7 kwietnia 2014 roku świat dowiedział się o prawdopodobnie najpoważniejszym błędzie bezpieczeństwa w historii Internetu. Nazywa się Heartbleed.
Odkryty jednocześnie przez Neela Mehtę, badacza bezpieczeństwa w Google, i fińską firmę zajmującą się bezpieczeństwem Codenomicon, błąd narusza protokół bezpieczeństwa powszechnie używany na urządzeniach i stronach internetowych na całym świecie. Heartbleed umożliwia hakerowi zeskrobanie danych z pamięci – w tym hasła, numery kont bankowych i wszystko inne, co w nich zalega.
Polecane filmy
Powaga błędu sprawiła, że wiele osób zastanawiało się, jak to się mogło stać. OpenSSL, protokół bezpieczeństwa, w którym wykryto błąd, jest używany na całym świecie. Jest używany nie tylko w serwerach, ale także routerach, a nawet niektórych smartfonach z Androidem. Można by pomyśleć, że jakaś odpowiedzialna strona zatrudnia zespół badaczy bezpieczeństwa sprawdzający i ponownie sprawdzający kod, ale tak naprawdę OpenSSL jest zarządzany przez małą grupę składającą się głównie z ochotników.
Powiązany
- Nowy błąd WordPressa mógł narazić na ataki 2 miliony witryn
- Występują problemy z dwuskładnikowym uwierzytelnianiem SMS na Twitterze. Oto jak zmienić metody
- HiveNightmare to nowy, paskudny błąd systemu Windows. Oto jak się chronić
Otwarcie na OpenSSL
OpenSSL w swojej nazwie może pochwalić się pochodzeniem typu open source. Założony w 1998 roku projekt powstał w celu dostarczenia zestawu bezpłatnych narzędzi szyfrujących dla serwerów internetowych. To był ważny cel; szyfrowanie ma kluczowe znaczenie i jest powszechne. Aby mieć pewność, że zostanie przyjęty tak szybko, jak to możliwe, potrzebny był darmowy standard. Projekt odniósł ogromny sukces i szybko stał się jednym z najważniejszych narzędzi bezpieczeństwa w Internecie.
Sukces nie przełożył się jednak na ekspansję i zyski. OpenSSL generuje dochody wyłącznie dzięki umowom wsparcia, które zapewniają dostęp do rozwiązywania problemów i konsultacji od samej organizacji.
W sumie za krytyczny standard szyfrowania odpowiada zaledwie 11 osób, w większości ochotników.
Rezultatem jest przewidywalnie mały personel. „Główny zespół” składa się tylko z czterech osób, a zespół programistów dodaje do listy siedem kolejnych nazwisk. To w sumie zaledwie 11 osób, w większości ochotników, odpowiedzialnych za krytyczny standard szyfrowania. Tylko jeden z nich, dr Stephen Hanson, całkowicie skupia się na OpenSSL. Wszyscy inni mają inną pracę na pełen etat.
Najlepiej ujął to Steve Marquess, który zarządza pieniędzmi organizacji. „Tajemnica nie polega na tym, że kilku przepracowanych ochotników przeoczyło błąd; tajemnicą jest to, dlaczego nie zdarzało się to częściej.
Popełniono błędy
Do tego właśnie sprowadza się cały kryzys – do błędu. Błąd został wprowadzony przez Robina Seggelmanna, niemieckiego wolontariusza pracującego nad rozszerzeniem OpenSSL o nazwie Heartbeat. Kod przesłał w sylwestra 2011 r., a następnie przemknął przez proces sprawdzania. Heartbleed istnieje, nieznane opinii publicznej, od ponad dwóch lat.
Inni członkowie projektu dokładnie sprawdzają przesłany kod podczas przeglądu, ale zdarzają się błędy, więc nie jest niespodzianką, że błąd w końcu się prześlizgnął. Nawet wielomiliardowe firmy, takie jak Microsoft i Cisco, padają ofiarą swoich zawstydzających exploitów.
Problem wynika z alokacji pamięci według wartości, którą można zdefiniować w żądaniu. Jeśli użytkownik wprowadzi prawidłowe dane wejściowe, funkcja będzie działać zgodnie z przeznaczeniem. Jeśli jednak zostanie wysłane nieprawidłowe żądanie, kod zrzuci część zawartości pamięci, w tym informacje, które powinny być bezpieczne i zaszyfrowane. Ten komiks internetowy wyjaśnia również Heartbleed, jeśli uważasz, że wizualizacja będzie pomocna.
Niektórzy inżynierowie oprogramowania w to wierzą istnienie błędu rodzi pytania o bezpieczeństwo C, kod, w którym napisano rozszerzenie Heartbeat. Choć popularny, C jest złożonym językiem, który oferuje wiele możliwości wystąpienia błędów w zarządzaniu pamięcią i obsłudze wartości. Błąd w innej implementacji SSL typu open source, GnuTLS, pojawił się miesiąc przed Heartbleed i został również napisany w C. Ten błąd był jeszcze starszy; odpowiedzialny za to kod został dodany w 2005 roku.
Jaki jest następny krok?
Ostatecznie winę za Heartbleed ponosi ludzki błąd, ale wina nie spada wyłącznie na barki jednego programisty. OpenSSL to bezpłatne oprogramowanie używane przez firmy z listy Fortune 500, rządy, a nawet organizacje wojskowe, jednak te firmy prawie nigdy nie wnoszą do projektu środków finansowych ani siły roboczej.
Firmy i rządy wydają się bardzo zaniepokojone, jednak złowrogo brakuje obietnic prawdziwego wsparcia.
Świat także musi wyciągnąć wnioski z tego błędu. Korzystanie z projektu open source bez wnoszenia w niego wkładu to w dłuższej perspektywie przepis na katastrofę – szczególnie gdy projekt stanowi kluczową część infrastruktury sieciowej. Garstka ochotników, których nazwiska pojawiają się w wiadomościach tylko wtedy, gdy coś pójdzie nie tak, nie powinna dbać o bezpieczeństwo Internetu.
Zalecenia redaktorów
- Liczba ataków ransomware wzrosła masowo. Oto, jak zachować bezpieczeństwo
- Reddit został zhakowany — oto jak skonfigurować 2FA, aby chronić swoje konto
- SpaceX dociera do 100 tys. klientów Starlink. Oto jak się zarejestrować
- Twój laptop Dell może mieć lukę w zabezpieczeniach. Oto, jak to naprawić.
- Co to jest serwer DNS? Oto, jak Internet udostępnia Twoje ulubione treści
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
