurnosni istraživač u Googleu i finska zaštitarska tvrtka Codenomicon, bug ugrožava sigurnosni protokol koji obično koriste uređaji i web stranice diljem svijeta. Heartbleed omogućuje hakerima da kradu podatke iz memorije – uključujući lozinke, brojeve bankovnih računa i sve ostalo što postoji unutra.
Preporučeni videozapisi
Ozbiljnost greške natjerala je mnoge da se zapitaju kako se to moglo dogoditi. OpenSSL, sigurnosni protokol u kojem je pronađena greška, koristi se u cijelom svijetu. Ne koristi se samo u poslužiteljima, već i u usmjerivačima, pa čak i na nekim Android pametnim telefonima. Možda mislite da neka odgovorna strana ima tim sigurnosnih istraživača koji provjeravaju i dvostruko provjeravaju kod, ali, zapravo, OpenSSL-om upravlja mala grupa koja se sastoji uglavnom od volontera.
Povezano
- Nova greška u WordPressu možda je ostavila 2 milijuna stranica ranjivima
- Twitterova SMS autentifikacija u dva faktora ima problema. Evo kako promijeniti metode
- HiveNightmare je gadna nova Windows bug. Evo kako se zaštititi
Otvaranje na OpenSSL
OpenSSL se u svom nazivu može pohvaliti izvorom otvorenog koda. Osnovan 1998. godine, projekt je stvoren kako bi osigurao skup besplatnih alata za šifriranje za internetske poslužitelje. Ovo je bio važan cilj; enkripcija je kritična i uobičajena. Slobodan standard je bio potreban kako bi se osiguralo da će biti usvojen što je brže moguće. Projekt je bio izuzetno uspješan i brzo je postao jedan od najvažnijih sigurnosnih alata na internetu.
Ipak, uspjeh nije rezultirao širenjem ili profitom. OpenSSL generira prihod samo kroz ugovore o podršci, koji omogućavaju pristup rješavanju problema i savjetovanju same organizacije.
Ukupno je samo 11 ljudi, većina njih volontera, odgovorno za kritični standard šifriranja.
To rezultira predvidljivo malim brojem osoblja. "Osnovni tim" sastoji se od samo četiri osobe, a razvojni tim dodaje još sedam imena na popis. To je ukupno samo 11 ljudi, većina njih volontera, odgovornih za kritični standard šifriranja. Samo se jedan od njih, dr. Stephen Hanson, u potpunosti fokusira na OpenSSL. Svi ostali imaju još jedan posao s punim radnim vremenom.
Steve Marquess, koji upravlja novcem organizacije, to je najbolje rekao. „Misterij nije u tome što je nekoliko prezaposlenih volontera propustilo grešku; misterij je zašto se to nije događalo češće."
Napravljene su greške
Na to se svodi cijela kriza - na grešku. Pogrešku je uveo Robin Seggelmann, njemački volonter koji radi na OpenSSL proširenju pod nazivom Heartbeat. Poslao je kod na Staru godinu 2011., a on je kasnije prošao kroz proces pregleda. Heartbleed postoji, javnosti nepoznat, više od dvije godine.
Ostali članovi projekta još jednom provjeravaju dostavljeni kod tijekom pregleda, ali greške se događaju, pa nije iznenađenje da se greška na kraju provukla. Čak su i tvrtke vrijedne više milijardi dolara poput Microsofta i Cisca pogođene dobrim udjelom neugodnih iskorištavanja.
Problem proizlazi iz dodjele memorije prema vrijednosti koja se može definirati zahtjevom. Ako korisnik unese važeći unos, funkcija radi kako je predviđeno. Međutim, ako se postavi nevažeći zahtjev, kod ispisuje dio onoga što je u memoriji, uključujući informacije koje bi trebale biti sigurne i šifrirane. Ovaj web strip također objašnjava Heartbleed, ako smatrate da je vizualizacija korisna.
Neki softverski inženjeri vjeruju u to postojanje buga postavlja pitanja o sigurnosti C, kod u kojem je napisano proširenje Heartbeat. Iako popularan, C je složen jezik koji nudi mnogo mogućnosti za pogreške u upravljanju memorijom i rukovanju vrijednostima. Greška u drugoj SSL implementaciji otvorenog koda, GnuTLS, pojavio se mjesec dana prije Heartbleeda, a također je napisan u C. Ta je buba bila još starija; šifra odgovorna za to dodana je 2005.
Koji je sljedeći korak?
Za Heartbleed je u konačnici kriva ljudska pogreška, ali pogreška ne pada samo na pleća jednog kodera. OpenSSL je besplatni softver koji koriste tvrtke s liste Fortune 500, vlade, pa čak i vojne organizacije, ali te tvrtke gotovo nikada ne pridonose financiranju ili radnoj snazi projektu.
Kompanije i vlade izgledaju vrlo zabrinuto, ali obećanja stvarne potpore zloslutno izostaju.
Svijet također mora učiti iz ove pogreške. Korištenje projekta otvorenog koda bez doprinosa tome je, dugoročno gledano, recept za katastrofu – osobito kada je projekt kritični dio mrežne infrastrukture. Za sigurnost interneta ne bi se trebala brinuti šačica dobrovoljaca čija se imena pojavljuju u vijestima samo kad nešto pođe po zlu.
Preporuke urednika
- Napadi ransomwarea su u velikom porastu. Evo kako se zaštititi
- Reddit je hakiran — evo kako postaviti 2FA da zaštitite svoj račun
- SpaceX doseže 100.000 korisnika Starlinka. Evo kako se prijaviti
- Vaše prijenosno računalo Dell možda ima sigurnosnu ranjivost. Evo kako to popraviti.
- Što je DNS poslužitelj? Evo kako internet servira vaše favorite
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.
