7. aprila 2014 je svet izvedel za verjetno najresnejšo varnostno napako v zgodovini interneta. Imenuje se Heartbleed.
Istočasno sta odkrila Neel Mehta, varnostni raziskovalec pri Googlu, in finsko varnostno podjetje Codenomicon, hrošč ogroža varnostni protokol, ki ga običajno uporabljajo naprave in spletna mesta po vsem svetu. Heartbleed hekerju omogoča strganje podatkov iz spomina – vključno z gesli, številkami bančnih računov in vsem drugim, kar se zadržuje v notranjosti.
Priporočeni videoposnetki
Zaradi resnosti hrošča so se mnogi spraševali, kako se je to lahko zgodilo. OpenSSL, varnostni protokol, v katerem je bila najdena napaka, se uporablja po vsem svetu. Ne uporablja se le v strežnikih, ampak tudi v usmerjevalnikih in celo v nekaterih pametnih telefonih Android. Morda mislite, da ima neka odgovorna oseba ekipo varnostnih raziskovalcev, ki preverjajo in dvakrat preverjajo kodo, toda v resnici OpenSSL upravlja majhna skupina, sestavljena večinoma iz prostovoljcev.
Povezano
- Nova napaka v WordPressu je morda povzročila ranljivost 2 milijonov spletnih mest
- Twitterjeva dvostopenjska avtentikacija SMS ima težave. Tukaj je opisano, kako zamenjate metode
- HiveNightmare je zoprna nova napaka sistema Windows. Tukaj je opisano, kako se zaščititi
Odpiranje v OpenSSL
OpenSSL se že v imenu ponaša z odprtokodnim izvorom. Projekt, ustanovljen leta 1998, je bil ustvarjen za zagotavljanje nabora brezplačnih orodij za šifriranje za internetne strežnike. To je bil pomemben cilj; šifriranje je kritično in običajno. Brezplačni standard je bil potreben, da se zagotovi čim hitrejša sprejetost. Projekt je bil izjemno uspešen in je hitro postal eno najpomembnejših varnostnih orodij interneta.
Vendar uspeh ni povzročil širitve ali dobička. OpenSSL ustvarja dohodek samo s podpornimi pogodbami, ki zagotavljajo dostop do odpravljanja težav in svetovanja same organizacije.
Za kritičen standard šifriranja je odgovornih le 11 ljudi, večina prostovoljcev.
Posledica tega je predvidljivo majhno število zaposlenih. »Osnovno ekipo« sestavljajo samo štirje posamezniki, razvojna ekipa pa na seznam doda še sedem imen. To je skupaj samo 11 ljudi, večina prostovoljcev, odgovornih za kritičen standard šifriranja. Samo eden od njih, dr. Stephen Hanson, se v celoti osredotoča na OpenSSL. Vsi ostali imajo drugo službo za polni delovni čas.
Steve Marquess, ki upravlja z denarjem organizacije, je to najbolje povedal. »Skrivnost ni v tem, da je nekaj prezaposlenih prostovoljcev spregledalo napako; skrivnost je, zakaj se to ni zgodilo pogosteje.
Napake so bile storjene
Na to se skrči vsa kriza – na napako. Napako je predstavil Robin Seggelmann, nemški prostovoljec, ki dela na razširitvi OpenSSL, imenovani Heartbeat. Kodo je predložil na silvestrovo leta 2011, nato pa je zdrsnila skozi postopek pregleda. Heartbleed obstaja javnosti neznan že več kot dve leti.
Drugi člani projekta dvakrat preverijo predloženo kodo med pregledom, vendar se napake dogajajo, zato ni presenetljivo, da se je napaka na koncu izmuznila. Tudi podjetja z več milijardami dolarjev, kot sta Microsoft in Cisco, so prizadeta zaradi poštenega deleža neprijetnih podvigov.
Težava izvira iz dodeljevanja pomnilnika glede na vrednost, ki jo je mogoče določiti z zahtevo. Če uporabnik vnese veljaven vnos, funkcija deluje, kot je predvideno. Če pa je vložena neveljavna zahteva, koda izloči del tega, kar je v pomnilniku, vključno z informacijami, ki naj bi bile varne in šifrirane. Ta spletni strip razlaga tudi Heartbleed, če menite, da je vizualizacija koristna.
Nekateri programski inženirji verjamejo v to obstoj hrošča postavlja vprašanja o varnosti C, koda, v kateri je bila zapisana razširitev Heartbeat. Čeprav je C priljubljen, je kompleksen jezik, ki ponuja veliko možnosti za napake pri upravljanju pomnilnika in ravnanju z vrednostmi. Napaka v drugi odprtokodni izvedbi SSL, GnuTLS, ki se je pojavil mesec dni pred Heartbleedom in je bil prav tako napisan v C. Ta hrošč je bil še starejši; koda, odgovorna za to, je bila dodana leta 2005.
Kaj je naslednji korak?
Za Heartbleed je na koncu kriva človeška napaka, vendar napaka ne pade samo na ramena enega kodirnika. OpenSSL je brezplačna programska oprema, ki jo uporabljajo podjetja s seznama Fortune 500, vlade in celo vojaške organizacije, vendar ta podjetja skoraj nikoli ne prispevajo sredstev ali delovne sile k projektu.
Podjetja in vlade so videti zelo zaskrbljeni, vendar obljub o resnični podpori zlovešče ni.
Tudi svet se mora učiti iz te napake. Uporaba odprtokodnega projekta, ne da bi k njemu prispevali, je dolgoročno recept za katastrofo – še posebej, če je projekt kritičen del omrežne infrastrukture. Za varnost interneta ne bi smela skrbeti peščica prostovoljcev, ki najdejo svoja imena v novicah le, ko gre kaj narobe.
Priporočila urednikov
- Napadi izsiljevalske programske opreme so se močno povečali. Tukaj je opisano, kako ostati varen
- Reddit je bil vlomljen – tukaj je opisano, kako nastavite 2FA za zaščito svojega računa
- SpaceX doseže 100.000 strank Starlink. Tukaj je opisano, kako se prijavite
- Vaš prenosnik Dell ima morda varnostno ranljivost. Tukaj je opisano, kako to popraviti.
- Kaj je strežnik DNS? Evo, kako internet postreže z vašimi priljubljenimi
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.