7. apríla 2014 sa svet dozvedel o pravdepodobne najzávažnejšej bezpečnostnej chybe v histórii internetu. Volá sa Heartbleed.
Objavil ho súčasne Neel Mehta, bezpečnostný výskumník v spoločnosti Google, a fínska bezpečnostná firma Codenomicon, chyba ohrozuje bezpečnostný protokol bežne používaný zariadeniami a webovými stránkami na celom svete. Heartbleed umožňuje hackerom zoškrabovať údaje z pamäte – vrátane hesiel, čísel bankových účtov a čohokoľvek iného, čo sa vo vnútri skrýva.
Odporúčané videá
Závažnosť chyby prinútila mnohých premýšľať, ako sa to mohlo stať. OpenSSL, bezpečnostný protokol, v ktorom sa našla chyba, sa používa na celom svete. Používa sa nielen v serveroch, ale aj v smerovačoch a dokonca aj v niektorých smartfónoch so systémom Android. Možno si myslíte, že nejaká zodpovedná strana má tím bezpečnostných výskumníkov, ktorí kontrolujú a dvakrát kontrolujú kód, ale v skutočnosti OpenSSL spravuje malá skupina pozostávajúca väčšinou z dobrovoľníkov.
Súvisiace
- Nová chyba WordPress mohla spôsobiť zraniteľnosť 2 miliónov stránok
- Dvojfaktorová autentifikácia SMS na Twitteri má problémy. Tu je postup prepínania metód
- HiveNightmare je nová nepríjemná chyba systému Windows. Tu je návod, ako sa chrániť
Otvára sa na OpenSSL
OpenSSL sa môže pochváliť svojím open source pôvodom vo svojom názve. Projekt, ktorý bol založený v roku 1998, bol vytvorený s cieľom poskytnúť súbor bezplatných šifrovacích nástrojov pre internetové servery. Bol to dôležitý cieľ; šifrovanie je kritické a bežné. Bol potrebný bezplatný štandard, aby sa zabezpečilo, že bude prijatý čo najrýchlejšie. Projekt bol mimoriadne úspešný a rýchlo sa stal jedným z najdôležitejších bezpečnostných nástrojov internetu.
Úspech však neviedol k expanzii alebo zisku. OpenSSL generuje príjmy iba prostredníctvom zmlúv o podpore, ktoré poskytujú prístup k odstraňovaniu problémov a konzultáciám zo strany samotnej organizácie.
Celkovo len 11 ľudí, väčšina z nich sú dobrovoľníci, je zodpovedných za kritický štandard šifrovania.
Výsledkom je predvídateľne malý počet zamestnancov. „Základný tím“ tvoria iba štyria jednotlivci a vývojový tím pridáva na zoznam ďalších sedem mien. To je spolu iba 11 ľudí, väčšina z nich sú dobrovoľníci, ktorí sú zodpovední za kritický štandard šifrovania. Len jeden z nich, Dr. Stephen Hanson, sa úplne zameriava na OpenSSL. Všetci ostatní majú inú prácu na plný úväzok.
Najlepšie to povedal Steve Marquess, ktorý spravuje peniaze organizácie. „Záhadou nie je, že niekoľkým prepracovaným dobrovoľníkom sa chyba minula; záhadou je, prečo sa to nestalo častejšie."
Urobili sa chyby
To je to, na čom sa celá kríza scvrkáva – chyba. Chybu predstavil Robin Seggelmann, nemecký dobrovoľník pracujúci na rozšírení OpenSSL s názvom Heartbeat. Kód predložil na Silvestra 2011 a následne prešiel procesom kontroly. Heartbleed existuje, verejnosti neznámy, už viac ako dva roky.
Ostatní členovia projektu počas kontroly dvakrát skontrolujú predložený kód, no vyskytnú sa chyby, takže nie je prekvapením, že sa chyba nakoniec prevalila. Dokonca aj mnohomiliardové spoločnosti ako Microsoft a Cisco sú zasiahnuté spravodlivým podielom trápnych vykorisťovaní.
Problém pramení z alokácie pamäte podľa hodnoty, ktorá môže byť definovaná požiadavkou. Ak používateľ poskytne platný vstup, funkcia funguje tak, ako má. Ak však dôjde k neplatnej požiadavke, kód vypíše časť toho, čo je v pamäti, vrátane informácií, ktoré majú byť zabezpečené a šifrované. Tento webový komiks vysvetľuje tiež Heartbleed, ak by ste považovali vizualizáciu za užitočnú.
Niektorí softvéroví inžinieri tomu veria Existencia chyby vyvoláva otázky o bezpečnosti C, kód, v ktorom bolo napísané rozšírenie Heartbeat. Aj keď je jazyk C populárny, je zložitý jazyk, ktorý ponúka veľa príležitostí na chyby v správe pamäte a manipulácii s hodnotami. Chyba v inej implementácii protokolu SSL s otvoreným zdrojom, GnuTLS, sa objavil mesiac pred Heartbleed a bol tiež napísaný v C. Tá chyba bola ešte staršia; kód zodpovedný za to bol pridaný v roku 2005.
Aký je ďalší krok?
Za Heartbleed je v konečnom dôsledku zodpovedná ľudská chyba, ale chyba nepadá len na plecia jediného kódera. OpenSSL je bezplatný softvér používaný spoločnosťami z rebríčka Fortune 500, vládami a dokonca aj vojenskými organizáciami, no tieto organizácie takmer nikdy neprispievajú financovaním alebo ľudskou silou do projektu.
Spoločnosti a vlády sa zdajú byť veľmi znepokojené, no prísľuby skutočnej podpory tam zlovestne chýbajú.
Aj svet sa musí z tejto chyby poučiť. Používanie projektu s otvoreným zdrojovým kódom bez toho, aby ste k nemu prispeli, je z dlhodobého hľadiska receptom na katastrofu – najmä ak je projekt kritickou súčasťou sieťovej infraštruktúry. Bezpečnosť internetu by nemala zabezpečovať hŕstka dobrovoľníkov, ktorí svoje mená nájdu v správach len vtedy, keď sa niečo pokazí.
Odporúčania redaktorov
- Útoky ransomvéru masívne narástli. Tu je návod, ako zostať v bezpečí
- Reddit bol napadnutý hackermi – tu je návod, ako nastaviť 2FA na ochranu vášho účtu
- SpaceX dosahuje 100 000 zákazníkov Starlink. Tu je návod, ako sa prihlásiť
- Váš laptop Dell môže mať slabé miesto v zabezpečení. Tu je návod, ako to opraviť.
- Čo je server DNS? Tu je návod, ako internet ponúka vaše obľúbené položky
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.
