2014. gada 7. aprīlī pasaule uzzināja par, iespējams, vissmagāko drošības kļūdu interneta vēsturē. To sauc par Heartbleed.
Vienlaikus atklāja Neel Mehta, Google drošības pētnieks un Somijas drošības firma Codenomicon, kļūda apdraud drošības protokolu, ko parasti izmanto ierīces un vietnes visā pasaulē. Heartbleed ļauj hakeram nokasīt datus no atmiņas, ieskaitot paroles, bankas kontu numurus un visu citu, kas palicis iekšā.
Ieteiktie videoklipi
Kļūdas nopietnība daudziem lika aizdomāties, kā tas varētu notikt. OpenSSL, drošības protokols, kurā tika atrasta kļūda, tiek izmantots visā pasaulē. To izmanto ne tikai serveros, bet arī maršrutētājos un pat dažos Android viedtālruņos. Varētu domāt, ka kādai atbildīgajai pusei ir drošības pētnieku komanda, kas pārbauda un divreiz pārbauda kodu, taču patiesībā OpenSSL pārvalda neliela grupa, kurā lielākoties ir brīvprātīgie.
Saistīts
- Jauna WordPress kļūda, iespējams, ir atstājusi neaizsargātas 2 miljonus vietņu
- Ir problēmas ar Twitter SMS divu faktoru autentifikāciju. Lūk, kā mainīt metodes
- HiveNightmare ir vētraina jauna Windows kļūda. Lūk, kā sevi pasargāt
Tiek atvērts OpenSSL
OpenSSL nosaukumā lepojas ar atvērtā pirmkoda izcelsmi. 1998. gadā dibinātais projekts tika izveidots, lai nodrošinātu bezmaksas šifrēšanas rīku komplektu interneta serveriem. Tas bija svarīgs mērķis; šifrēšana ir kritiska un izplatīta. Bija vajadzīgs bezmaksas standarts, lai pārliecinātos, ka tas tiks pieņemts pēc iespējas ātrāk. Projekts bija ļoti veiksmīgs un ātri kļuva par vienu no svarīgākajiem interneta drošības rīkiem.
Tomēr panākumi neradīja paplašināšanos vai peļņu. OpenSSL gūst ienākumus tikai ar atbalsta līgumiem, kas nodrošina piekļuvi problēmu novēršanai un konsultācijām no pašas organizācijas.
Kopumā tikai 11 cilvēki, no kuriem lielākā daļa ir brīvprātīgie, ir atbildīgi par svarīgu šifrēšanas standartu.
Tas rada paredzami niecīgu darbinieku skaitu. “Galveno komandu” veido tikai četri cilvēki, un izstrādes komanda sarakstam pievieno vēl septiņus vārdus. Tas ir tikai 11 cilvēki, no kuriem lielākā daļa ir brīvprātīgie, kuri ir atbildīgi par svarīgu šifrēšanas standartu. Tikai viens no viņiem, doktors Stīvens Hansons, pilnībā koncentrējas uz OpenSSL. Visiem pārējiem ir cits pilnas slodzes darbs.
Stīvs Markess, kurš pārvalda organizācijas naudu, to teica vislabāk. “Noslēpums nav tāds, ka daži pārslogoti brīvprātīgie palaida garām kļūdu; noslēpums ir tas, kāpēc tas nav noticis biežāk.
Tika pieļautas kļūdas
Lūk, uz ko velkas visa krīze – kļūda. Kļūdu ieviesa Robins Seggelmans, vācu brīvprātīgais, kurš strādā pie OpenSSL paplašinājuma ar nosaukumu Heartbeat. Viņš iesniedza kodu 2011. gada Jaungada vakarā, un pēc tam tas tika pārskatīts. Heartbleed pastāv, sabiedrībai nezināms, vairāk nekā divus gadus.
Citi projekta dalībnieki pārskatīšanas laikā atkārtoti pārbauda iesniegto kodu, taču gadās kļūdas, tāpēc nav pārsteigums, ka kļūda galu galā ir izslīdējusi cauri. Pat vairākus miljardus dolāru vērtus uzņēmumus, piemēram, Microsoft un Cisco, skārusi apkaunojošo noziegumu daļa.
Problēma rodas no atmiņas piešķiršanas atbilstoši vērtībai, ko var definēt ar pieprasījumu. Ja lietotājs sniedz derīgu ievadi, funkcija darbojas kā paredzēts. Tomēr, ja tiek veikts nederīgs pieprasījums, kods izmet daļu no atmiņā esošās informācijas, tostarp informāciju, kurai ir jābūt drošai un šifrētai. Šis tīmekļa komikss paskaidro arī Heartbleed, ja uzskatāt, ka vizualizācija ir noderīga.
Daži programmatūras inženieri tā uzskata kļūdas esamība rada jautājumus par C drošību, kods, kurā tika ierakstīts Heartbeat paplašinājums. Lai gan C ir populāra, tā ir sarežģīta valoda, kas piedāvā daudz iespēju kļūdīties atmiņas pārvaldībā un vērtību apstrādē. Kļūda citā atvērtā koda SSL ieviešanā GnuTLS, kas tika apgriezts mēnesi pirms Heartbleed, un tika rakstīts arī C. Šī kļūda bija vēl vecāka; par to atbildīgais kods tika pievienots 2005. gadā.
Kāds ir nākamais solis?
Galu galā Heartbleed vainojama cilvēka kļūda, taču vaina nekrīt tikai uz viena kodētāja pleciem. OpenSSL ir bezmaksas programmatūra, ko izmanto Fortune 500 uzņēmumi, valdības un pat militārās organizācijas, taču šie tērpi gandrīz nekad nesniedz projekta finansējumu vai darbaspēku.
Šķiet, ka uzņēmumi un valdības ir ļoti noraizējušies, taču reāla atbalsta solījumu draudoši trūkst.
Pasaulei arī jāmācās no šīs kļūdas. Atvērtā pirmkoda projekta izmantošana, neveicot tajā ieguldījumu, ilgtermiņā ir katastrofas recepte, īpaši, ja projekts ir tīkla infrastruktūras kritiska daļa. Interneta drošību nevajadzētu atbalstīt saujiņai brīvprātīgo, kuri ziņās atrod savus vārdus tikai tad, ja kaut kas noiet greizi.
Redaktoru ieteikumi
- Ransomware uzbrukumi ir ievērojami palielinājušies. Lūk, kā saglabāt drošību
- Reddit tika uzlauzts — lūk, kā iestatīt 2FA, lai aizsargātu savu kontu
- SpaceX sasniedz 100 000 Starlink klientu. Lūk, kā reģistrēties
- Jūsu Dell klēpjdatoram var būt drošības ievainojamība. Lūk, kā to labot.
- Kas ir DNS serveris? Lūk, kā internets piedāvā jūsu iecienītākās iespējas
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
