2014 m. balandžio 7 d. pasaulis sužinojo apie tikriausiai didžiausią saugumo klaidą interneto istorijoje. Jis vadinamas Heartbleed.
Vienu metu atrado Neel Mehta, „Google“ saugumo tyrinėtojas ir Suomijos saugos įmonė Codenomicon, klaida pažeidžia saugos protokolą, dažniausiai naudojamą įrenginiuose ir svetainėse visame pasaulyje. „Heartbleed“ leidžia įsilaužėliams iškrapštyti duomenis iš atminties – įskaitant slaptažodžius, banko sąskaitų numerius ir visa kita, kas slypi viduje.
Rekomenduojami vaizdo įrašai
Klaidos sunkumas privertė daugelį susimąstyti, kaip tai gali atsitikti. OpenSSL, saugumo protokolas, kuriame buvo rasta klaida, naudojamas visame pasaulyje. Jis naudojamas ne tik serveriuose, bet ir maršrutizatoriuose ir net kai kuriuose „Android“ išmaniuosiuose telefonuose. Galbūt manote, kad kuri nors atsakinga šalis turi saugos tyrėjų komandą, kuri tikrina ir du kartus patikrina kodą, tačiau iš tikrųjų OpenSSL valdo nedidelė grupė, kurią daugiausia sudaro savanoriai.
Susijęs
- Dėl naujos „WordPress“ klaidos 2 milijonai svetainių galėjo būti pažeidžiamos
- „Twitter“ SMS dviejų veiksnių autentifikavimas turi problemų. Štai kaip pakeisti metodus
- „HiveNightmare“ yra bjauri nauja „Windows“ klaida. Štai kaip apsisaugoti
Atidaroma OpenSSL
„OpenSSL“ pavadinime yra atvirojo kodo kilmė. 1998 m. įkurtas projektas buvo sukurtas siekiant pateikti nemokamų šifravimo įrankių rinkinį interneto serveriams. Tai buvo svarbus tikslas; šifravimas yra labai svarbus ir įprastas. Reikėjo laisvo standarto, kad jis būtų priimtas kuo greičiau. Projektas buvo nepaprastai sėkmingas ir greitai tapo vienu iš svarbiausių interneto saugumo priemonių.
Tačiau sėkmė nelėmė plėtros ar pelno. OpenSSL uždirba pajamas tik sudarant paramos sutartis, kurios suteikia prieigą prie trikčių šalinimo ir konsultacijų iš pačios organizacijos.
Iš viso tik 11 žmonių, kurių dauguma yra savanoriai, yra atsakingi už kritinį šifravimo standartą.
Dėl to nuspėjamai mažas darbuotojų skaičius. „Pagrindinę komandą“ sudaro tik keturi asmenys, o kūrimo komanda į sąrašą įtraukė dar septynis vardus. Tai iš viso tik 11 žmonių, dauguma jų yra savanoriai, atsakingi už kritinį šifravimo standartą. Tik vienas iš jų, daktaras Stephenas Hansonas, daugiausia dėmesio skiria OpenSSL. Visi kiti turi kitą etatinį darbą.
Geriausiai tai pasakė Steve'as Marquessas, kuris valdo organizacijos pinigus. „Paslaptis nėra ta, kad keli pervargę savanoriai nepastebėjo klaidos; paslaptis, kodėl taip neatsitiko dažniau“.
Buvo padarytos klaidos
Štai į ką susiveda visa krizė – klaida. Klaidą įvedė Robinas Seggelmannas, vokiečių savanoris, dirbantis su OpenSSL plėtiniu pavadinimu Heartbeat. Kodą jis pateikė 2011 m. Naujųjų metų išvakarėse, o vėliau jis buvo peržiūrėtas. „Heartbleed“ egzistuoja, visuomenei nežinoma, daugiau nei dvejus metus.
Kiti projekto nariai peržiūros metu dar kartą patikrina pateiktą kodą, tačiau pasitaiko klaidų, todėl nenuostabu, kad galiausiai išlindo klaida. Net kelių milijardų dolerių vertės įmonės, tokios kaip „Microsoft“ ir „Cisco“, patiria nemenką gėdingų išnaudojimų dalį.
Problema kyla dėl atminties paskirstymo pagal reikšmę, kurią galima apibrėžti užklausa. Jei vartotojas pateikia teisingą įvestį, funkcija veikia taip, kaip numatyta. Tačiau jei pateikiama neteisinga užklausa, kodas išmeta dalį to, kas yra atmintyje, įskaitant informaciją, kuri turėtų būti saugi ir užšifruota. Šis interneto komiksas taip pat paaiškina Heartbleed, jei manote, kad vizualizacija yra naudinga.
Kai kurie programinės įrangos inžinieriai tuo tiki klaidos egzistavimas kelia klausimų dėl C saugumo, kodas, kuriame buvo įrašytas „Heartbeat“ plėtinys. Nors ir populiari, C yra sudėtinga kalba, kuri suteikia daug galimybių atminties valdymo ir reikšmių tvarkymo klaidų. Kito atvirojo kodo SSL diegimo GnuTLS klaida, apkarpytas likus mėnesiui iki „Heartbleed“, taip pat buvo parašytas C. Ta klaida buvo dar senesnė; už tai atsakingas kodas buvo pridėtas 2005 m.
Koks kitas žingsnis?
„Heartbleed“ galiausiai kalta dėl žmogiškosios klaidos, tačiau kaltė nekrenta tik ant vieno koduotojo pečių. „OpenSSL“ yra nemokama programinė įranga, kurią naudoja „Fortune 500“ įmonės, vyriausybės ir net karinės organizacijos, tačiau šios aprangos beveik niekada neprisideda prie projekto finansavimo ar darbo jėgos.
Įmonės ir vyriausybės atrodo labai susirūpinusios, tačiau tikros paramos pažadų grėsmingai nėra.
Pasaulis taip pat turi pasimokyti iš šios klaidos. Atvirojo kodo projekto naudojimas neprisidedant prie jo ilgainiui yra nelaimės receptas, ypač kai projektas yra svarbi tinklo infrastruktūros dalis. Interneto saugumo neturėtų palaikyti saujelė savanorių, kurie savo pavardes naujienose atranda tik tada, kai kas nors negerai.
Redaktorių rekomendacijos
- „Ransomware“ atakų padaugėjo. Štai kaip išlikti saugiems
- „Reddit“ buvo nulaužtas – štai kaip nustatyti 2FA, kad apsaugotumėte paskyrą
- „SpaceX“ pasiekia 100 000 „Starlink“ klientų. Štai kaip prisiregistruoti
- Jūsų „Dell“ nešiojamasis kompiuteris gali turėti saugos pažeidžiamumą. Štai kaip tai ištaisyti.
- Kas yra DNS serveris? Štai kaip internetas aptarnauja jūsų mėgstamiausius
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį, kuriame pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
