211service.com
Black Hat: Pravděpodobně číhají další chyby v internetovém měřítku
Na pár dní v dubnu se zdálo, že celý svět bere internetovou bezpečnost velmi vážně. V softwaru používaném stovkami tisíc webů byla nalezena kritická chyba, nazvaná Heartbleed, a chyba spolu s jejím logem se stala mediální hvězdou.
Ale koncem června, o něco málo přes dva měsíce později, se zdálo, že úsilí o záplatu zranitelných internetových serverů proti Heartbleed uvázlo, přičemž na internetu je stále více než 300 000. OpenSSL , projekt s otevřeným zdrojovým kódem, v jehož softwaru byla chyba nalezena, stále postrádá zdroje, které podle něj potřebuje k udržení svého kódu v bezpečí. A co víc, nový výzkum naznačuje, že okolnosti, které proměnily Heartbleed v tak rozsáhlý problém, jsou běžné.
Kymberlee Cena bezpečnostní společnosti Synack a Jake Kouns, generální ředitel neziskové organizace Open Security Foundation , představil ve čtvrtek výsledky průzkumu využití a bezpečnosti open source knihoven. Zdůraznili několik knihoven s otevřeným zdrojovým kódem, které jsou extrémně široce používané, ale mají špinavé zabezpečení. Chyba v jedné z těchto knihoven by mohla mít podobný dopad jako dubnová chyba, která chytla titulky. Rozhodně by se to mohlo stát znovu s jakoukoli knihovnou třetích stran, řekl Price MIT Technology Review na konferenci Black Hat minulý týden.
Co opravdu otevírá oči, je to, že určité programy nebo produkty na trhu mohou mít stovky těchto knihoven, řekl Kouns. Tomuto systémovému riziku je nyní vystaven každý.
Jednou z knihoven, které Price a Kouns označili za potenciální problém, je zdroj Heartbleed, OpenSSL. Od Heartbleedu bylo v OpenSSL objeveno několik dalších nedostatků, z nichž některé mohou být nebezpečnější než chyba Heartbleed, řekl Kouns.
Dá se očekávat více. Navzdory podpoře publicity od Heartbleed nemá OpenSSL stále dostatek peněz na řešení takových problémů. Po incidentu projekt provedl revizi a odhadl, že k řádné údržbě softwaru potřebuje šest vývojářů na plný úvazek. Peníze přislíbené IBM, HP, Googlem a dalšími významnými technologickými společnostmi v důsledku chyby stačily na zaplacení pouze dvou vývojářů na plný úvazek. Dokonce i něco, na co se jich maminky lidí ptají u jídelního stolu, nedostává potřebnou podporu, řekl Price.
Další potenciálně problematickou knihovnou je FreeType , který se používá k zobrazování písem a je součástí více než miliardy zařízení vyrobených společnostmi včetně Apple, Google a Sony. Kouns a Price napočítali více než 50 zranitelností nalezených ve FreeType za posledních sedm let. Jedna tvořila základ útoku nazvaného Jailbreakme, který umožnil na dálku převzít iPhony (viz Máte iPhone? Existuje aplikace pro Hacking That ).
Mezi další open source knihovny označené touto dvojicí patří LibPNG, používaný ve stovkách běžných zařízení a softwaru jako způsob zobrazování obrázků, a FFMpeg, na který se při přehrávání videa spoléhají Apple, Google, Microsoft a Sony.
Většina široce používaných knihoven je aktualizována několikrát ročně pomocí bezpečnostních oprav, říká Price. Pro softwarové inženýry však není snadné sledovat všechny tyto aktualizace nebo dokonce to, které verze knihoven jejich společnost používá. A jen málo společností aplikuje každou aktualizaci každé knihovny včas, řekl Price. Společnosti častěji upgradují knihovny pouze tehdy, když vydají novou verzi svého vlastního produktu. Pokud aktualizujete pouze s každým ze svých vydání, pravděpodobně vám chybí některá hlavní zranitelnost, řekla.
Někteří odborníci se domnívají, že softwarové společnosti by měly být právně odpovědné za bezpečnostní problémy ve svých produktech. Jednou z možností, o které diskutovali vedoucí pracovníci společnosti Black Hat, bylo, zda by investoři měli mít pravomoc vyžadovat audity kodexu společnosti třetí stranou, čímž by se rozšířil proces, který je již standardní součástí due diligence pro fúze a akvizice, řekl Price.
Dan Geer, ředitel informační bezpečnosti pro investiční fond CIA In-Q-Tel , učinil radikálnější návrh ve svém středečním projevu Black Hat. Vyzval k přijetí legislativy, která by činila softwarové společnosti odpovědnými, pokud by bezpečnostní problémy v jejich produktech způsobily škodu.
Jediné dva produkty, na které se nevztahuje odpovědnost za výrobek, jsou náboženství a software a software by neměl unikat mnohem déle, řekl Geer. Navrhl, aby softwarové společnosti byly zodpovědné za jakékoli škody vzniklé v důsledku nedostatků v jejich softwaru, ale společnosti, které zpřístupnily svůj úplný zdrojový kód ke kontrole, by musely vrátit peníze pouze v případě, že dojde k poškození.
Tento návrh by se setkal se silným odporem softwarového průmyslu a je nepravděpodobné, že by se prosadil. Price řekl, že nejpraktičtějším, i když částečným řešením je nyní zvýšit povědomí o rizicích, která s sebou nesou knihovny třetích stran, a vytvořit nástroje, které usnadní upozornění na nejnovější chyby a aktualizaci balíčků. Toto riziko nemůžeme eliminovat, takže ho musíme zvládnout, řekla.