2014 წლის 7 აპრილს მსოფლიომ შეიტყო ინტერნეტის ისტორიაში უსაფრთხოების ყველაზე სერიოზული ხარვეზის შესახებ. მას ჰქვია Heartbleed.
აღმოაჩინა ერთდროულად ნილ მეჰტამ, Google-ის უსაფრთხოების მკვლევარმა და ფინურმა უსაფრთხოების ფირმამ Codenomicon, შეცდომა არღვევს უსაფრთხოების პროტოკოლს, რომელსაც ჩვეულებრივ იყენებენ მოწყობილობები და ვებსაიტები მთელ მსოფლიოში. Heartbleed შესაძლებელს ხდის ჰაკერს მონაცემების გაფცქვნას მეხსიერებიდან – მათ შორის პაროლები, საბანკო ანგარიშის ნომრები და ყველაფერი, რაც შიგნით რჩება.
რეკომენდებული ვიდეოები
შეცდომის სიმძიმე ბევრს აინტერესებდა, როგორ შეიძლება მოხდეს ეს. OpenSSL, უსაფრთხოების პროტოკოლი, რომელშიც შეცდომა იქნა ნაპოვნი, გამოიყენება მთელ მსოფლიოში. იგი გამოიყენება არა მხოლოდ სერვერებში, არამედ მარშრუტიზატორებში და ზოგიერთ Android სმარტფონშიც კი. შეიძლება ფიქრობთ, რომ ზოგიერთ პასუხისმგებელ მხარეს ჰყავს უსაფრთხოების მკვლევართა გუნდი, რომელიც ამოწმებს და ორჯერ ამოწმებს კოდს, მაგრამ, სინამდვილეში, OpenSSL-ს მართავს მცირე ჯგუფი, რომელიც ძირითადად მოხალისეებისგან შედგება.
დაკავშირებული
- WordPress-ის ახალმა შეცდომამ შესაძლოა 2 მილიონი საიტი დაუცველი დატოვა
- Twitter-ის SMS ორფაქტორიან ავთენტიფიკაციას პრობლემები აქვს. აი, როგორ შეცვალოთ მეთოდები
- HiveNightmare არის Windows-ის ახალი საშინელი შეცდომა. აი, როგორ დაიცვათ თავი
გახსნა OpenSSL-ზე
OpenSSL ამაყობს თავისი სახელით ღია წყაროდან. 1998 წელს დაარსებული პროექტი შეიქმნა იმისათვის, რომ უზრუნველყოს უფასო დაშიფვრის ხელსაწყოები ინტერნეტ სერვერებისთვის. ეს იყო მნიშვნელოვანი მიზანი; დაშიფვრა კრიტიკული და გავრცელებულია. საჭირო იყო უფასო სტანდარტი, რათა დავრწმუნდეთ, რომ იგი მიღებული იქნებოდა რაც შეიძლება სწრაფად. პროექტი საოცრად წარმატებული იყო და სწრაფად გახდა ინტერნეტის უსაფრთხოების ერთ-ერთი ყველაზე მნიშვნელოვანი ინსტრუმენტი.
თუმცა, წარმატებამ არ გამოიწვია გაფართოება ან მოგება. OpenSSL აწარმოებს შემოსავალს მხოლოდ დამხმარე კონტრაქტებით, რაც უზრუნველყოფს წვდომას პრობლემების აღმოფხვრასა და კონსულტაციაზე თავად ორგანიზაციისგან.
სულ მხოლოდ 11 ადამიანი, მათი უმეტესობა მოხალისეა, პასუხისმგებელია დაშიფვრის კრიტიკულ სტანდარტზე.
ეს იწვევს პროგნოზირებად პატარა პერსონალს. "ძირითადი გუნდი" შედგება მხოლოდ ოთხი ადამიანისგან, ხოლო განვითარების გუნდი სიას კიდევ შვიდ სახელს ამატებს. ეს არის სულ მხოლოდ 11 ადამიანი, მათი უმეტესობა მოხალისეები, რომლებიც პასუხისმგებელნი არიან დაშიფვრის კრიტიკულ სტანდარტზე. მხოლოდ ერთი მათგანი, დოქტორი სტივენ ჰანსონი, მთლიანად ამახვილებს ყურადღებას OpenSSL-ზე. ყველას სხვა სრულ განაკვეთზე სამუშაო აქვს.
ეს ყველაზე კარგად თქვა სტივ მარკესმა, რომელიც მართავს ორგანიზაციის ფულს. „საიდუმლო ის არ არის, რომ რამდენიმე ზედმეტად დატვირთულმა მოხალისემ შეცდომა გამოტოვა; საიდუმლო არის ის, თუ რატომ არ ხდება ეს უფრო ხშირად. ”
შეცდომები დაუშვა
ეს არის ის, რასაც მთელი კრიზისი ემყარება - შეცდომა. შეცდომა შემოიღო რობინ სეგელმანმა, გერმანელმა მოხალისემ, რომელიც მუშაობს OpenSSL გაფართოებაზე სახელად Heartbeat. მან კოდი 2011 წლის ახალი წლის ღამეს წარადგინა და ის შემდგომში გადაიდო განხილვის პროცესში. Heartbleed არსებობს, საზოგადოებისთვის უცნობი, ორ წელზე მეტი ხნის განმავლობაში.
პროექტის სხვა წევრები ორჯერ ამოწმებენ წარდგენილ კოდს განხილვის დროს, მაგრამ შეცდომები ხდება, ამიტომ გასაკვირი არ არის, რომ შეცდომა საბოლოოდ გადაიჭრა. ისეთ მრავალმილიარდ დოლარიან კომპანიებსაც კი, როგორიცაა Microsoft და Cisco, უხერხული ექსპლოიტების სამართლიანი წილი ხვდება.
პრობლემა გამომდინარეობს მეხსიერების განაწილებიდან იმ მნიშვნელობის მიხედვით, რომელიც შეიძლება განისაზღვროს მოთხოვნით. თუ მომხმარებელი უზრუნველყოფს სწორ შეყვანას, ფუნქცია იმუშავებს ისე, როგორც ეს იყო დაგეგმილი. თუმცა, თუ არასწორი მოთხოვნაა დაყენებული, კოდი ტოვებს მეხსიერებაში არსებულ ნაწილს, მათ შორის ინფორმაციას, რომელიც უნდა იყოს დაცული და დაშიფრული. ეს ვებ კომიქსი ასევე განმარტავს Heartbleed, თუ თვლით, რომ ვიზუალიზაცია სასარგებლო იქნება.
ზოგიერთი პროგრამული უზრუნველყოფის ინჟინერი ამას თვლის შეცდომის არსებობა აჩენს კითხვებს C-ის უსაფრთხოების შესახებ, კოდი, რომელშიც ეწერა Heartbeat გაფართოება. თუმცა პოპულარულია, C არის რთული ენა, რომელიც უამრავ შესაძლებლობას იძლევა მეხსიერების მენეჯმენტში და მნიშვნელობების მართვაში შეცდომის დაშვებისთვის. შეცდომა სხვა ღია კოდის SSL იმპლემენტაციაში, GnuTLS, ამოჭრილი იყო Heartbleed-მდე ერთი თვით ადრე და ასევე დაიწერა C. ეს ბაგი კიდევ უფრო ძველი იყო; მასზე პასუხისმგებელი კოდი დაემატა 2005 წელს.
რა არის შემდეგი ნაბიჯი?
ადამიანური შეცდომა საბოლოოდ არის Heartbleed-ის დამნაშავე, მაგრამ შეცდომა მხოლოდ ერთი კოდირების მხრებზე არ მოდის. OpenSSL არის უფასო პროგრამული უზრუნველყოფა, რომელსაც იყენებენ Fortune 500 კომპანიები, მთავრობები და სამხედრო ორგანიზაციებიც კი, მაგრამ ეს კოსტიუმები თითქმის არასოდეს არ უწევენ პროექტს დაფინანსებას ან სამუშაო ძალას.
კომპანიები და მთავრობები, როგორც ჩანს, ძალიან შეშფოთებულნი არიან, მაგრამ რეალური მხარდაჭერის დაპირებები საშინელი არ არის.
მსოფლიომ ასევე უნდა ისწავლოს ამ შეცდომისგან. ღია კოდის პროექტის გამოყენება მასში წვლილის გარეშე, გრძელვადიან პერსპექტივაში, კატასტროფის რეცეპტია – განსაკუთრებით მაშინ, როდესაც პროექტი არის ქსელის ინფრასტრუქტურის კრიტიკული ნაწილი. ინტერნეტის უსაფრთხოება არ უნდა იყოს მხარდაჭერილი მოხალისეების მიერ, რომლებიც თავიანთ სახელებს ახალ ამბებში მხოლოდ მაშინ ხვდებიან, როცა რაღაც არასწორედ ხდება.
რედაქტორების რეკომენდაციები
- გამოსასყიდი პროგრამების შეტევები მასიურად გაიზარდა. აი, როგორ დავიცვათ თავი
- Reddit გატეხილია – აი, როგორ დააყენოთ 2FA თქვენი ანგარიშის დასაცავად
- SpaceX აღწევს Starlink-ის 100 ათას მომხმარებელს. აი, როგორ უნდა დარეგისტრირდეთ
- თქვენს Dell ლეპტოპს შეიძლება ჰქონდეს უსაფრთხოების დაუცველობა. აი, როგორ უნდა გამოსწორდეს.
- რა არის DNS სერვერი? აი, როგორ ემსახურება ინტერნეტი თქვენს ფავორიტებს
განაახლეთ თქვენი ცხოვრების წესიციფრული ტენდენციები ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
