ב-7 באפריל 2014, העולם למד על מה שהוא אולי באג האבטחה החמור ביותר בהיסטוריה של האינטרנט. זה נקרא Heartbleed.
התגלה בו זמנית על ידי Neel Mehta, חוקר אבטחה בגוגל וחברת אבטחה פינית Codenomicon, הבאג פוגע בפרוטוקול אבטחה הנפוץ במכשירים ואתרי אינטרנט עוֹלָמִי. Heartbleed מאפשר להאקר לגרד נתונים מהזיכרון - כולל סיסמאות, מספרי חשבון בנק וכל דבר אחר שמתעכב בפנים.
סרטונים מומלצים
חומרת הבאג השאירה רבים תוהים כיצד זה יכול לקרות. OpenSSL, פרוטוקול האבטחה שבו נמצא באג, נמצא בשימוש בכל העולם. הוא משמש לא רק בשרתים, אלא גם בנתבים ואפילו כמה סמארטפונים של אנדרואיד. אתה עשוי לחשוב שלגורם אחראי כלשהו יש צוות של חוקרי אבטחה שבודקים ובודקים פעמיים את הקוד, אבל למען האמת, OpenSSL מנוהל על ידי קבוצה קטנה המורכבת בעיקר ממתנדבים.
קָשׁוּר
- ייתכן שבאג חדש של וורדפרס הותיר 2 מיליון אתרים פגיעים
- אימות דו-גורמי SMS של טוויטר נתקל בבעיות. הנה איך להחליף שיטות
- HiveNightmare הוא באג חדש ומגעיל של Windows. הנה איך להגן על עצמך
פתיחה ל-OpenSSL
OpenSSL מתגאה במקור הקוד הפתוח שלו בשמה. הפרויקט, שנוסד בשנת 1998, נוצר כדי לספק קבוצה של כלי הצפנה בחינם לשרתי אינטרנט. זו הייתה מטרה חשובה; הצפנה היא קריטית ונפוצה. היה צורך בתקן חופשי כדי לוודא שהוא יאומץ מהר ככל האפשר. הפרויקט הצליח בטירוף, והפך במהרה לאחד מכלי האבטחה החשובים ביותר של האינטרנט.
עם זאת, הצלחה לא הביאה להתרחבות או רווחים. OpenSSL מייצרת הכנסה רק באמצעות חוזי תמיכה, המספקים גישה לפתרון בעיות וייעוץ מהארגון עצמו.
בסך הכל 11 אנשים בלבד, רובם מתנדבים, אחראים על תקן הצפנה קריטי.
זה מביא לצוות זעיר כצפוי. "צוות הליבה" מורכב מארבעה אנשים בלבד, וצוות הפיתוח מוסיף שבעה שמות נוספים לרשימה. בסך הכל מדובר ב-11 אנשים בלבד, רובם מתנדבים, האחראים על תקן הצפנה קריטי. רק אחד מהם, ד"ר סטיבן הנסון, מתמקד ב-OpenSSL לחלוטין. לכל השאר יש עוד עבודה במשרה מלאה.
סטיב מרקס, שמנהל את כספי הארגון, אמר זאת בצורה הטובה ביותר. "התעלומה אינה שכמה מתנדבים שעובדים יתר על המידה החמיצו את הבאג; התעלומה היא מדוע זה לא קרה לעתים קרובות יותר."
נעשו טעויות
בזה מסתכם המשבר כולו - טעות. השגיאה הוצגה על ידי רובין סגלמן, מתנדב גרמני שעובד על תוסף OpenSSL בשם Heartbeat. הוא הגיש את הקוד בערב השנה החדשה, 2011, והוא חמק לאחר מכן בתהליך הבדיקה. Heartbleed קיים, לא ידוע לציבור, כבר למעלה משנתיים.
חברים אחרים בפרויקט בדקו פעמיים שלחו קוד במהלך הסקירה, אך טעויות קורות, כך שאין זה מפתיע שבאג בסופו של דבר חמק. אפילו חברות של מיליארדי דולרים כמו מיקרוסופט וסיסקו נפגעות מהחלק ההוגן שלהן במעללים מביכים.
הבעיה נובעת מהקצאת זיכרון לפי ערך שניתן להגדיר על ידי בקשה. אם המשתמש מספק קלט חוקי, הפונקציה פועלת כמתוכנן. עם זאת, אם מתקבלת בקשה לא חוקית, הקוד זורק חלק ממה שיש בזיכרון, כולל מידע שאמור להיות מאובטח ומוצפן. הקומיקס האינטרנטי הזה גם מסביר Heartbleed, אם תראה שהדמיה מועילה.
כמה מהנדסי תוכנה מאמינים בכך קיומו של הבאג מעלה שאלות לגבי האבטחה של C, הקוד שבו נכתבה ההרחבה Heartbeat. למרות שפופולרית, C היא שפה מורכבת שמציעה הרבה הזדמנויות לשגיאות בניהול זיכרון ובטיפול בערכים. באג ביישום SSL אחר בקוד פתוח, GnuTLS, צצה חודש לפני Heartbleed, וגם נכתב ב-C. הבאג הזה היה ישן עוד יותר; הקוד שאחראי לו התווסף ב-2005.
מה השלב הבא?
טעות אנוש היא בסופו של דבר אשמה ב-Heartbleed, אבל התקלה אינה נופלת רק על כתפיו של קודן אחד. OpenSSL היא תוכנה חינמית המשמשת חברות Fortune 500, ממשלות ואפילו ארגונים צבאיים, אך התלבושות הללו כמעט אף פעם לא תורמות מימון או כוח אדם לפרויקט.
חברות וממשלות נראות מודאגות מאוד, אך הבטחות לתמיכה אמיתית נעדרות באופן מבשר רעות.
גם העולם חייב ללמוד מהטעות הזו. שימוש בפרויקט קוד פתוח מבלי לתרום לו הוא, בטווח הארוך, מתכון לאסון - במיוחד כאשר הפרויקט הוא חלק קריטי מתשתית הרשת. אבטחת האינטרנט לא צריכה להישמר על ידי קומץ מתנדבים שמוצאים את שמם בחדשות רק כשמשהו משתבש.
המלצות עורכים
- התקפות כופר עלו באופן מסיבי. הנה איך לשמור על בטיחות
- Reddit נפרץ - הנה איך להגדיר את 2FA כדי להגן על החשבון שלך
- SpaceX מגיעה ל-100 אלף לקוחות Starlink. הנה איך להירשם
- ייתכן שלמחשב הנייד של Dell שלך יש פגיעות אבטחה. הנה איך לתקן את זה.
- מהו שרת DNS? כך האינטרנט מגיש את המועדפים שלך
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
